- O projeto de lei ‘Cyber Security and Resilience (CSR)’ do Reino Unido inclui infraestrutura nacional crítica e provedores de serviços gerenciados no escopo regulatório, mas exclui os governos central e locais
- Em vez disso, o governo afirmou que aplicará voluntariamente os mesmos padrões de segurança por meio do ‘Government Cyber Action Plan’, porém sem obrigação legal
- Vários parlamentares e especialistas criticam o fato de que, embora o setor público seja um alvo importante de ataques, ele ficou fora da aplicação da lei, apontando que padrões voluntários sem força legal geram falta de confiança
- Segundo relatório do National Audit Office (NAO), as falhas de segurança e a lentidão nas melhorias nos sistemas do governo são graves, o que levanta preocupações de que o plano atual não seja suficiente
- A decisão de excluir o setor público levanta dúvidas sobre o compromisso do governo com a cibersegurança, e a necessidade de complementação legislativa no futuro vem ganhando força
Escopo do projeto de lei CSR e a autoisenção do governo
- O projeto de lei CSR tem como objetivo modernizar a estrutura de cibersegurança do Reino Unido, substituindo as regras NIS de 2018
- Inclui provedores de serviços gerenciados e datacenters, mas exclui os governos central e locais
- Ao contrário da diretiva NIS2 da UE, exclui órgãos públicos do escopo regulatório
- Sir Oliver Dowden criticou na Câmara dos Comuns o fato de o governo ter excluído a si próprio da aplicação da lei
- Defendeu que requisitos mais rígidos deveriam ser impostos ao setor público
- Enfatizou que precisa haver obrigação legal para que ministros tratem a cibersegurança como prioridade
Resposta do governo e o ‘Cyber Action Plan’
- O ministro Ian Murray respondeu que aceitaria a proposta de Dowden e mencionou o Government Cyber Action Plan
- Esse plano aplica aos departamentos do governo padrões de segurança no mesmo nível do projeto de lei CSR, mas sem caráter legalmente vinculante
- Críticos veem isso como uma medida para evitar críticas e questionam seu efeito prático no reforço da segurança
- Neil Brown (Decoded.legal) observou: “Se o governo vai seguir padrões equivalentes aos do projeto de lei, não há razão para evitar sua aplicação”
- Avaliou que a exclusão do projeto de lei é uma decisão que não inspira confiança
Realidade da segurança no setor público e críticas
- Segundo relatório do NCSC, entre setembro de 2020 e agosto de 2021, 40% dos ataques tratados tinham o setor público como alvo
- Espera-se que essa proporção aumente no futuro
- O relatório de 2025 do National Audit Office (NAO), ao examinar 58 dos 72 sistemas centrais do governo, confirmou múltiplas falhas de segurança e lentidão nas correções
- Isso mostra que o setor público continua vulnerável a ataques cibernéticos regulares
- Nesse contexto, a exclusão do setor público do projeto de lei CSR é criticada como falta de consistência nas políticas
Direção futura da legislação e debate
- O deputado trabalhista Matt Western mencionou que o projeto de lei CSR não é uma solução completa e que legislação adicional sob medida virá em seguida
- Ele mencionou a possibilidade de o governo preparar separadamente uma lei de cibersegurança voltada ao setor público
- Neil Brown avaliou que “uma abordagem com leis pequenas e claras, aprovadas com frequência, é mais sensata”
- Explicou que, como no Telecommunications (Security) Act 2021 e no Product Security and Telecommunications Infrastructure Act 2022, legislação separada por área pode ser eficaz
Confiança e impacto político
- Sempre que órgãos públicos, conselhos locais ou o NHS são atacados, a decisão do governo de se excluir do projeto de lei vira munição para a oposição
- Também foi apontado o precedente de recomendações de melhoria de segurança propostas no governo conservador (2022) que continuam sem implementação há mais de dois anos
- Enquanto o governo mantiver a autoisenção, a falta de confiança em sua disposição para melhorar a cibersegurança tende a continuar
