Cette politique marque un tournant par rapport aux anciens cadres réglementaires, signalant une approche plus large et plus agile du risque cyber. Elle étend la surveillance réglementaire aux fournisseurs de services managés (Managed Service Providers) et introduit une nouvelle catégorie de « fournisseurs critiques », permettant aux autorités de surveiller de près les entités dont la compromission pourrait affecter l’ensemble d’un secteur. Cette mesure devrait soumettre près de 1 100 entreprises supplémentaires à une régulation formelle.
La législation renforce les obligations de notification en cas de violation, imposant une déclaration des incidents dans un délai de 24 heures et élargissant la définition des incidents déclarables pour inclure les atteintes à la confidentialité et à l’intégrité des systèmes. Elle donne également aux régulateurs, comme l’Information Commissioner’s Office, des pouvoirs d’enquête proactifs et leur fournit des mécanismes de financement durables.
Consciente de l’évolution rapide du paysage des menaces, la loi prévoit des dispositions pour permettre une adaptation future. Le secrétaire d’État se verra accorder le pouvoir d’élargir le champ réglementaire sans avoir besoin d’une nouvelle législation, permettant ainsi de répondre plus rapidement aux menaces émergentes. D’autres propositions sont à l’étude, notamment la mise sous régulation des centres de données commerciaux et l’autorisation d’interventions ministérielles directes en cas d’urgence de sécurité nationale.
La stabilité économique est présentée comme un objectif central. Le gouvernement soutient que des infrastructures numériques sécurisées sont la base de l’innovation et de la croissance, répondant à la demande du monde des affaires pour une régulation « agile et favorable à l’innovation ». L’approche reflète certains aspects du cadre NIS2 de l’UE tout en mettant l’accent sur des priorités spécifiquement britanniques.
Malgré les éloges reçus pour son ambition, des experts en cybersécurité avertissent que la portée du projet reste limitée. Il s’applique principalement à un sous-ensemble spécifique d’organisations, laissant de nombreuses entreprises privées — tout aussi vulnérables — en dehors de sa protection. Les experts soulignent la nécessité d’une sensibilisation plus large du public et d’une adoption généralisée des bonnes pratiques d’hygiène numérique, notant que l’interdépendance des chaînes d’approvisionnement signifie que la sécurité d’une entité peut affecter celle de nombreuses autres.
Bien que ce projet de loi constitue une étape cruciale vers une meilleure résilience cybernétique nationale, il ne s’agit que d’un élément d’une stratégie à long terme. Le gouvernement reconnaît qu’il ne s’agit pas d’une solution finale, mais d’une base pour une évolution continue face à des menaces numériques de plus en plus intenses.
Source: DIGIT
Le European Cyber Intelligence Forum est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.