Projeto de Lei de Cibersegurança e Resiliência do Reino Unido visa endurecer as regras do setor de tecnologia

O Reino Unido avançou para ampliar sua rede de segurança digital com a introdução formal do projeto de lei de Cibersegurança e Resiliência no Parlamento.

A proposta chega em um momento em que os ataques a redes empresariais, serviços públicos e infraestrutura crítica continuam a aumentar, pressionando o governo a expandir o escopo da regulamentação.

O projeto de lei foca em fortalecer a proteção em um conjunto mais amplo de provedores de serviços tecnológicos, fechando lacunas que se tornaram mais visíveis à medida que as organizações dependem de serviços externos de TI.

Também descreve novos poderes, deveres de reporte e medidas preventivas destinadas a limitar os danos causados por ameaças à segurança nacional e riscos emergentes relacionados à inteligência artificial, especialmente à medida que mais setores integram ferramentas digitais avançadas.

Funções de segurança mais amplas

O projeto estenderia as regras existentes de Sistemas de Redes e Informação para mais empresas de tecnologia.

Empresas de gestão de TI, provedores de suporte técnico e empresas de serviços de cibersegurança seriam submetidos aos mesmos requisitos já impostos aos operadores de serviços essenciais.

A legislação estabelece que as penalidades por não conformidade podem estar atreladas ao faturamento anual, criando incentivos mais fortes para que as empresas atendam aos padrões regulatórios.

O objetivo é garantir que os fornecedores que mantêm os principais sistemas digitais atendam a uma linha de base unificada de segurança, reduzindo os elos fracos nas cadeias de suprimentos e melhorando a resiliência geral das redes interconectadas.

Novos poderes governamentais

A legislação propõe dar ao secretário de tecnologia autoridade para instruir reguladores e organizações a tomarem medidas preventivas quando ameaças forem consideradas riscos à segurança nacional.

Essas diretrizes se aplicariam a incidentes envolvendo infraestrutura crítica e atividades cibernéticas de alto impacto.

A medida reflete preocupações crescentes sobre operações ligadas ao Estado que visam redes ocidentais.

Autoridades do governo dizem que o projeto de lei foi criado para aproximar o Reino Unido dos padrões da União Europeia e fortalecer a resiliência contra atores associados à China, Irã e Coreia do Norte, todos ligados a atividades disruptivas.

Riscos financeiros e operacionais

Pesquisas encomendadas pelo Departamento de Ciência, Inovação e Tecnologia estimam o custo médio de um ataque cibernético sério no Reino Unido em £190.000 por incidente, totalizando cerca de £14,7 bilhões a cada ano.

Esses números destacam a escala da disrupção que as empresas enfrentam à medida que atacantes exploram vulnerabilidades em redes e serviços digitais.

As regras ampliadas visam melhorar os processos de reporte e os tempos de resposta, ajudando as organizações a limitar perdas e se recuperar mais rapidamente após violações, além de incentivar mais transparência entre os setores afetados.

Combatendo o uso indevido de inteligência artificial

O projeto também cobre riscos emergentes ligados à IA. Inclui disposições para prevenir a criação de material de abuso sexual infantil por meio de sistemas de inteligência artificial.

Para alcançar isso, a legislação permitiria que organizações confiáveis, como desenvolvedores de IA e instituições de caridade, realizassem testes controlados em modelos de IA.

O objetivo é identificar e corrigir vulnerabilidades antes que conteúdo prejudicial possa ser produzido, adicionando uma camada de proteção à medida que as ferramentas de IA se tornam mais avançadas e amplamente utilizadas em empresas, escolas e serviços públicos.