İngiltere Hükümeti Siber Güvenlik Yasasından Muaf Tutulması Güven Sorunu Yarattı

İngiltere'de kamu sektörüne yönelik siber saldırılar giderek artarken, hükümetin yeni Siber Güvenlik ve Direnç (CSR) Yasa Tasarısı'ndan kendisini muaf tutma kararı ciddi endişelere yol açtı. Hukuki Yardım Kurumu'na yapılan siber saldırıdan Dışişleri Bakanlığı ihlaline kadar birçok yüksek profilli vaka yaşanırken, Ulusal Siber Güvenlik Merkezi (NCSC) raporlarına göre 2020-2021 yılları arasında yönettiği saldırıların %40'ı kamu sektörünü hedef aldı ve bu oranın artması bekleniyor. Bu tehdit ortamına rağmen, ülkenin amiral gemisi niteliğindeki CSR Yasa Tasarısı'nın hem merkezi hem de yerel yönetimleri kapsam dışı bırakması, yasanın etkinliği hakkında soru işaretleri doğuruyor.

Muhalefet liderleri, özellikle eski dijital sekreter Sir Oliver Dowden, Avam Kamarası'nda hükümeti bu tutumunu yeniden gözden geçirmeye çağırdı. Dowden, kamu sektörüne daha sıkı gereksinimler getirilmesinin bakanları siber güvenliğe daha fazla odaklanmaya zorlayacağını savundu. CSR Yasa Tasarısı, ülkenin eskiyen NIS 2018 düzenlemelerini güncellemek ve yönetilen hizmet sağlayıcıları ile veri merkezleri gibi unsurları kapsamına almak amacıyla hazırlandı. Ancak, AB'nin benzer NIS2 düzenlemesinden farklı olarak, İngiltere'nin tasarısı kamu otoritelerini kapsam dışı bırakarak daha dar bir çerçeve çiziyor.

Hükümet, yasal yükümlülükler olmaksızın departmanlarını CSR Yasa Tasarısı ile eşit güvenlik standartlarında tutmayı amaçlayan bir "Hükümet Siber Eylem Planı"nı devreye soktuğunu belirtti. Ancak eleştirmenler, bu planın yasa tasarısının kapsamı hakkındaki eleştirileri bastırmak için bir araç olabileceğini ve gerçek güvenlik taahhütlerinden yoksun olduğunu düşünüyor. Dowden'ın da belirttiği gibi, siber güvenlik konuları hükümet içinde genellikle hızla öncelik kaybedebiliyor ve yasal gereklilikler, bakanları bu konuda daha sorumlu davranmaya mecbur bırakıyor. Yasal düzenleme olmaması durumunda siber güvenlik çabalarının göz ardı edilme riski bulunuyor.