බ්‍රිතාන්‍යයේ නව සයිබර් ආරක්ෂණ පනත: ඔබේ IT රැකියාව අනතුරේද?

බ්‍රිතාන්‍යයේ නව සයිබර් ආරක්ෂණ පනත: ඔබේ IT රැකියාව අනතුරේද?

බ්‍රිතාන්‍ය පාර්ලිමේන්තුවේ නියෝජිත මන්ත්‍රී මණ්ඩලය (House of Commons) විසින් Cyber Security and Resilience (CSR) Bill පනත පිළිබඳ විමර්ශන (Scrutiny phase) නිල වශයෙන් ආරම්භ කර තිබේ. මෙය එක්සත් රාජධානියේ තාක්ෂණික ක්ෂේත්‍රයේ මෙතෙක් පැවති "ස්වේච්ඡා හොඳම භාවිතයන්" (Voluntary best practice) යුගයේ අවසානය සනිටුහන් කිරීමකි. විශේෂයෙන්ම එක්සත් රාජධානියේ MSPs, බැංකු තාක්ෂණික අංශ සහ සෞඛ්‍ය අංශයේ (Healthcare IT) සේවය කරන ශ්‍රී ලාංකික IT වෘත්තිකයන්ට මෙය හුදෙක් සාමාන්‍ය නීතිමය යාවත්කාලීන කිරීමක් පමණක් නොවේ. මෙය ඔබගේ දෛනික රාජකාරි ඇගයීමට ලක්වන ආකාරය සහ විගණනය වන ආකාරය පිළිබඳ මූලික වෙනසකි.

ප්‍රවෘත්ති සිරස්තලවල මෙය "ජාතික ආරක්ෂාව" ලෙස හුවා දැක්වුවද, එහි යටි පෙළ අර්ථය වන්නේ "මෙහෙයුම් වගකීම" (Operational liability) යන්නයි. මෙම නීතිමය වෙනස ඔබේ වෘත්තීය ජීවිතයට බලපාන ආකාරය සහ බොහෝ දෙනා කතා නොකරන අවදානම් පිළිබඳ උපායමාර්ගික විග්‍රහය පහතින් දැක්වේ.

පෙර සහ පසු: නීතිමය රාමුවේ වෙනස

මෙම නව CSR පනත මගින් යල් පැන ගිය NIS Regulations 2018 විස්ථාපනය කෙරේ. 2018 පැවති නීති යුරෝපා සංගමයෙන් ව්‍යුත්පන්න වූ ඒවා වන අතර, ඒවා ප්‍රධාන වශයෙන් ජලය සහ විදුලිය වැනි "අත්‍යවශ්‍ය සේවා සපයන්නන්" සහ විශාල Cloud සපයන්නන් කෙරෙහි පමණක් අවධානය යොමු කළ බැවින් බොහෝ කොන්ත්‍රාත්කරුවන්ට (Contractors) නීතිමය බලපෑමක් එල්ල නොවීය. නමුත් 2025 නොවැම්බර් මාසයේදී පළමු වරට කියවූ මෙම නව පනත මගින් එම හිඩැස් සියල්ල ආවරණය කර ඇත.

"Designated Critical Supplier" උගුල

බොහෝ ප්‍රධාන ධාරාවේ වාර්තාවල සඳහන් නොවන වැදගත්ම කරුණ මෙයයි. මෙම පනත මගින් "Designated Critical Supplier" යන සංකල්පය හඳුන්වා දෙයි.

මීට පෙර, ඔබ ලන්ඩනයේ කුඩා ශ්‍රී ලාංකික මෘදුකාංග සමාගමක් පවත්වාගෙන යමින් බැංකුවකට හෝ NHS වෙත කේත (Code) සපයන ලද්දේ නම්, ඔබ වගකිව යුතු වූයේ ඔබේ කොන්ත්‍රාත්තුවට පමණි. නමුත් CSR පනත යටතේ, ඔබේ කුඩා ආයතනයේ බිඳවැටීමක් ජාතික යටිතල පහසුකම්වලට බලපෑම් කළ හැකි නම්, රජයට ඔබේ ආයතනය "Critical" ලෙස නම් කළ හැකිය.

• බලපෑම: එවිට ඔබටත් විශාල සමාගමකට මෙන්ම අනිවාර්ය විගණන, පැය 24 පුරා වාර්තා කිරීම සහ මණ්ඩල මට්ටමේ වගකීම් (Board-level liability) දැරීමට සිදුවේ.
• අවදානම: කුඩා උපදේශන සමාගම්වලට (Consultancies) මෙම ඉහළ අනුකූලතා පිරිවැය දැරීමට නොහැකි වීම නිසා වෙළඳපොළෙන් ඉවත් වීමට හෝ විශාල MSPs සමඟ ඒකාබද්ධ වීමට සිදුවිය හැකිය.

