Policy paper

Datganiad Polisi Seiberddiogelwch a Chadernid (Welsh version)

Updated 1 April 2025

Cyflwynwyd i’r Senedd gan yr Ysgrifennydd Gwladol dros Wyddoniaeth, Arloesedd a Thechnoleg trwy Orchymyn Ei Fawrhydi

Ebrill 2025

CP 1299

ISBN 978-1-5286-5588-0

© Hawlfraint y Goron 2025

Rhagair y Gweinidog

Dyletswydd gyntaf y llywodraeth hon yw cadw ei dinasyddion yn ddiogel. Rhagweld y bygythiadau sy’n ein hwynebu, lleihau’r risgiau rydym yn eu cymryd, a gwneud y DU mor ddiogel â phosibl. Dyna beth mae gwneud Diogelwch Gwladol yn brif flaenoriaeth yn ei olygu’n ymarferol. 

Mae’r chwyldro digidol yn trawsnewid ein Seilwaith Cenedlaethol Allweddol a’n gwasanaethau cyhoeddus hanfodol. Mae’n cynnig cyfle anhygoel – i wneud ein pobl a’n gwlad yn well eu byd. Fodd bynnag, gall hefyd ddod â gwendidau newydd a pheryglus i’w ganlyn.

Mewn byd sy’n fwyfwy peryglus ac ansefydlog, ni fyddwn yn oedi cyn diogelu ein pobl rhag y rheini sy’n dymuno gwneud niwed i ni. Am gyfnod rhy hir mae un llywodraeth ar ôl y llall wedi methu mynd i’r afael yn briodol â’r risg gynyddol sy’n ein hwynebu yn sgil seiberdroseddwyr a gwladwriaethau gelyniaethus. Mae ein pobl wedi talu’r pris. Roedd yr ymosodiad seiber y llynedd ar fusnes sy’n cyflenwi ysbytai’r GIG yn Llundain wedi arwain at ohirio mwy na 11,000 o apwyntiadau cleifion allanol aciwt a thriniaethau dewisol. Bydd rhai o’r bobl hynny wedi aros am fisoedd i gael eu gweld.

Ni fyddaf yn caniatáu i hyn barhau. Mae’n rhaid i ni gymryd camau pendant i sicrhau newid effeithiol a pharhaol. Dyna pam, o fewn wythnosau i ymuno â’r llywodraeth, cyhoeddais gynlluniau ar gyfer Bil Seiberddiogelwch a Chadernid. Yn y Datganiad Polisi, rwy’n nodi cynigion deddfwriaethol ar gyfer y Bil. Rwyf hefyd yn cydnabod bod y dirwedd seiber yn symud yn gyflym – gall llawer ddigwydd mewn cyfnod byr o amser. Mae’r datganiad yn cynnig nifer o fesurau ychwanegol i fynd i’r afael â’r bygythiadau sy’n ein hwynebu’n awr.

Mae ein cynigion deddfwriaethol yn adlewyrchu’r wybodaeth rydym wedi’i chasglu gan ein partneriaid rhyngwladol, gan gynnwys gwersi gwerthfawr gan yr Undeb Ewropeaidd ynghylch rhoi ei gyfundrefn NIS2 ar waith. Maent hefyd wedi’u seilio ar ymgynghoriadau a gynhaliwyd gan y Llywodraeth flaenorol yn 2022 a 2023.

Fodd bynnag, mae’n hanfodol ein bod hefyd yn cydnabod y bygythiadau unigryw y mae’r DU yn eu hwynebu ar hyn o bryd a’r bygythiadau na allwn eto eu rhagweld dros y degawdau nesaf. Ar yr un pryd, mae’n rhaid i ni wneud yn siŵr bod y rheoliadau’n gweithio i fusnesau ac i fuddsoddwyr, nawr ac yn y dyfodol.

Mae prif genhadaeth y llywodraeth hon wrth wraidd ein cynigion: twf economaidd. Twf yw’r unig ffordd o greu swyddi newydd a rhoi mwy o arian ym mhocedi pobl sy’n gweithio. Ond nid oes twf heb sefydlogrwydd. Drwy ddiogelu’r seilwaith digidol y mae nifer cynyddol o’n busnesau’n dibynnu arno, gallwn sicrhau’r sefydlogrwydd sydd ei angen arnynt i arloesi a buddsoddi.

Mae pob busnes rydw i wedi siarad â nhw wedi dweud yr un peth: rydym angen dulliau rheoleiddio hyblyg sydd o blaid arloesedd, sydd wedi’u cynllunio ar gyfer y byd digidol rydym yn byw ynddo. Mae angen newid yn fwy nag erioed o’r blaen.

Gyda’n gilydd, gallwn dyfu ein heconomi, ailadeiladu ein gwasanaethau cyhoeddus, a sicrhau dyfodol digidol mwy diogel, cadarn a ffyniannus i Brydain.

Y Gwir Anrhydeddus Peter Kyle AS
Ysgrifennydd Gwladol dros Wyddoniaeth, Arloesi a Thechnoleg

Cyd-destun strategol

Rydym yn wynebu bygythiadau na welwyd eu tebyg o’r blaen i’n seilwaith cenedlaethol allweddol, ac mae hynny’n peri risg i ddinasyddion y DU.

