İngiltere, yüksek etkili saldırılardaki artışın ardından daha sıkı siber yasalar uygulayacak

İngiltere'nin kritik altyapısını hedef alan yüksek etkili siber saldırılardaki artış, hükümeti uzun zamandır beklenen bir yasal revizyon yapmaya sevk etti.

Çarşamba günü masaya yatırılacak olan Siber Güvenlik ve Dayanıklılık Yasa Tasarısı, NHS ve enerji ağlarını destekleyenler de dahil olmak üzere temel hizmetleri sağlayan şirketlere daha sıkı düzenlemeler getirmeyi amaçlıyor.

Son saldırıların mali ve operasyonel etkileri artmaya devam ederken, hükümet stratejisini yalnızca kamu kurumlarına değil, aynı zamanda tedarik zincirlerindeki özel firmalara da odaklanacak şekilde değiştiriyor.

Yeni yasa dijital savunmadaki boşlukları hedef alıyor

Siber Güvenlik ve Dayanıklılık Yasa Tasarısı, hizmetleri ulusal altyapının işleyişine sıkı bir şekilde entegre olan yaklaşık 1,000 özel sektör firması için geçerli olacak.

İlk kez, NHS gibi kuruluşlara dijital veya operasyonel destek sağlayan şirketler, yasal olarak yeni dayanıklılık gerekliliklerine uymakla yükümlü olacak.

Bu genişleme, en güçlendirilmiş kurumların bile tedarikçilerindeki güvenlik açıkları nedeniyle zayıflayabileceğini kabul eden stratejik bir değişimi yansıtıyor.

Bu yaklaşım, saldırganların bu ikincil giriş noktalarından giderek daha fazla yararlandığına dair artan kanıtların ardından geliyor.

Tasarı Meclis'ten geçtikten sonra, yeni tanımlanan standartlara uymayan firmalar yasal cezalarla karşı karşıya kalacak, ancak belirli yaptırımlar henüz detaylandırılmadı.

Ekonomik kayıplar ve artan saldırı hacmi

Son veriler, Birleşik Krallık ekonomisine yönelik siber tehdidin boyutunu gösteriyor. Hükümet tarafından Çarşamba günü yayınlanan araştırma, önemli siber saldırıların yıllık maliyetinin 14,7 milyar £ olduğunu ve bunun da ülkenin GSYİH'sının %0,5'ine denk geldiğini gösteriyor.

Bu rakamlar, özellikle kamu ve özel sektör arasındaki birbirine bağımlı sistemlerin daha geniş başarısızlık noktaları yarattığı durumlarda, sistemik korumaların uygulanmasının aciliyetinin altını çiziyor.

Ulusal Siber Güvenlik Merkezi, Ağustos 2025'e kadar geçen 12 ay içinde ulusal düzeyde önemli 204 siber saldırı bildirdi. Bu, yıllık bazda keskin bir artışa işaret ediyordu.

Ajans, saldırganların daha karmaşık taktikler kullanması ve operasyonel kesintilerin ani ve kademeli hasara neden olabileceği hedefleri hedef almasıyla tehdit ortamının hızla geliştiği konusunda uyardı.

Sağlık hizmetleri ve sektör en çok etkilendi

En zarar verici olaylardan bazıları sağlık ve otomotiv sektörlerinde meydana geldi. 2024 yılında bir NHS yüklenicisine yapılan siber saldırı binlerce randevunun iptal edilmesine neden oldu ve en az bir hastanın ölümüyle ilişkilendirildi.

Bu olay, kritik hizmetlerdeki güvenlik ihlallerinin gerçek dünyadaki sonuçlarını vurguladı.

Daha yakın bir zamanda, Ağustos 2025'te Jaguar Land Rover, Birleşik Krallık'taki fabrikalarında üretimi bir aydan fazla bir süre durduran ciddi bir fidye yazılımı saldırısına maruz kaldı. Kesinti ekonomiye tahmini olarak 1.9 milyar sterline mal oldu.

Olay, üçüncü taraf erişim noktaları yetersiz korunduğunda sağlam iç sistemlere sahip şirketlerin bile tehlikeye girebileceğini gösterdi.

Perakendeciler de etkilendi. Marks and Spencer Group Plc, yaz boyunca hedeflenen bir dizi işletme arasındaydı.

Her ihlalin ayrıntıları farklılık gösterse de, yinelenen model açıktır: saldırganlar, kilit kurumları çevreleyen genişletilmiş dijital ekosistemden yararlanıyor.

Yeniden kalibre edilmiş bir ulusal güvenlik stratejisi

Siber Güvenlik ve Dayanıklılık Yasa Tasarısı'nın uygulamaya konması, Birleşik Krallık'ın daha geniş ulusal güvenlik yaklaşımının yeniden kalibre edilmesini temsil ediyor.

Mevzuatın bu aşamaya gelmesi bir yıldan fazla sürdü, ancak açıklanması, hükümetin modern tehditlerin ölçeği ve karmaşıklığı göz önüne alındığında mevcut korumaların yetersiz olduğunu kabul ettiğini yansıtıyor.

Teknoloji Bakanı Liz Kendall, tasarıyı düşmanlara İngiltere'nin kolay bir hedef olmadığına dair bir mesaj olarak nitelendirdi.

Yasa, mevcut düzenleyici boşlukları kapatmayı ve hesap verebilirliği, faaliyetleri doğrudan kamuya açık olmayan ancak yine de ulusal dayanıklılığın ayrılmaz bir parçası olan firmalara genişletmeyi amaçlıyor.

Tasarının Parlamento'dan geçmesi hâlâ yolunda gidilecek olsa da, tasarının yayınlanması dijital altyapının ulusal düzeyde yönetilme biçiminde bir değişime işaret ediyor.

Artık temel kurumlarla sınırlı olmayan Birleşik Krallık'ın siber güvenlik stratejisi artık bu sistemlerin çalışmasını sağlayan genişletilmiş ağları da içeriyor.