АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Законопроект о кибербезопасности и устойчивости

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

Законопроект о кибербезопасности и устойчивости (англ. Cyber Security and Resilience Bill, CS&R) — предложенное в 2024 году в Великобритании законодательство в области кибербезопасности. О планах внесения этого законопроекта было объявлено 17 июля 2024 года во время торжественного открытия парламента новым лейбористским правительством. Законопроект направлен на обновление действующих в стране «Правил по сетям и информационной безопасности» 2018 года («UK NIS») и расширяет их применение[1]. Законопроект о кибербезопасности и устойчивости должен усилить киберзащиту и устойчивость (resilience) Великобритании к враждебным атакам, обеспечив защиту инфраструктуры и критически важных сервисов, на которые полагаются компании и организации страны, а также способствовать росту цифровой экономики за счёт снижения уязвимостей[2].

Законопроект расширяет сферу действия существующих правил, укрепляет полномочия регуляторов, а также увеличивает требования к отчётности компаний, что должно помочь получить более полную картину киберугроз[3]. Его цель — обеспечить безопасность критической инфраструктуры и цифровых сервисов, используемых компаниями[4]. Законопроект будет действовать по всей территории Великобритании[2].

Новый свод правил — часть обязательств правительства по усилению мер кибербезопасности и защите цифровой экономики[5]. Законопроект вводит комплексную нормативную систему, обязывающую разные отрасли внедрять и подтверждать выполнение строгих мер по обеспечению кибербезопасности, включая регулярные аудиты и отчётность[6]. Предусмотрены и механизмы возмещения затрат регуляторов, а также полномочия для проактивного расследования уязвимостей[7].

Cybersecurity court document and gavel.jpg

Основные факты

Ключевые положения, озвученные в королевской речи[2]:

i) Действующие правила UK NIS играют важную роль в защите критически важной национальной инфраструктуры Великобритании, возлагая обязанности по обеспечению кибербезопасности на секторы, предоставляющие важнейшие услуги[8]. Нормативы распространяются на пять отраслей: транспорт, энергетику, водоснабжение, здравоохранение и цифровую инфраструктуру, а также на определённые цифровые сервисы, такие как онлайн-маркетплейсы, поисковые системы и облачные вычисления. За их соблюдением следят 12 регулирующих органов.

ii) Враждебные киберпреступники всё чаще нацеливаются на критические секторы Великобритании и её цепочки поставок. Недавние масштабные атаки на лондонские больницы и Министерство обороны, а также программные выкупы в Британской библиотеке и Royal Mail показали уязвимость государственных сервисов перед киберугрозами.

iii) Последствия кибератак создают серьёзные риски для граждан страны и функционирования экономики. Например, атака программой-вымогателем на NHS в Англии в июне 2024 года привела к отмене 3 396 амбулаторных записей и 1 255 плановых операций в больницах King's College, Guy’s и St Thomas’ на юге Лондона. Оценочная стоимость киберпреступности в Великобритании за 2023 год — 320 млрд долларов, или около 225 млрд фунтов стерлингов[9].

iv) Национальный центр кибербезопасности Великобритании (NCSC) отмечает рост угроз со стороны враждебных государств и подконтрольных им групп. На конференции CyberUK исполнительный директор NCSC Фелисити Осуолд предупредила, что поставщики ключевых услуг Великобритании не могут позволить себе игнорировать эти риски[10].

v) Проведённые после внедрения UK NIS регламентов проверки показали, что влияние положительное, но прогресс недостаточно быстр[11][12]. В отчёте 2022 года подчёркивается, что эта рамочная система жизненно необходима для повышения устойчивости страны к угрозам безопасности сетей, но требует пересмотра с учётом новых рисков. С 2018 года чуть больше половины операторов жизненно важных услуг усилили внутренние политики, изначально установленные после европейской Директивы NIS 2016/1148[1][13].

Последствия

Среди нововведений — обязательная отчётность о случаях программ-вымогателей, чтобы власти могли лучше понимать уровень угроз и своевременно реагировать на потенциальные атаки за счёт расширения перечня инцидентов, которые должны быть заявлены[5][14]. Вместе с тем расширяется административная нагрузка для компаний, сопоставимая по стоимости с последствиями инцидентов[5].

Поскольку современные бизнес-практики предполагают тесную связанность организаций, все партнёры и поставщики также должны соблюдать установленные стандартами CS&R требования[5].

