Az Egyesült Királyság illetékes minisztériuma (Department for Digital, Culture, Media & Sport) a jövő májusban életbe lépő uniós irányelv (Network and Information Systems – NIS – Directive) előírásainak megfelelő javaslatot terjesztett be, mely szerint szigorúan számon kérnék a kritikus infrastruktúrákat üzemeltető vállalatokon, hogy mennyi gondot fordítanak az IT-biztonságra.

Az előterjesztés szerint az olyan vállalatoknál, mint például az energiaipari vagy közlekedési cégek, ha bebizonyosodik, hogy felelőtlenül kezelték a kiberbiztonságot, akár 5,5 milliárd forintnak megfelelő, illetve a globális forgalom négy százalékát kitevő bírságot is kiróhatnának. Az alapvető elvárás az lenne, hogy e vállalatok felmutassanak egy olyan stratégiát, melyet a váratlan súlyos üzemzavarok, illetve katasztrófahelyzetek kezelésére dolgoztak ki.

Az említett NIS abban különbözik a vele párhuzamosan életbe lépő adatvédelmi irányelvtől (General Data Protection Regulations – GDPR), hogy nem az adatvesztésről szól, hanem a szolgáltatáskiesési helyzeteket szabályozza, és a brit minisztérium javaslata még szigorúbb is, mint az EU-s irányelv.

A javaslat hivatkozik a közelmúlt eseményeire, amikor zsarolóvírusok okoztak fennakadásokat a víz-, energia- és közlekedési iparban, valamint az egészségügyben, és kiemelik, hogy a súlyos pénzbírságok csak a végső megoldást jelentik, elsősorban arra akarják rábírni a gazdasági szereplőket, hogy a korábbinál sokkal nagyobb figyelmet fordítsanak a kiberbiztonságra. A tervezetről tegnap megkezdték az érintettekkel a konzultációt.