ब्रिटेन सरकार का खुद को cyber कानून के दायरे से बाहर रखने का फैसला भरोसा घटाता है

 (theregister.com)
1 पॉइंट द्वारा GN⁺ 2026-01-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ब्रिटेन का ‘Cyber Security and Resilience(CSR) विधेयक’ राष्ट्रीय महत्वपूर्ण इन्फ्रास्ट्रक्चर और managed service providers को नियमन के दायरे में लाता है, लेकिन केंद्रीय और स्थानीय सरकार को बाहर रखता है
  • सरकार ने इसके बदले ‘Government Cyber Action Plan’ के जरिए वही सुरक्षा मानक स्वेच्छा से लागू करने की बात कही है, लेकिन कोई कानूनी बाध्यता नहीं है
  • कई सांसदों और विशेषज्ञों ने इस बात की आलोचना की कि public sector बड़े हमलों का प्रमुख निशाना होने के बावजूद कानून के दायरे से बाहर है, और कहा कि कानूनी रूप से बाध्यकारी न होने वाले स्वैच्छिक मानक भरोसा नहीं जगाते
  • National Audit Office(NAO) की रिपोर्ट के अनुसार सरकारी सिस्टमों में सुरक्षा खामियां और सुधार में देरी गंभीर स्तर पर हैं, जिससे यह चिंता उठती है कि मौजूदा योजना पर्याप्त नहीं है
  • public sector को बाहर रखने का फैसला सरकार की cyber security प्रतिबद्धता पर सवाल खड़े करता है, और आगे विधायी सुधार की जरूरत बढ़ रही है

CSR विधेयक का दायरा और सरकार की self-exemption

  • CSR विधेयक का उद्देश्य 2018 के NIS नियमों की जगह लेकर ब्रिटेन के cyber security ढांचे को modernize करना है
    • इसमें managed service providers और datacenters शामिल हैं, लेकिन केंद्रीय और स्थानीय सरकार बाहर हैं
    • EU के NIS2 directive के विपरीत, यह public bodies को नियामक दायरे से बाहर रखता है
  • Sir Oliver Dowden ने हाउस ऑफ कॉमन्स में इस बात की आलोचना की कि सरकार ने खुद को कानून के दायरे से बाहर रखा
    • उनका कहना था कि public sector पर और कड़े requirements लागू होने चाहिए
    • उन्होंने जोर दिया कि कानूनी बाध्यता होने पर ही मंत्री cyber security को प्राथमिकता देंगे

सरकार की प्रतिक्रिया और ‘Cyber Action Plan’

  • मंत्री Ian Murray ने Dowden के प्रस्ताव को स्वीकार करने की बात कही और Government Cyber Action Plan का उल्लेख किया
    • यह योजना सरकारी विभागों पर CSR विधेयक के समान स्तर के सुरक्षा मानक लागू करती है, लेकिन इसमें कानूनी बाध्यकारी शक्ति नहीं है
    • आलोचकों का कहना है कि यह आलोचना से बचने का उपाय है, और इससे वास्तविक सुरक्षा मजबूती कितनी होगी, इस पर सवाल हैं
  • Neil Brown(Decoded.legal) ने कहा, “अगर सरकार विधेयक-स्तर के मानकों का पालन ही करेगी, तो फिर कानून के दायरे से बाहर रहने की कोई वजह नहीं है”
    • उन्होंने इसे भरोसा पैदा न करने वाला फैसला बताया

public sector security की वास्तविकता और आलोचना

  • NCSC की रिपोर्ट के मुताबिक सितंबर 2020 से अगस्त 2021 के बीच हैंडल किए गए हमलों में 40% public sector को निशाना बना रहे थे
    • अनुमान है कि यह अनुपात आगे और बढ़ सकता है
  • National Audit Office(NAO) की 2025 रिपोर्ट में सरकार के 72 महत्वपूर्ण सिस्टमों में से 58 की जांच के बाद कई सुरक्षा खामियां और सुधार की धीमी रफ्तार सामने आई
    • यह दिखाता है कि public sector अब भी नियमित cyber attacks के प्रति कमजोर है
  • ऐसी स्थिति में सरकार द्वारा public sector को CSR विधेयक से बाहर रखना नीतिगत असंगति के रूप में आलोचना झेल रहा है

