Lagförslaget om cybersäkerhet och motståndskraft (CSRB) fortsätter att behandlas i parlamentet. Men slutet på en långdragen lagstiftningsprocess börjar sakta närma sig slutet. När det äntligen blir lag kommer lagförslaget att innebära en länge efterlängtad uppdatering av NIS-förordningarna från 2018. Men hur är det med brittiska organisationer som redan följer EU:s översyn av samma regler, så kallad NIS2?
Även om det finns vissa försök att samordna de två, finns det också många punkter där de skiljer sig åt. Från antalet sektorer som beaktas i omfattningen till storleken på potentiella böter, måste compliance-team börja förstå effekterna av dessa förändringar nu. Och planera för en potentiellt stor mängd extra arbete.
Hur CSRB skiljer sig från NIS2
För att förstå hur mycket CSRB avviker från NIS2, ta en titt på sammanfattning av lagförslaget på regeringens webbplats. Den nämner inte dess europeiska motsvarighet alls. Inte heller förekommer ordet ”anpassning”. I praktiken finns det flera områden för compliance-team att titta på:
Reglerade enheter: tillämpningsområde
Storbritannien fokuserar på operatörer av viktiga tjänster (OES), relevanta leverantörer av digitala tjänster (RDSP) – som är moln-, sök- och marknadsplatsleverantörer – och en ny kategori av relevanta hanterade tjänsteleverantörer (RMSP). Dess tillvägagångssätt är att utse specifika OES, medan NIS2 automatiskt drar in alla medelstora och stora enheter i 18 sektorer. Resultatet blir att vissa organisationer som omfattas av CSRB kommer att undgå NIS2-regleringen och vice versa.
Reglerade enheter: nya kategorier
CSRB introducerar endast en ny OES-kategori för ”datacentertjänster”, medan NIS2 omfattar flera: offentlig förvaltning, rymd, avloppsvatten, livsmedel, tillverkning, posttjänster, avfallshantering och digitala leverantörer. Det gör det mer sannolikt att brittiska organisationer som inte regleras av CSRB kommer att falla under NIS2.
MSP:er:
RMSP:er introduceras som en ny kategori i CSRB, och de betraktas som väsentliga enheter eller viktiga enheter av NIS2. Men det kan finnas olika efterlevnadskrav för varje system.
Övervakning av leveranskedjan:
I Storbritannien kan ”kritiska leverantörer” till OES:er, RDSP:er och RMSP:er utses av behöriga myndigheter och Information Commissioner's Office (ICO) och är föremål för direkt tillsyn. I NIS2 finns ingen direkt tillsyn, men alla enheter som omfattas måste bedöma risker i leveranskedjan.
Incidentdefinitioner och rapportering:
CSRB:s definition av en reglerad incident har utökats till att omfatta händelser ”som kan ha en betydande inverkan på tillhandahållandet av en väsentlig eller digital tjänst” samt ”incidenter som avsevärt påverkar ett systems konfidentialitet, tillgänglighet och integritet”. Betydelsen kommer att bedömas bransch för bransch. I NIS2 är incidenter de som orsakar driftstörningar, ekonomisk förlust eller materiell/immateriell skada för andra. Detta innebär att tröskeln för rapportering kan vara annorlunda i Storbritannien/EU.
Rapporteringstidslinjerna – initial rapportering inom 24 timmar efter att en incident blivit medveten om, sedan fullständig anmälan inom 72 timmar – är dock i stort sett desamma i Storbritannien/EU.
Kundmeddelande:
Detta krävs för leverantörer av datacentertjänster, RDSP:er och RMSP:er i Storbritannien. Men det kan finnas ytterligare krav enligt NIS2, beroende på medlemslandets tolkning av direktivet.
Personlig trovärdighet:
Detta täcks inte av CSRB, men NIS2 inför betydande personligt ansvar för ledningen. Detta inkluderar obligatorisk utbildning för chefer och personligt ansvar för bristande efterlevnad. Brittiska organisationer som följer NIS2 kommer att behöva förstå de mer detaljerade styrningskraven i EU:s system.
Straffar:
I CSRB är standardstraffen det högsta av 10 miljoner pund eller 2 % av den globala årsomsättningen, men den kan uppgå till 17 miljoner pund/4 % för maximala straff. NIS2 ger medlemsstaterna handlingsutrymme att besluta om dessa, så länge de är "effektiva, proportionella och avskräckande".