ඔබේ වෘත්තීය අනාගතය සුරක්ෂිත කරගන්නේ කෙසේද?

තනි පුද්ගල ඉංජිනේරුවෙකු හෝ Architect කෙනෙකු ලෙස, මෙම පනත ඔබට ප්‍රතිඵල දෙකක් ගෙන දිය හැකිය:

1. අවදානමට ලක්වන්නන්: ආරක්ෂාව (Security) යනු SecOps කණ්ඩායමේ වගකීමක් ලෙස සිතන IT වෘත්තිකයන් ආයතනයට බරක් විය හැකිය.
2. වටිනාකම ඉහළ යන්නන්: "Secure by Design" සහ Resilience Governance පිළිබඳ අවබෝධයක් ඇති වෘත්තිකයන්ගේ දෛනික අයකිරීම් (Day rates) සහ වැටුප් ඉහළ යනු ඇත.

මෙහි අවාසි සහගත පැත්තක්ද ඇත. මෙම පනත එක්සත් රාජධානිය යුරෝපා සංගමයේ දැඩි NIS2 Directive වෙත සමීප කළද, එය සම්පූර්ණයෙන්ම සමාන නොවේ. යුරෝපයට සේවා සපයන එක්සත් රාජධානියේ සමාගම්වලට දැන් නීති පද්ධති දෙකකට (UK CSR සහ EU NIS2) අනුකූල වීමට සිදුවනු ඇත. එමෙන්ම, පැය 24 වාර්තා කිරීමේ නීතිය නිසා කණ්ඩායම්වලට තාක්ෂණික දෝෂ නිවැරදි කරනවාට වඩා නීතිමය ලිපි ලේඛන ලිවීමට කාලය වැය කිරීමට සිදුවිය හැකි අතර, නියාමන වියදම් පියවා ගැනීමට කර්මාන්තයෙන් බදු අය කිරීම (Cost Recovery) හරහා 2026 අග භාගයේදී බඳවා ගැනීම් සීමා වීමට හෝ කොන්ත්‍රාත් ගාස්තු අඩු වීමට ඉඩ ඇත.

වෘත්තිකයන් නොදන්නා "Whistleblower" බලපෑම

ප්‍රවෘත්ති වාර්තාවල බොහෝ විට මග හැරෙන කරුණක් නම් "Whistleblower Effect" යි. අනුකූල නොවන බව වාර්තා කරන සේවකයින්ට ආරක්ෂාව ලබා දීම පිළිබඳව මෙම විමර්ශන අදියරේදී සාකච්ඡා කිරීමට ඉඩ ඇත. ඔබ ජ්‍යෙෂ්ඨ ඉංජිනේරුවෙකු (Senior Engineer) නම් සහ ඔබේ MSP ආයතනය මෙම නව ව්‍යවස්ථාපිත අවශ්‍යතා මග හරින බව ඔබ දන්නේ නම්, නීතිය ඉදිරියේ ඔබ නිරාවරණය විය හැකිය. ජ්‍යෙෂ්ඨ තාක්ෂණික කාර්ය මණ්ඩලයට තවදුරටත් "නොදැනුවත්කම" නිදහසට කරුණක් ලෙස භාවිතා කළ නොහැක.

ඔබ වහාම ගත යුතු පියවර

ඔබ මූල්‍ය, සෞඛ්‍ය, බලශක්ති හෝ ප්‍රවාහන වැනි තීරණාත්මක අංශවලට සේවා සපයන MSP හෝ මෘදුකාංග සමාගමක සේවය කරන්නේ නම්:

1. කළමනාකාරීත්වයෙන් විමසන්න: "අපව 'Designated Critical Supplier' ලෙස නම් කිරීමට ඉඩ තිබේද?" යන්න සොයා බලන්න.
2. ඔබේ CV යාවත්කාලීන කරන්න: "Regulatory Compliance (CSR/NIS2)" යන්න ඔබේ කුසලතා (Skills) අතරට එක් කරන්න. බඳවා ගන්නන් (Recruiters) දැනට වැඩිපුරම සොයන ඉහළ ඉල්ලුමක් ඇති මූල පදයක් (Keyword) මෙයයි.

මූලාශ්‍රය (Source): https://www.parliament.uk/business/news/