आगे की विधायी दिशा और चर्चा

  • Labour सांसद Matt Western ने कहा कि CSR विधेयक पूरी तरह समाधान नहीं है, और इसके बाद अतिरिक्त tailored legislation आ सकती है
    • उन्होंने यह संभावना भी जताई कि सरकार public sector के लिए अलग cyber security कानून ला सकती है
  • Neil Brown ने कहा, “छोटे और स्पष्ट कानूनों को बार-बार बनाना ज्यादा समझदारी भरा तरीका है”
    • उन्होंने समझाया कि Telecommunications (Security) Act 2021 और Product Security and Telecommunications Infrastructure Act 2022 की तरह, क्षेत्र-विशेष के हिसाब से अलग-अलग कानून प्रभावी हो सकते हैं

भरोसा और राजनीतिक असर

  • जब भी public bodies, स्थानीय councils, या NHS पर हमला होता है, सरकार का विधेयक से बाहर रखने का फैसला विपक्ष के लिए हमला बोलने का मुद्दा बन जाता है
    • यह भी रेखांकित किया गया कि कंजर्वेटिव सरकार के दौर में (2022) सुझाए गए सुरक्षा सुधारों को दो साल से अधिक समय तक लागू नहीं किया गया
  • जब तक सरकार self-exemption बनाए रखेगी, cyber security सुधार के इरादे पर भरोसे की कमी बनी रहने की संभावना है
    • राष्ट्रीय सुरक्षा ढांचे के केंद्रीय हिस्से के रूप में CSR विधेयक को स्थापित करने के लिए, public sector को शामिल किया जाए या नहीं यह आगे भी एक प्रमुख मुद्दा रहेगा

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-01-12
Hacker News राय

  • मैंने इस बिल को सरसरी तौर पर देखा है, और मुझे लगता है कि इसकी व्याख्या कुछ ज़्यादा ही निराशावादी ढंग से की गई है
    इसका मुख्य उद्देश्य महत्वपूर्ण suppliers और service providers को चिन्हित करना और उनकी security obligations तय करना है
    केंद्रीय सरकार आम तौर पर सीधे supplier नहीं होती, बल्कि कई बाहरी suppliers का उपयोग करने वाले customer की भूमिका में होती है
    इसलिए शुरुआती चरण में सरकार का कानून के दायरे से बाहर होना मुझे अजीब नहीं लगता। पहले primary suppliers को व्यवस्थित करना और उसके बाद पूरे सरकारी कामकाज के लिए नियमन बनाना सही क्रम लगता है

    • अगर तुम्हारी बात मानें, तो सरकार को अलग से exemption लिखने की ज़रूरत ही नहीं होती और वह स्वाभाविक रूप से कानून के दायरे से बाहर रहती
      लेकिन इस बार खास तौर पर exemption जोड़ी गई है, तो इसे इस बात के सबूत के रूप में देखा जा सकता है कि मूल रूप से सरकार भी इस कानून के दायरे में थी
    • समस्या यह है कि ऐसा तरीका पिछली कोशिशों की घातक खामियों में से एक रहा है
      अगर यह पहली कोशिश होती तो मैं सहमत होता, लेकिन यह वही तरीका है जो पहले कई बार विफल हो चुका है
    • मुझे लगता है कि “केंद्रीय सरकार customer है” यह धारणा ही गलत है
      सरकार कई vendors के साथ काम करती है, लेकिन साथ ही राष्ट्रीय cyber security एजेंसियां या IT support संस्थान खुद भी service provider की भूमिका निभाते हैं
      उदाहरण के लिए SOC operations, security consulting, information sharing जैसी कई भूमिकाएं होती हैं, इसलिए सरकार को बाहर रखना मुझे सिर्फ budget बचाने का उपाय लगता है

