Sign in Subscribe
uk nhs cyber policy sme

NHS මෘදුකාංග සේවා සඳහා නව ආරක්ෂක නීති අනිවාර්යය කෙරේ

NHS තාක්ෂණික සැපයුම්කරුවන්ගේ ස්වේච්ඡා අනුකූලතා යුගය අවසන්. මෘදුකාංග ආරක්ෂාව සහ ප්‍රසම්පාදන ක්‍රියාවලියට බලපාන නවතම DSIT නීති ගැන සියල්ල දැනගන්න.

SiBuzz Team

NHS digital security compliance enforcement in UK healthcare

NHS මෘදුකාංග සේවා සඳහා නව ආරක්ෂක නීති අනිවාර්යය කෙරේ

එංගලන්තයේ ජාතික සෞඛ්‍ය සේවය (NHS) සඳහා තාක්ෂණික සේවා සපයන ආයතනවලට පැවති "ස්වේච්ඡා අනුකූලතා යුගය" (Voluntary Compliance Era) නිල වශයෙන් අවසන් වී තිබේ.

ජාතික යටිතල පහසුකම් ආරක්ෂා කිරීමේ තීරණාත්මක පියවරක් ලෙස, විද්‍යා, නවෝත්පාදන සහ තාක්ෂණ දෙපාර්තමේන්තුව (DSIT) විසින් රාජ්‍ය අංශයේ ප්‍රසම්පාදන කටයුතු සඳහා 'Software Security Code of Practice' නීති මාලාව බලාත්මක කර ඇත. 2026 ජනවාරි 21 වන දින අමාත්‍ය Lloyd විසින් සිදු කළ මෙම නිවේදනය හරහා, සියලුම NHS සැපයුම්කරුවන් නව දැඩි ආරක්ෂක ප්‍රමිතීන්ට අනුකූල වීම අනිවාර්ය කර තිබේ.

තාක්ෂණික සේවා සපයන්නන් සහ උපදේශකයින්ට මෙය ඉතා වැදගත් සංධිස්ථානයකි. රජය දැන් දිරිගැන්වීමේ සිට දැඩි නීති ක්‍රියාත්මක කිරීම දක්වා තම ප්‍රතිපත්තිය වෙනස් කර ඇත්තේ, මීට පෙර සයිබර් ප්‍රහාරවලට ලක්වූ සැපයුම් දාමයේ (Supply chain) දුර්වලතා මඟහරවා ගැනීමේ අරමුණෙනි.

මගපෙන්වීමේ සිට දැඩි පාලනය දක්වා (From Guidance to Gatekeeping)

මෙම වෙනසෙහි බරපතලකම තේරුම් ගැනීමට නම්, නියාමන ක්ෂේත්‍රයේ පෙර සහ පසු තත්ත්වය විමසා බැලිය යුතුය.

  • පෙර තත්ත්වය: මීට පෙර මෘදුකාංග වෙළෙන්දන් සඳහා වන නීති මාලාව හුදෙක් මාර්ගෝපදේශ මාලාවක් පමණක් විය. 'Secure by Design' ක්‍රමවේදයන් අනුගමනය කිරීමට උපදෙස් දුන්නද, එය අනිවාර්ය නොවීය. බොහෝ විට ප්‍රසම්පාදන නිලධාරීන් ආරක්ෂාවට වඩා අඩු පිරිවැය සහ වේගය ගැන සැලකිලිමත් වූ නිසා, ආරක්ෂක තත්ත්වය අඩු මෘදුකාංගවලට පවා කොන්ත්‍රාත්තු හිමි විය.
  • වර්තමාන තත්ත්වය: 2026 මුල් භාගයේ සිට මෙම නීති මාලාව කොන්ත්‍රාත්තු සඳහා අනිවාර්ය කොන්දේසියක් බවට පත්ව ඇත. අනුකූලතාවය තවදුරටත් අමතර සුදුසුකමක් නොව, අනිවාර්ය සාධකයකි (Binary pass/fail). මෙම ප්‍රමිතීන් සපුරාලීමට නොහැකි ඕනෑම වෙළෙන්දෙකුගේ ප්‍රසම්පාදන කටයුතු නැවැත්වීමට හෝ නැවත සමාලෝචනය කිරීමට NHS භාරයන්ට උපදෙස් දී ඇති බව වාර්තා වේ.

නව ක්‍රමවේදය ක්‍රියාත්මක වන ආකාරය

නව රාමුව යටතේ ප්‍රසම්පාදන ජීවන චක්‍රය (Procurement lifecycle) සම්පූර්ණයෙන්ම වෙනස් වී ඇත. වෙළෙන්දන් දැන් ටෙන්ඩර් අදියරේදී "Software Bill of Materials" (SBOM) සහ අවදානම් අනාවරණය කිරීමේ වැඩසටහන් පිළිබඳ සාක්ෂි ඉදිරිපත් කළ යුතුය.