В Европейском союзе изначальная Директива по сетям и информационной безопасности (NIS Directive 2016/1148) заменяется обновлённой редакцией — Директивой 2022/2555 (EU NIS 2)[15][16]. NIS 2 приносит значительные изменения в систему регулирования кибербезопасности для сетей и информационных систем ЕС[15]. Британский законопроект призван приблизить UK NIS 2018 к современным европейским стандартам[15][17].

В законопроекте пока нет подробной информации о конкретных санкциях за неисполнение требований или требованиях регуляторов к компаниям, подвергшимся инциденту[18]. В апреле 2025 года министр Питер Кайл объявил о намерении ввести штрафы в размере 100 000 фунтов в день за неисполнение предписаний по реагированию на угрозы[19][20].

Реакция

Директор по национальной устойчивости Национального центра кибербезопасности Джон Эллисон заявил, что предлагаемый законопроект является «поворотным моментом в борьбе с растущей угрозой национальным системам»[21] и станет «важнейшим шагом к более комплексной системе регулирования, отвечающей вызовам современности»[21].

Бывший глава NCSC Киаран Мартин и другие специалисты приветствовали законодательную инициативу, отмечая, что обязательная отчётность — позитивная составляющая новой политики[22].

По словам представителя кампании CyberUp Мэтта Халла, организация ожидает обновления не только правил киберустойчивости, но и Закона о компьютерных злоупотреблениях 1990 года. Его совершенствование позволит киберспециалистам эффективнее защищать страну и раскрыть потенциал индустрии кибербезопасности[22].

Политическое заявление о кибербезопасности и устойчивости

В апреле 2025 года опубликовано официальное Политическое заявление правительства по CS&R, в котором перечислены подтверждённые и предлагаемые меры[23]. В заявлении отмечается: «Цифровая трансформация меняет наше критическое национальное хозяйство (CNI) и важнейшие общественные сервисы, открывая большие возможности для страны, но одновременно принося новые риски… В этом документе изложены законодательные предложения, а также отмечается необходимость гибкой системы регулирования, чтобы поспевать за динамикой угроз»[23].

Документ предусматривает расширение сферы регулирования, наделение контролирующих органов дополнительными полномочиями и улучшение контроля за отраслью, включая усиление отчётности об инцидентах, расширение возможностей сбора информации у Информационного комиссара (ICO) и совершенствование механизмов финансирования надзора. Важно, чтобы система регулирования оставалась адаптивной[24].

Законопроект затрагивает около 1000 организаций, на которые возлагается обязанность совершенствовать оценку рисков и меры киберзащиты[25]. Среди мер — повышение стандартов защиты данных и сетей, новые требования для дата-центров и провайдеров управляемых сервисов, усиление полномочий регуляторов, расширенная отчётность и предоставление правительству возможности пересматривать требования по мере появления новых угроз[25].

В заявлении подробно описаны изменения в программе Cyber Essentials: обновлённое определение программного обеспечения, устранение уязвимостей, корректировка терминологии для удалённой работы[26]. Сертификация Cyber Essentials будет осуществляться по новым спецификациям, включая контроль фрагментации сетей, проверку по выборке, а также внедрение беспарольной аутентификации[26].

Ход рассмотрения

Рассмотрение законопроекта проходит в семь этапов парламентарного процесса в обеих палатах парламента Великобритании: представление, первое и второе чтение, рассмотрение в комитете, доклад, третье чтение, рассмотрение в другой палате и королевская санкция.

  1. 17 июля 2024 — объявление о внесении законопроекта.
  2. 1 апреля 2025 — Публикация политического заявления по кибербезопасности и устойчивости[27].
  3. Первый этап: первое чтение — внесение законопроекта в Парламент в 2025 году[27][28].

