Con l’aumento delle minacce informatiche, il governo britannico ha deciso di prendere misure decisive per proteggere i servizi fondamentali per la società. È stata presentata in Parlamento la legge sulla sicurezza informatica e resilienza (CSRB), un’iniziativa mirata a salvaguardare settori cruciali come la sanità, l’acqua, i trasporti e l’energia da potenziali attacchi informatici.
Questa legislazione non è solo una risposta alle crescenti preoccupazioni riguardo alla sicurezza, ma rappresenta anche un passo fondamentale per prevenire perdite economiche significative, stimate intorno ai 15 miliardi di sterline all’anno per l’economia britannica a causa di attacchi informatici.
Regolamenti per le aziende IT
Con le nuove disposizioni, per la prima volta le aziende di servizi IT di medie e grandi dimensioni che offrono gestione informatica, supporto helpdesk e sicurezza informatica a servizi critici saranno soggette a regolamentazione.
Queste organizzazioni dovranno comunicare eventuali violazioni della sicurezza entro 24 ore e fornire un rapporto completo entro 72 ore.
Obblighi di notifica
Inoltre, è previsto che le aziende informino anche i propri clienti e gli utenti dei servizi riguardo agli incidenti di sicurezza. Questa misura è essenziale per garantire la trasparenza e la responsabilità nel settore, un aspetto spesso trascurato in situazioni di crisi.
Nuove competenze per i regolatori
La legge conferisce al governo nuovi poteri per indirizzare i regolatori e le organizzazioni sotto la loro supervisione verso l’adozione di misure specifiche e proporzionate per prevenire attacchi informatici, specialmente quando esiste un rischio per la sicurezza nazionale. Ciò potrebbe significare rafforzare il monitoraggio della sicurezza dei sistemi o isolare quelli considerati ad alto rischio.
Designazione dei fornitori critici
Le autorità di regolamentazione avranno anche il potere di designare le organizzazioni che forniscono servizi essenziali, come i fornitori di diagnostica per il NHS o le aziende chimiche per la fornitura di acqua. Queste entità dovranno rispettare requisiti minimi di sicurezza, contribuendo così a creare un ecosistema di servizi più sicuro.
Divieto di pagamenti ai gruppi di ransomware
Un aspetto controverso della nuova legislazione è il divieto per le organizzazioni del settore pubblico, come comuni, scuole e operatori di infrastrutture nazionali critiche, di effettuare pagamenti ai gruppi di ransomware. Questo divieto mira a scoraggiare il pagamento di riscatti, che alimenta ulteriormente il crimine informatico.
Impatto economico degli attacchi informatici
Le statistiche parlano chiaro: un attacco informatico a un’infrastruttura nazionale critica potrebbe aumentare temporaneamente il debito pubblico di oltre 30 miliardi di sterline, un valore che rappresenta circa l’1,1% del PIL.
Inoltre, un attacco significativo può costare in media oltre 190.000 sterline, un onere non indifferente per le aziende.
Il governo sottolinea che le recenti ondate di attacchi contro i fornitori di servizi gestiti (MSP) dimostrano l’urgenza di queste nuove leggi. Un caso emblematico è stato l’accesso non autorizzato ai sistemi di pagamento del Ministero della Difesa, che ha messo in evidenza le vulnerabilità esistenti e la necessità di una legislazione più robusta.
Il futuro della sicurezza informatica nel Regno Unito
La presentazione della legge sulla sicurezza informatica e resilienza rappresenta un cambiamento significativo nell’approccio alla protezione dei servizi critici. Secondo il segretario alla scienza, innovazione e tecnologia, Liz Kendall, queste normative porteranno a meno appuntamenti cancellati nel NHS e a una risposta più rapida a potenziali minacce.
Questa legislazione non è solo una risposta alle crescenti preoccupazioni riguardo alla sicurezza, ma rappresenta anche un passo fondamentale per prevenire perdite economiche significative, stimate intorno ai 15 miliardi di sterline all’anno per l’economia britannica a causa di attacchi informatici.0