Anmälan:
Enligt CSRB måste RMSP:er och datacenterleverantörer som utsetts till OES:er registrera sig. I NIS2 måste väsentliga och viktiga enheter registrera sig hos behöriga myndigheter, men medlemsstaterna bestämmer hur detta fungerar. Slutsatsen är att brittiska organisationer kommer att behöva bedöma sina skyldigheter för båda separat.
Allmänt tillvägagångssätt:
CSRB inför betydande nya informationsinsamlingsbefogenheter för behöriga myndigheter och ICO, oavsett vilken typ av reglerad organisation det rör sig om. NIS2 gör det möjligt för viktiga enheter att dra nytta av en enklare strategi.
Men överlag är CSRB utformad för att vara mer flexibel än sin europeiska motsvarighet, säger James Wong, senior associate i Tech & Digital-teamet på den globala advokatbyrån Clifford Chance.
”Regeringen kommer att kunna utfärda strategiska prioriteringar och riktade riktlinjer, och tillsynsmyndigheter kommer att kunna utse enheter som 'kritiska leverantörer' vilket direkt omfattas av regimen”, säger han till IO (tidigare ISMS.online). ”Lagförslaget tillhandahåller också en mekanism för praxisregler, vilket möjliggör nyanser anpassade till sammanhanget.”
Efterlevnadsbördan växer
Wong menar att komplexiteten i ”lokala implementeringslagar”, sekundärlagstiftning och det potentiella behovet av att samarbeta med flera tillsynsmyndigheter gör efterlevnaden svårare för organisationer som omfattas av både NIS2 och CSRB.
Rhiannon Webster, chef för cybersäkerhet i Storbritannien på den globala advokatbyrån Ashurst, tillägger att Brexit börjar få en verklig inverkan på efterlevnadsbördan för brittiska företag som är verksamma i Europa, med detta lagförslag och lagen om dataanvändning och åtkomst.
”Det har tagit ett tag, med tanke på att integritets- och cyberlagar i Storbritannien hittills bara är kopior av sina föregångare i EU. Vi har dock några små men meningsfulla förändringar på gång”, säger hon till IO.
”Även om företag kan försöka följa båda systemen på ett enhetligt sätt genom att tillämpa högsta standard i Storbritannien och Europa, är det osannolikt att detta är en kommersiell metod för efterlevnad, och företag kommer att behöva beakta skillnaderna i systemen när de antar efterlevnadsprogram och bedömer risker.”
Komma igång
Webster uppmanar organisationer att först undersöka om de omfattas av NIS2 och dess brittiska motsvarighet.
”Du kanske blir förvånad över att höra att vi, vid säkerhetsincidenter och för att uppfylla tidsfristerna för rapportering, ofta har kunder som varit osäkra på om de har blivit upptäckta av NIS2 och försöker lista ut det i en situation med ett dataintrång, vilket är långt ifrån idealiskt”, förklarar hon.
"Efterlevnad av standarder som ISO 27001 kan användas för att säkerställa att era informationssäkerhetskrav är proportionella"."
Clifford Chances Wong förklarar att ett ”enhetligt cyberberedskapsprogram anpassat till alla relevanta lagar och regleringskrav” bör vara huvudmålet för compliance-team.
”Att använda etablerade ramverk som ISO 27001 kan effektivisera efterlevnaden och göra det enklare att demonstrera kärnpraxis i flera jurisdiktioner. Sådana ramverk ger en struktur att bygga vidare på, men är bara en bas och måste anpassas till lokala skyldigheter”, tillägger han. ”Regelbundna granskningar säkerställer att programmet förblir ändamålsenligt när kraven förändras över tid.”
För komplexa affärsverksamheter som spänner över flera jurisdiktioner blir bästa praxis ännu viktigare, säger Wong. Han pekar på ”proaktivt ledarskap”, prioritering av risker och kontroller, regelbundna diskussioner, starka relationer i leveranskedjan och att rätt verktyg används.
Oavsett hur man ser på det kommer priset för att operera i Storbritannien och EU att öka.
Utöka din kunskap
Webinar: Behärska NIS 2 Överensstämmelse med ISO 27001
Blogg: Från NIS2 till Cyber Resilience Act: "Produktsidan" av styrning
Blogg: Bygg en gång, följ överallt: Handboken för efterlevnad av flera ramverk
