معرفی لایحه جدید Cyber Security and Resilience Bill در بریتانیا

دولت بریتانیا لایحه‌ای جدید با عنوان Cyber Security and Resilience Bill معرفی کرده است که هدف آن ارتقای سطح امنیت سایبری شرکت‌ها و نهادهای حیاتی کشور است.
بر اساس این قانون، تمامی شرکت‌ها و سازمان‌هایی که در حوزه زیرساخت‌های حیاتی، خدمات عمومی یا فناوری فعالیت دارند، موظف‌اند حداقل استانداردهای امنیت سایبری را رعایت کنند. در غیر این صورت، با جریمه‌های سنگین مالی و محدودیت‌های قانونی مواجه خواهند شد.

این قانون به دنبال افزایش پاسخگویی شرکت‌ها در قبال حوادث سایبری است و از آن‌ها می‌خواهد در صورت وقوع رخداد امنیتی، ظرف مدت کوتاهی آن را گزارش دهند.
کارشناسان معتقدند که تصویب این لایحه می‌تواند الگوی جدیدی برای کشورهای دیگر در تنظیم مقررات امنیت سایبری باشد و شرکت‌های بین‌المللی فعال در بریتانیا را به بازنگری در سیاست‌های امنیتی خود وادار کند.

در ادامه خلاصه ای از این لایحه را ارایه می کنم:

خلاصه فارسی لایحه «Cyber Security and Resilience Bill» بریتانیا

عنوان رسمی:
Cyber Security and Resilience Bill – Draft 2024/2025
(لایحه امنیت و تاب‌آوری سایبری)

هدف کلی لایحه

این لایحه با هدف تقویت امنیت دیجیتال، حفاظت از زیرساخت‌های حیاتی، و افزایش پاسخ‌گویی شرکت‌ها و سازمان‌ها در برابر تهدیدات سایبری تدوین شده است. دولت بریتانیا با این قانون قصد دارد نظام حقوقی منسجمی برای مقابله با حملات سایبری و افزایش تاب‌آوری ملی ایجاد کند.

بخش ۱: الزامات عمومی شرکت‌ها و سازمان‌ها

• تمام شرکت‌ها، به‌ویژه آن‌هایی که در حوزه زیرساخت‌های حیاتی (مانند انرژی، حمل‌ونقل، ارتباطات و خدمات عمومی) فعالیت دارند، موظف به رعایت حداقل استانداردهای امنیت سایبری هستند.
• این استانداردها شامل مواردی مانند رمزنگاری داده‌ها، مدیریت دسترسی، به‌روزرسانی نرم‌افزارها و نظارت بر تهدیدات است.
• شرکت‌ها باید گزارش سالانه‌ای از وضعیت امنیت سایبری خود به نهاد نظارتی ارسال کنند.

بخش ۲: گزارش رخدادهای امنیتی (Incident Reporting)

• هرگونه حادثه یا نفوذ سایبری باید ظرف ۷۲ ساعت به مرکز ملی امنیت سایبری (NCSC) گزارش شود.
• در صورت عدم گزارش یا پنهان‌کاری، شرکت‌ها مشمول جریمه‌های مالی سنگین می‌شوند.
• دولت اجازه دارد برای صنایع مختلف، قالب و محتوای گزارش را به‌صورت استاندارد تعریف کند.

بخش ۳: مجازات‌ها و ضمانت اجرا

• جریمه‌ها بسته به شدت نقض امنیت از ۵۰ هزار پوند تا چند میلیون پوند متغیر است.
• در مواردی که سهل‌انگاری باعث خسارت گسترده شود، مدیران ارشد ممکن است به تحقیقات قضایی یا محدودیت مدیریتی محکوم شوند.
• شرکت‌های خارجی فعال در خاک بریتانیا نیز مشمول این قانون هستند.

بخش ۴: الزامات تاب‌آوری (Resilience Requirements)

• شرکت‌ها باید برنامه‌های «تداوم کسب‌وکار» و «بازیابی از فاجعه» (Business Continuity & Disaster Recovery) را طراحی و آزمایش کنند.
• دولت می‌تواند از شرکت‌ها بخواهد تمرین‌های شبیه‌سازی حملات سایبری انجام دهند.
• ارزیابی دوره‌ای آمادگی سایبری به‌صورت اجباری انجام می‌شود.

بخش ۵: نقش دولت و نهادهای نظارتی

• نهاد اصلی ناظر بر اجرای قانون، مرکز ملی امنیت سایبری بریتانیا (NCSC) است.
• این مرکز موظف است دستورالعمل‌های فنی، چارچوب‌های ارزیابی و شاخص‌های امنیتی را برای صنایع مختلف منتشر کند.
• دولت می‌تواند در شرایط اضطراری سایبری، دسترسی موقت به شبکه‌ها یا داده‌های سازمان‌های کلیدی را برای بررسی و کنترل بحران فعال کند.

بخش ۶: همکاری بین‌المللی

• بریتانیا متعهد می‌شود با اتحادیه اروپا، ایالات متحده و سایر کشورها برای مقابله با جرایم سایبری همکاری اطلاعاتی و حقوقی داشته باشد.
• داده‌های تبادلی در چارچوب قوانین حفظ حریم خصوصی (UK GDPR) محافظت خواهند شد.

بخش ۷: تصویب و اجرا

• پس از تأیید پارلمان، لایحه در قالب «Cyber Security and Resilience Act» اجرا می‌شود.
• مرحله اجرایی از اواخر سال ۲۰۲5 آغاز خواهد شد.
• شرکت‌ها شش ماه فرصت خواهند داشت تا با الزامات جدید مطابقت پیدا کنند.

جمع‌بندی تحلیلی

این لایحه، گام مهمی در جهت ایجاد نظام الزام‌آور امنیت سایبری در سطح ملی است.
برخلاف سیاست‌های داوطلبانه گذشته، قانون جدید سازمان‌ها را ملزم به پاسخ‌گویی مستقیم می‌کند و با تعیین جریمه‌ها، امنیت را از یک توصیه فنی به یک تعهد حقوقی تبدیل می‌کند.