- ब्रिटेन का ‘Cyber Security and Resilience(CSR) विधेयक’ राष्ट्रीय महत्वपूर्ण इन्फ्रास्ट्रक्चर और managed service providers को नियमन के दायरे में लाता है, लेकिन केंद्रीय और स्थानीय सरकार को बाहर रखता है
- सरकार ने इसके बदले ‘Government Cyber Action Plan’ के जरिए वही सुरक्षा मानक स्वेच्छा से लागू करने की बात कही है, लेकिन कोई कानूनी बाध्यता नहीं है
- कई सांसदों और विशेषज्ञों ने इस बात की आलोचना की कि public sector बड़े हमलों का प्रमुख निशाना होने के बावजूद कानून के दायरे से बाहर है, और कहा कि कानूनी रूप से बाध्यकारी न होने वाले स्वैच्छिक मानक भरोसा नहीं जगाते
- National Audit Office(NAO) की रिपोर्ट के अनुसार सरकारी सिस्टमों में सुरक्षा खामियां और सुधार में देरी गंभीर स्तर पर हैं, जिससे यह चिंता उठती है कि मौजूदा योजना पर्याप्त नहीं है
- public sector को बाहर रखने का फैसला सरकार की cyber security प्रतिबद्धता पर सवाल खड़े करता है, और आगे विधायी सुधार की जरूरत बढ़ रही है
CSR विधेयक का दायरा और सरकार की self-exemption
- CSR विधेयक का उद्देश्य 2018 के NIS नियमों की जगह लेकर ब्रिटेन के cyber security ढांचे को modernize करना है
- इसमें managed service providers और datacenters शामिल हैं, लेकिन केंद्रीय और स्थानीय सरकार बाहर हैं
- EU के NIS2 directive के विपरीत, यह public bodies को नियामक दायरे से बाहर रखता है
- Sir Oliver Dowden ने हाउस ऑफ कॉमन्स में इस बात की आलोचना की कि सरकार ने खुद को कानून के दायरे से बाहर रखा
- उनका कहना था कि public sector पर और कड़े requirements लागू होने चाहिए
- उन्होंने जोर दिया कि कानूनी बाध्यता होने पर ही मंत्री cyber security को प्राथमिकता देंगे
सरकार की प्रतिक्रिया और ‘Cyber Action Plan’
- मंत्री Ian Murray ने Dowden के प्रस्ताव को स्वीकार करने की बात कही और Government Cyber Action Plan का उल्लेख किया
- यह योजना सरकारी विभागों पर CSR विधेयक के समान स्तर के सुरक्षा मानक लागू करती है, लेकिन इसमें कानूनी बाध्यकारी शक्ति नहीं है
- आलोचकों का कहना है कि यह आलोचना से बचने का उपाय है, और इससे वास्तविक सुरक्षा मजबूती कितनी होगी, इस पर सवाल हैं
- Neil Brown(Decoded.legal) ने कहा, “अगर सरकार विधेयक-स्तर के मानकों का पालन ही करेगी, तो फिर कानून के दायरे से बाहर रहने की कोई वजह नहीं है”
- उन्होंने इसे भरोसा पैदा न करने वाला फैसला बताया
public sector security की वास्तविकता और आलोचना
- NCSC की रिपोर्ट के मुताबिक सितंबर 2020 से अगस्त 2021 के बीच हैंडल किए गए हमलों में 40% public sector को निशाना बना रहे थे
- अनुमान है कि यह अनुपात आगे और बढ़ सकता है
- National Audit Office(NAO) की 2025 रिपोर्ट में सरकार के 72 महत्वपूर्ण सिस्टमों में से 58 की जांच के बाद कई सुरक्षा खामियां और सुधार की धीमी रफ्तार सामने आई
- यह दिखाता है कि public sector अब भी नियमित cyber attacks के प्रति कमजोर है
- ऐसी स्थिति में सरकार द्वारा public sector को CSR विधेयक से बाहर रखना नीतिगत असंगति के रूप में आलोचना झेल रहा है
आगे की विधायी दिशा और चर्चा
- Labour सांसद Matt Western ने कहा कि CSR विधेयक पूरी तरह समाधान नहीं है, और इसके बाद अतिरिक्त tailored legislation आ सकती है
- उन्होंने यह संभावना भी जताई कि सरकार public sector के लिए अलग cyber security कानून ला सकती है
- Neil Brown ने कहा, “छोटे और स्पष्ट कानूनों को बार-बार बनाना ज्यादा समझदारी भरा तरीका है”
- उन्होंने समझाया कि Telecommunications (Security) Act 2021 और Product Security and Telecommunications Infrastructure Act 2022 की तरह, क्षेत्र-विशेष के हिसाब से अलग-अलग कानून प्रभावी हो सकते हैं
भरोसा और राजनीतिक असर
- जब भी public bodies, स्थानीय councils, या NHS पर हमला होता है, सरकार का विधेयक से बाहर रखने का फैसला विपक्ष के लिए हमला बोलने का मुद्दा बन जाता है
- यह भी रेखांकित किया गया कि कंजर्वेटिव सरकार के दौर में (2022) सुझाए गए सुरक्षा सुधारों को दो साल से अधिक समय तक लागू नहीं किया गया
- जब तक सरकार self-exemption बनाए रखेगी, cyber security सुधार के इरादे पर भरोसे की कमी बनी रहने की संभावना है
- राष्ट्रीय सुरक्षा ढांचे के केंद्रीय हिस्से के रूप में CSR विधेयक को स्थापित करने के लिए, public sector को शामिल किया जाए या नहीं यह आगे भी एक प्रमुख मुद्दा रहेगा
अभी कोई टिप्पणी नहीं है.