- Para que o projeto de lei CSR se consolide como peça central da arquitetura nacional de segurança, a inclusão ou não do setor público deve permanecer como questão-chave no futuro
1 comentários
Comentários do Hacker News
Dei uma olhada por cima nesse projeto de lei, e acho que ele foi interpretado de forma cínica demais
O ponto principal é designar fornecedores e prestadores de serviço essenciais e definir as obrigações de segurança deles
O governo central normalmente não é um fornecedor direto, e sim um cliente que usa vários fornecedores externos
Por isso, não acho estranho que o governo tenha ficado fora do escopo da lei neste início. Primeiro faz sentido organizar os fornecedores de primeira linha e depois criar uma regulação para o conjunto das funções do governo
Então o fato de terem incluído explicitamente uma isenção desta vez pode ser visto como uma evidência de que, originalmente, o governo também estaria sujeito à lei
Se esta fosse a primeira tentativa, eu concordaria, mas já é um método que falhou várias vezes
O governo trabalha com muitos fornecedores, mas ao mesmo tempo também atua diretamente como prestador de serviços por meio de agências nacionais de cibersegurança ou órgãos de suporte de TI
Por exemplo, opera SOCs, faz consultoria de segurança, compartilhamento de informações e várias outras funções, então excluir o governo parece apenas uma medida para economizar orçamento
Acho que seria possível obter melhorias reais de segurança se os órgãos do governo britânico adotassem gradualmente divulgação coordenada de vulnerabilidades (Coordinated Vulnerability Disclosure)
Isso também bate com o artigo, que diz que o projeto UK CSR seria o primeiro passo para evoluir para uma legislação de segurança sob medida
Trabalho com engenharia de software ligada a informações médicas, então esse tema me parece especialmente da minha área
Material relacionado pode ser visto no link do GitHub
Parece aquela atitude de “façam o que mandamos, não façam o que fazemos”, com os engenheiros que projetam mudanças sentados no banco de trás
É parecido com o que acontece em lugares como o Texas, onde órgãos estaduais não precisam seguir o código de obras
Quando trabalhei em um canteiro de construção de um datacenter estadual, vi casos assim — era tipo “amianto? o que é isso?”
Existem motivos para esse tipo de isenção
Por exemplo, evitar a necessidade de enviar relatórios para si mesmo ou divulgar informações sensíveis
Mas a abordagem correta seria criar uma estrutura legal básica e, nas normas de implementação detalhadas, especificar algo como “o órgão XXX aplica a NIS2 com as seguintes exceções”
Isso evita isenções excessivas e impede que cada órgão crie regras do jeito que quiser
Setores nuclear e de defesa costumam trabalhar assim. Declarar isenções amplas logo de início é a abordagem errada
Não entendo por que o Reino Unido assume uma postura tão autoritária em relação à cibersegurança
Aparecem com frequência leis do tipo “essas regras são para vocês, não para nós”
O objetivo é reforçar a segurança de ativos essenciais e fortalecer a obrigação de reportar incidentes, então acho estranho chamar medidas assim de “autoritárias”
Fico curioso para saber em que sentido isso parece assim para você
Mas ao mesmo tempo não quer admitir que está “seguindo a UE”
Então estão reescrevendo a lei para que empresas de engenharia e consultorias britânicas redijam os documentos regulatórios e mantenham um monopólio de compliance
Como britânico, vejo o governo dizendo que “não haverá obrigação legal, mas manteremos um padrão equivalente por meio do Cyber Action Plan” como algo que, no fim das contas, equivale a “confie no PDF”
Acho que já passou da hora de avançarmos rápido para uma era de não repúdio (non-repudiation)
(Resposta a um comentário anterior)
Dá vontade de perguntar se a pessoa esqueceu quem criou o primeiro computador do mundo e quem criou a World Wide Web