Projeto amplia regras do NIS, impõe reporte obrigatório de incidentes e aumenta poder de reguladores para punir falhas graves
O Governo do Reino Unido apresentou ao Parlamento o Cyber Security and Resilience Bill, proposta legislativa que pretende modernizar e endurecer a proteção cibernética do país. A iniciativa surge após uma sequência de ataques que afetou serviços essenciais, como saúde, energia e abastecimento de água, episódios que expõem fragilidades estruturais e pressionam por regras mais rígidas sobre segurança digital. As informações são do TechRadar.
O projeto amplia o escopo das regras do Network and Information Systems (NIS), passando a incluir mais elos da cadeia de suprimentos, como fornecedores de tecnologia, provedores de infraestrutura digital e parceiros de operação. A medida reflete a origem da maior parte dos ataques recentes, que exploram brechas de terceiros para alcançar sistemas críticos.
Além de reforçar obrigações para quem opera serviços essenciais, o novo texto propõe uma mudança de postura no setor privado, exigindo que empresas com papel relevante no ecossistema de TI adotem práticas mínimas de segurança e comuniquem rapidamente incidentes relevantes ao governo e aos clientes. A intenção é criar um fluxo consistente de informações que ajude o Estado a traçar um retrato mais preciso das ameaças e a preparar respostas mais alinhadas com a realidade.
A regra vale para companhias de médio e grande porte que oferecem serviços de cibersegurança, gestão de TI e suporte técnico tanto ao setor público quanto ao privado. A transparência se torna mandatória, e a omissão passa a trazer riscos adicionais, não apenas técnicos, mas regulatórios.
O projeto também fortalece os órgãos fiscalizadores. Caso identifiquem brechas de segurança ou práticas abaixo do padrão, as autoridades poderão impor exigências, vetar fornecedores e aplicar penalidades mais severas. A lógica é desestimular o descaso, reforçando que manter proteções adequadas é uma obrigação para prestadores de serviços financiados pelo contribuinte.
Leia mais: Não compre a ideia de que agentes de IA são seus funcionários, alerta Gary Bolles
O governo destaca que, sob a nova lei, “cortar caminho” deixará de ser mais barato do que seguir as exigências. A mensagem reforça uma mudança cultural, em que segurança passa a ser vista como requisito mínimo para operar, e não como um custo opcional.
Embora o pacote regulatório represente avanço na proteção de infraestrutura crítica, especialistas alertam para o peso adicional que recai sobre as empresas. Implementar controles mais robustos, organizar fluxos de reporte e revisar processos internos pode elevar custos e exigir ajustes operacionais.
Ev Kontsevoy, CEO da Teleport, observa que a proposta deve incentivar transformações importantes na forma como o acesso a sistemas sensíveis é protegido. Ele aponta que a jornada de conformidade tende a envolver a revisão de estruturas antigas, como VPNs fragmentadas, credenciais compartilhadas e chaves de acesso que permanecem em uso indefinidamente.
O projeto segue agora para discussão parlamentar, e sua implementação deve moldar a estratégia nacional de segurança digital nos próximos anos.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.