Примечания

  1. 1 2 King's Speech: new cyber resilience laws planned in the UK (англ.). Pinsent Masons (17 июля 2024). Дата обращения: 5 августа 2024.
  2. 1 2 3 The King's Speech 2024 (англ.) 94. UK GOV. Дата обращения: 30 июля 2024.
  3. Griffin, A.. Labour announces host of new tech rules – but does not reveal much-hyped 'AI bill' (англ.), Independent (17 июля 2024). Дата обращения: 30 июля 2024.
  4. Government announces new Bill to strengthen the UK's cyber security and resilience (англ.). techUK (19 июля 2024). Дата обращения: 30 июля 2024.
  5. 1 2 3 4 Cyber Security and Resilience Bill: what businesses and insurers need to know (англ.). CMS Legal (18 июля 2024). Дата обращения: 30 июля 2024.
  6. What businesses need to know about the Cyber Security and Resilience Bill (англ.), ITN (22 июля 2024). Дата обращения: 30 июля 2024.
  7. UK set to debut Cyber Security and Resilience Bill to boost national cyber defenses, secure critical infrastructure (англ.). Industrial Cyber (19 июля 2024). Дата обращения: 30 июля 2024.
  8. The Network and Information Systems Regulations 2018 (англ.). Crown (10 мая 2024). Дата обращения: 4 августа 2024.
  9. Annual cost of cybercrime in the UK 2017-2028 (англ.). Ani Petrosyan (1 декабря 2023). Дата обращения: 7 августа 2024.
  10. CYBERUK 2024: Felicity Oswald keynote speech (англ.). National Cyber Security Centre (май 2024). Дата обращения: 15 августа 2024.
  11. Review of the Network and Information Systems Regulations (англ.). Crown (29 мая 2020). Дата обращения: 2 ноября 2024.
  12. Second Post-Implementation Review of the Network and Information Systems Regulations 2018 (англ.). Crown (27 июля 2022). Дата обращения: 15 августа 2024.
  13. Directive (EU) 2016/1148 of the European Parliament and of the Council (англ.). Crown (6 июля 2016). Дата обращения: 22 августа 2024.
  14. Muncaster, P. UK Government Set to Introduce New Cyber Security and Resilience Bill (англ.). Reed Exhibitions (18 июля 2024). Дата обращения: 5 августа 2024.
  15. 1 2 3 Belcheva, R. New Cyber Security & Resilience Bill announced in King's Speech (англ.). The Lens (23 июля 2024). Дата обращения: 13 августа 2024.
  16. The NIS 2 Directive (англ.). Cyber Risk (2022). Дата обращения: 13 августа 2024.
  17. Poireault, K. Navigating Regulation Discrepancies: EU's NIS 2 v UK's Cyber Security and Resilience Bill (англ.). RELX (12 августа 2024). Дата обращения: 26 сентября 2024.
  18. Jones, C. Revamped UK cybersecurity bill couldn't come soon enough, but details are patchy (англ.). The Register (30 июля 2024). Дата обращения: 4 августа 2024.
  19. Jones, Connor UK threatens £100K-a-day fines under new cyber bill (англ.). The Register (1 апреля 2025). — «pledging £100,000 ($129,000) daily fines for failing to act against specific threats under consideration.» Дата обращения: 22 августа 2025.
  20. Kundaliya, Dev UK’s new cybersecurity bill threatens £100K daily fines (англ.). Computing (2 апреля 2025). Дата обращения: 22 августа 2025.
  21. 1 2 Say, M. NCSC highlights importance of Cyber Security Bill (англ.). Informed Communications Ltd (25 июля 2024). Дата обращения: 29 августа 2024.
  22. 1 2 Akshaya, A. UK Labour Introduces Cyber Security and Resilience Bill (англ.). Information Security Media Group (17 июля 2024). Дата обращения: 16 августа 2024.
  23. 1 2 Crown (1 апреля 2025). Cyber security and resilience policy statement. Пресс-релиз.
  24. Ribeiro, Anna UK Cyber Security and Resilience Bill: Policy statement details confirmed and proposed measures for enhanced CNI protection (англ.). Industrial Cyber (1 апреля 2025). Дата обращения: 15 апреля 2025.
  25. 1 2 Muncaster, Phil (1 апреля 2025). “Cyber Security and Resilience Bill Will Apply to 1000 UK Firms”. Infosecurity magazine [англ.]. RELX. Дата обращения 15 апреля 2025.
  26. 1 2 Cyber Security and Resilience Bill - Policy Statement of Intent (англ.). TechUK (1 апреля 2025). Дата обращения: 15 апреля 2025.
  27. 1 2 Cyber security and resilience policy statement (англ.). Crown (1 апреля 2025). Дата обращения: 2 апреля 2025.
  28. Cyber Security and Resilience Bill (англ.). Crown (30 сентября 2024). — «The Bill will be introduced to Parliament in 2025». Дата обращения: 11 октября 2024.

Ссылки

Категории