Космическите оператори са изправени пред фрагментирана регулация за киберсигурност. Бързо развиващите се регулации в различните страни не успяват да са в крак с дългите цикли на разработване и експлоатация на спътниковите системи.
Макар че значението на защитата на цифровите системи в индустрията е неоспоримо, международно договорените изисквания все още липсват, а дългосрочните правила за съответствие остават несигурни на фона на появата на нови национални и регионални режими.
Този проблем е особено остър за космическия сектор, поради дългите срокове за разработване и експлоатация на технологиите. Проектирането на спътниците започва от три до пет години преди изстрелването, а оперативният им живот в орбита може да надхвърли 15 години.
Решенията относно стандартите за криптиране, удостоверяване и системна архитектура се вземат рано, когато бъдещите регулаторни изисквания все още не са определени.
Веригите за доставки създават допълнителни рискове. Изборът на производители на компоненти или оператори на наземна инфраструктура, които отговарят на настоящите разпоредби, може да е в конфликт с бъдещите изисквания за сертифициране.
Всичко това може да доведе до скъпи модификации на системите или ограничения върху работата им след изстрелването на спътниците.
Регулаторите все по-често определят космическата индустрия като критична. В ЕС това е залегнало в директивата NIS2, в Австралия – в Закона за сигурност на критичната инфраструктура от 2018 г., а в САЩ има специализирани насоки за киберсигурност за космическия сектор.
Същевременно операторите могат да бъдат обект на по-общи режими, като например NIS на Обединеното кралство или Закона за киберсигурност на Сингапур, които се прилагат за спътниковите комуникации и наземните станции.
Регулаторната среда продължава да се разширява. ЕС вече публикува проект на Европейски космически закон, който предлага създаване на единен режим за киберсигурност за космическите дейности и потенциално може да замени NIS2 за космическите оператори.
Освен това, в процес на разработване в ЕС са и други разпоредби, които биха могли да повлияят на индустрията през следващите години. В резултат на това операторите трябва едновременно да спазват съществуващите изисквания, да се подготвят за предстоящи промени и да обмислят бъдещи регулаторни рамки.
В допълнение, спазването на изискванията за киберсигурност все повече се разглежда не само като мярка за смекчаване на риска, но и като търговско съображение. За клиентите и инвеститорите киберсигурността все повече се превръща в задължително изискване при избора на доставчици.
В тази среда операторите, които предварително изграждат гъвкави и адаптивни системи за съответствие, са по-добре подготвени за бъдещо затягане на разпоредбите.