  • मेरा मानना है कि अगर UK की सरकारी एजेंसियां चरणबद्ध तरीके से Coordinated Vulnerability Disclosure अपनाएं, तो इससे सुरक्षा में वास्तविक सुधार हो सकता है
    यह उस लेख की बात से भी मेल खाता है कि UK CSR बिल आगे चलकर अधिक tailored security legislation की दिशा में पहला कदम हो सकता है
    मैं healthcare information से जुड़े software engineering में काम करता हूँ, इसलिए यह विषय मुझे खास तौर पर पेशेवर रूप से महत्वपूर्ण लगता है
    संबंधित सामग्री GitHub लिंक पर देखी जा सकती है

  • यह कुछ वैसा लगता है जैसे “हम जो कहते हैं वैसा करो, जो हम करते हैं वैसा मत करो” वाली मानसिकता के साथ परिवर्तन डिजाइन करने वाले engineers पीछे बैठ गए हों

  • यह स्थिति कुछ वैसी ही है जैसे Texas और अन्य जगहों पर state government agencies को building codes मानने की ज़रूरत नहीं होती
    जब मैं एक state datacenter construction site पर काम करता था, तब मैंने ऐसा देखा था — जैसे, “asbestos? वो क्या होता है?”

  • ऐसी exemptions के पीछे कुछ कारण होते हैं
    उदाहरण के लिए खुद को रिपोर्ट जमा करने या संवेदनशील जानकारी उजागर करने की ज़रूरत से बचना
    लेकिन सही तरीका यह है कि पहले एक मूल कानूनी ढांचा बनाया जाए, और फिर विस्तृत नियमों में इस तरह लिखा जाए कि “XXX एजेंसी पर NIS2 निम्नलिखित अपवादों के साथ लागू होगा”
    इससे अत्यधिक exemptions से बचा जा सकता है, और अलग-अलग एजेंसियों को मनमाने नियम बनाने से रोका जा सकता है
    nuclear और defense industries में भी यही तरीका सामान्य है। शुरुआत से ही व्यापक छूट घोषित करना गलत तरीका है

  • समझ नहीं आता कि UK cyber security के मामले में इतना authoritarian रवैया क्यों दिखाता है
    अक्सर ऐसे कानून दिखते हैं जिनका भाव होता है, “ये नियम तुम्हारे लिए हैं, हमारे लिए नहीं”

    • यह Cyber Security and Resilience Bill की बात है
      इसका उद्देश्य महत्वपूर्ण assets की सुरक्षा मजबूत करना और breach reporting obligations को सख्त करना है, इसलिए इसे “authoritarian” कहना मुझे अजीब लगता है
      जानना चाहूंगा कि तुम्हें ऐसा किस वजह से लगता है
    • UK के computer-related laws authoritarian तो हैं, लेकिन वे दूसरे पश्चिमी देशों से बहुत अलग नहीं हैं
    • UK को EU के साथ mutual recognition बनाए रखने और trade में बाधा न आने देने के लिए EU regulation (NIS2) जैसे नियम लाने होंगे
      लेकिन साथ ही वह यह मानना भी नहीं चाहता कि वह “EU का अनुसरण” कर रहा है
      इसलिए UK engineering firms और consultants को regulatory documents लिखने और compliance monopoly बनाए रखने देने के लिए कानून को फिर से लिखा जा रहा है
    • यह सिर्फ cyber security की समस्या नहीं है। दूसरे क्षेत्रों में भी ऐसा ही रवैया दिखता है

  • एक ब्रिटिश व्यक्ति के तौर पर, सरकार का यह कहना कि “हम पर कानूनी बाध्यता नहीं है, लेकिन Cyber Action Plan के जरिए equivalent standards बनाए रखेंगे” दरअसल बस “इस PDF पर भरोसा कर लो” जैसा लगता है
    मुझे लगता है कि अब हमें जल्दी से non-repudiation के युग में जाना चाहिए

  • (पिछली टिप्पणी के जवाब में)
    मैं पूछना चाहूंगा कि कहीं आप यह तो नहीं भूल रहे कि दुनिया का पहला computer किसने बनाया था, और World Wide Web किसने बनाया था