  1. පූර්ව සුදුසුකම් ලැබීම: ලංසුවක් (Bid) සලකා බැලීමට පෙර පවා, සැපයුම්කරු තම සංවර්ධන ක්‍රියාවලිය DSIT ප්‍රමිතීන්ට අනුකූල බව තහවුරු කළ යුතුය.
  2. වගකීම් පැවරීම (Liability Shift): දුර්වල මෘදුකාංග ආරක්ෂාව නිසා සිදුවන දත්ත කඩවීම්වල වගකීම NHS වෙත නොව, නැවත වෙළෙන්දා වෙත පැවරෙන වගන්ති නව කොන්ත්‍රාත්තු වලට ඇතුළත් වීමට ඉඩ ඇත.
  3. අඛණ්ඩ අධීක්ෂණය: මෙය එක් වරක් පමණක් කරන පරීක්ෂාවක් නොවේ. කොන්ත්‍රාත්තුව පවත්වාගෙන යාමට නම් සැපයුම්කරුවන් අඛණ්ඩව Patch management සහ ආරක්ෂක පරීක්ෂණ සිදු කරන බව ඔප්පු කළ යුතුය.

කුඩා ව්‍යාපාර සහ SMEs වෙත බලපෑම

මයික්‍රොසොෆ්ට් හෝ ඔරකල් වැනි දැවැන්ත සමාගම්වලට මෙම නීති රෙගුලාසි සමඟ කටයුතු කිරීමට විශේෂිත කණ්ඩායම් සිටියද, කුඩා හා මධ්‍ය පරිමාණ ව්‍යාපාරවලට (SMEs) මෙය විශාල බරක් විය හැකිය.

මෙහි ඇති ප්‍රධාන අවදානම වන්නේ "Compliance Moat" තත්ත්වයක් ඇති වීමයි. නව්‍යකරණයට සහ වේගවත් සේවාවන්ට ප්‍රසිද්ධ කුඩා මෘදුකාංග ආයතනවලට, මෙම සහතික ලබා ගැනීමේ සහ අඛණ්ඩ විගණන (Auditing) සඳහා යන වියදම දරාගත නොහැකි වීමට ඉඩ ඇත. ඔබ NHS සඳහා සේවා සපයන කුඩා තාක්ෂණික උපදේශන ආයතනයක් පවත්වාගෙන යන්නේ නම්, කාර්යාල කුලිය හෝ වැටුප් නොව, නියාමන පාලනය සඳහා වන වියදම් (Overheads) ඉහළ යනු ඇත.

සැඟවුණු අවදානම් සහ අනාගතය

ආරක්ෂාව අතින් මෙය ඉතා වැදගත් පියවරක් වුවද, ආර්ථික වශයෙන් යම් යම් අතුරු ආබාධ ඇති විය හැකි බව විචාරකයින් පෙන්වා දෙයි.

  • තරඟකාරීත්වය අඩුවීම: තරඟයට ඇතුළු වීමේ බාධක (Barriers to entry) ඉහළ දැමීම හරහා, NHS ආයතනය දැවැන්ත සමාගම් කිහිපයක් මත පමණක් යැපෙන තත්ත්වයක් ඇති විය හැකිය. මෙය දිගුකාලීනව මිල ගණන් ඉහළ යාමට හේතු විය හැක.
  • නවෝත්පාදන ප්‍රමාද වීම (Innovation Stagnation): නව AI රෝග විනිශ්චය මෙවලමක් හඳුන්වා දීමට පෙර මාස හයක ආරක්ෂක විගණනයක් අවශ්‍ය වුවහොත්, එම තාක්ෂණය රෝගීන් වෙත ළඟා වීම ප්‍රමාද වනු ඇත.

මෙම නිවේදනය බටහිර ආර්ථිකයන් තුළ දක්නට ලැබෙන "Sovereign Resilience" හෙවත් ස්වෛරී ඔරොත්තු දීමේ හැකියාව වර්ධනය කිරීමේ ප්‍රවණතාවයේ කොටසකි. ඩිජිටල් යටිතල පහසුකම් හුදෙක් වාණිජ වෙළඳපොළක් ලෙස නොව ජාතික ආරක්ෂක වත්කමක් ලෙස රජය දැන් සලකයි. මෙය ළඟදීම ප්‍රවාහන, බලශක්ති සහ අධ්‍යාපන අංශවලට ද ව්‍යාප්ත වීමට ඉඩ ඇත.

කෙසේ වෙතත්, මෙම විගණන කටයුතු (Audit mechanism) සිදු කරන්නේ මධ්‍යම ආයතනයකින්ද නැතහොත් තෙවන පාර්ශවීය විගණකවරුන් හරහාද යන්න තවමත් අපැහැදිලිය. එම තීරණය මත සැපයුම්කරුවන් දැරිය යුතු පිරිවැය සහ කාලරාමුව තීරණය වනු ඇත.

මූලාශ්‍රය (Source): https://www.gov.uk/government/speeches/minister-lloyd-speech-on-software-security-and-cyber-resilience