議会委員会は、サイバーセキュリティ・レジリエンス法案(CSRB)をより詳細に検討するのに役立つよう、業界からの意見を求めています。
2024年の国王演説で初めて提案されたCSRBは、2018年のNIS規則の長年待たれていた後継法案であり、重要インフラセクターのためのUKサイバー規制をNIS2スタイルで一新することを約束しています。
先週、議会での第2読会を完了し、現在は委員会段階に達しており、法案はさらに検討されることになります。
公開法案委員会は、この法案に「関連する専門知識と経験または特別な関心」を持つ誰もが、できるだけ早く書面での意見を提出するよう求めています。2月3日から証拠聴取を開始し、3月まで審査が続く予定ですが、早期の参加が奨励されています。
「書面での証拠提出を検討している人は、委員会が予定期限より早く検討を終了する可能性があるため、できるだけ早く提出することを強くお勧めします」と警告しています。
CSRBについてさらに詳しく:英国政府がサイバーセキュリティ・レジリエンス法案をついに導入
委員会は3月5日までに報告書を提出する予定です。その後、法案は下院で第3読会を行い、春/夏に貴族院に提出されます。王妃の同意は2026年末に予定されています。
サイバーセキュリティの強化が幅広い超党派的支持を得ているため、下院の政治的相違により法案が大幅な修正を余儀なくされる可能性は低く、業界からのフィードバックが特に重要です。
- MSP、データセンター、大型負荷コントローラー(例:EV充電ステーション)および規制当局によってまだ定義されていない他の組織を含む対象範囲の拡大
- インシデント報告期限をめぐるより厳しい規則と報告可能なインシデントのより広い範囲
- 対象組織がサプライチェーンリスクをより積極的に管理するための義務
- 対象組織がNCSCサイバー評価フレームワーク(CAF)から導き出された「適切で最新のセキュリティ要件」を満たすことの要件
- 規制当局の権限の強化と、潜在的により高い罰則
決定すべきことはまだ多い
トレンドマイクロのUKサイバーセキュリティディレクター、ジョナサン・リーは、この協議を歓迎しました。
「日々クライアントと一緒に働く最前線の人々を関与させることは、法律が望ましい結果を達成することを確認するために不可欠です」と彼はInfosecurityに述べました。
「協議が大手テック企業だけでなく、サイバーセキュリティ業界全体に届くことを確認する必要があることに注意したいです。SMEやMSP、インシデント対応者、そしてサイバーセキュリティ企業など、すべての声が聞かれるようにする必要があります。」
リーは、法案の修正が必要な領域がいくつかあることに注目しました:「マネージドサービスと重要なサプライヤーの明確でリスクベースの定義、過度な報告を避けるための合理化された適切なインシデント報告閾値、規制当局間の一貫性、重複を削減し費用回収の阻害要因を排除するためのより優れた重複規制との調整、機密データを保護しながらレジリエンスを改善する透明な情報共有メカニズム。」
チャールズ・ラッセル・スピーチルス事務所のパートナー、マーク・ベイリーは、法案にはまだ重大な欠陥があることに同意しました。
「運用上の詳細の大部分は、インシデント報告閾値、重要なサプライヤーの定義、マネージドサービスプロバイダーの義務などを含む二次法制で定められる予定です」と彼はInfosecurityに述べました。
「これは、特に業界からのフィードバックに対応して、より多くの改善が見られるかもしれません。技術標準、ポータルベースの報告メカニズム、および実施タイムラインに関する主要な質問は、この次のフェーズで形作られる可能性があります。」
書面での証拠提出に関する詳細情報は、こちらにあります。
翻訳元: https://www.infosecurity-magazine.com/news/parliament-security-pros-cyber/
