O Reino Unido apresentou uma nova legislação para fortalecer a defesa cibernética de hospitais, sistemas de energia, abastecimento de água e redes de transporte contra ataques cibernéticos, que causam danos anuais estimados em quase £15 bilhões (cerca de US$ 19,6 bilhões).
O Cyber Security and Resilience Bill, introduzido no Parlamento britânico em 12 de novembro, amplia as regras já vigentes no Network and Information Systems (NIS) Regulations de 2018, representando uma reformulação profunda na forma como o país protege serviços essenciais.
A legislação responde ao aumento das ameaças, que já provocaram grandes interrupções no NHS, afetando mais de 11 mil consultas médicas, além de comprometer sistemas de folha de pagamento do Ministério da Defesa.
“Hospitais, redes de energia, abastecimento de água e transporte terão proteção reforçada contra ataques cibernéticos com as novas leis introduzidas hoje (12 de novembro) no Parlamento”, afirmou o Department for Science, Innovation and Technology na última quarta-feira.
“Diante do crescimento das ameaças digitais, a lei vai evitar interrupções – mantendo o fornecimento de água, energia e transporte do Reino Unido funcionando normalmente – e garantir que os provedores de serviços vitais adotem padrões de segurança mais rigorosos.”
Pela primeira vez, a lei obriga provedores de serviços gerenciados — como gestão de TI, suporte técnico e serviços de cybersecurity de médio e grande porte — a seguir padrões mínimos de segurança.
Essas empresas também deverão possuir planos eficazes de resposta a incidentes e reportar ataques significativos ao National Cyber Security Centre (NCSC) e aos seus reguladores em até 24 horas, com relatórios completos entregues em 72 horas.
Os reguladores poderão designar fornecedores críticos, como laboratórios de diagnóstico de saúde ou empresas químicas para abastecimento de água, exigindo que cumpram padrões mínimos para mitigar riscos na cadeia de suprimentos.
O Secretary of State for Technology terá autoridade para ordenar a reguladores e organizações, como Thames Water e trusts do NHS, ações específicas — como monitoramento reforçado ou isolamento de sistemas — sempre que a segurança nacional for ameaçada.
Além disso, a nova lei prevê penalidades financeiras proporcionais ao faturamento das empresas em caso de violações graves, incentivando a conformidade e desestimulando a negligência.
A proteção também se estende a data centers e a entidades que gerenciam infraestruturas inteligentes de energia, como pontos de recarga para veículos elétricos.
Pesquisas independentes citadas pelo governo britânico indicam que o custo médio de um “ataque cibernético significativo” no país ultrapassa £190 mil, totalizando cerca de £14,7 bilhões por ano — o equivalente a 0,5% do PIB nacional.
Um exemplo emblemático foi o ataque sofrido pela Jaguar Land Rover (JLR) em setembro.
O incidente, considerado o “ataque mais custoso da história do Reino Unido”, levou ao fechamento de sistemas e causou prejuízos estimados em pelo menos £1,9 bilhão.
O Office for Budget Responsibility do Reino Unido também alerta que ataques a infraestruturas críticas podem elevar temporariamente os empréstimos governamentais em mais de £30 bilhões.
Na última semana, em parceria com o governo, as maiores operadoras móveis do Reino Unido se comprometeram a aprimorar seus sistemas para bloquear, em até um ano, a prática de spoofing de números telefônicos usada por fraudadores.
No início deste ano, o país anunciou planos para proibir organizações do setor público e de infraestruturas críticas de pagarem resgates em casos de ataques de ransomware, fortalecendo ainda mais sua postura contra ciberataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...