Mae gweithgarwch seiber gelyniaethus yn y DU wedi dod yn fwy dwys, cyson a soffistigedig, ac mae hynny wedi arwain at effeithiau yn y byd go iawn i ddinasyddion y DU. Y llynedd, arweiniodd ymosodiad meddalwedd wystlo ar y GIG at ohirio dros 6,000 o apwyntiadau a thriniaethau cleifion allanol. Mae Arolwg Tor-diogelwch Seiber 2024(https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2024/cyber-security-breaches-survey-2024) hefyd yn datgelu graddfa sylweddol yr her sy’n ein hwynebu, gyda mwy na hanner y busnesau yn dweud eu bod wedi profi rhyw fath o ymosodiad neu dor-diogelwch seiber yn ystod y deuddeng mis diwethaf.

Mae Adolygiad Blynyddol 2024 y Ganolfan Seiberddiogelwch Genedlaethol (NCSC) yn disgrifio’r dirwedd bygythiadau fel ‘gwasgaredig a pheryglus’, gydag ymosodiadau parhaus gan wladwriaethau gelyniaethus a throseddau cyfundrefnol. Mae hyn yn fygythiad i’n diogelwch gwladol. Mae actorion seiberfygythiad a noddir gan y wladwriaeth Tsieineaidd eisoes wedi targedu sectorau critigol yr Unol Daleithiau (e.e., Volt Typhoon) ac mae Rwsia wedi lansio ymosodiadau dinistriol yn erbyn  llywodraeth Wcráin. Mae ymosodiadau proffil uchel yn y DU wedi effeithio ar lywodraeth leol a chanolog, fel yr un ar rwydwaith taliadau’r Weinyddiaeth Amddiffyn, ac mae ymosodiadau ar ddarparwyr hanfodol, fel Southern Water, ac ar Gyngor Dinas Caerlŷr a Chyngor Bwrdeistref St Helens, yn dangos risg wirioneddol i’n diogelwch cenedlaethol ac economaidd yn ogystal â diogelwch ein cynghreiriaid.

Dywedodd Richard Horne, Prif Swyddog Gweithredol NCSC, mewn araith i lansio Adolygiad Blynyddol NCSC, fod difrifoldeb y risg sy’n wynebu’r DU yn cael ei ddiystyru’n helaeth a bod angen gwella amddiffyniad a chadernid y Seilwaith Cenedlaethol Allweddol, cadwyni cyflenwi, y sector cyhoeddus, a’n heconomi ehangach ar frys.

Nid yw cadernid yn gwella mor gyflym ag sydd angen i gadw i fyny â’r bygythiad, a gall hyn gael effeithiau yn y byd go iawn. Bydd cynllun deddfwriaethol y Llywodraeth ar gyfer seiberddiogelwch yn mynd i’r afael â’r gwendidau yn ein hamddiffynfeydd seiber er mwyn lleihau effaith ymosodiadau a gwella cadernid ein seilwaith allweddol, ein gwasanaethau a’n heconomi ddigidol.

Mae seiberdroseddwyr yn addasu’n gyson ac yn gwella eu strategaethau.

Mae seiberdroseddwyr wedi manteisio’n barhaus ar ddatblygiadau mewn technoleg i wella effeithiolrwydd eu gweithgareddau maleisus. Mae’n rhaid i’n fframwaith rheoleiddio gadw i fyny a darparu hyblygrwydd i ymateb i fygythiadau yn y dyfodol pan fyddant yn ymddangos.

Mae gwrthwynebwyr yn manteisio ar wendidau mewn seilwaith allweddol a chadwyni cyflenwi, ac yn defnyddio offer, fel deallusrwydd artiffisial a galluoedd seiber masnachol, i wella eu dulliau ysbïo a’u gweithgareddau aflonyddgar.

Mae ein dibyniaeth gynyddol ar dechnoleg yn golygu bod cadwyni cyflenwi yn arbennig o agored i niwed, gyda meddalwedd wystlo a chribddeilio data yn dod i’r amlwg fel bygythiadau sylweddol. Mae llai nag un o bob deg o weithredwyr gwasanaethau hanfodol yn teimlo’n hyderus wrth reoli’r risg o’u cadwyni cyflenwi ehangach (Ail Adolygiad ôl-weithredu 2018 NIS). Wrth i’r actorion hyn barhau i ddatblygu, mae’r risg i gadwyni cyflenwi yn parhau i fod yn bryder critigol, sy’n golygu bod angen mwy o wyliadwriaeth a mesurau cadernid seiber pendant.

Mae seiberddiogelwch yn ffactor hanfodol sy’n galluogi twf economaidd, gan feithrin amgylchedd sefydlog ar gyfer arloesi a buddsoddi.

Mae’r llywodraeth hon yn canolbwyntio ar sbarduno twf economaidd i wella ffyniant ein gwlad a safonau byw pobl sy’n gweithio.

Mae gwasanaethau digidol diogel a chadarn yn creu amgylchedd sefydlog a diogel i fusnesau ffynnu, gan ddenu buddsoddiad ac annog datblygiad technolegau arloesol. Mae’r sefydlogrwydd hwn yn gwella cystadleurwydd cwmnïau unigol ac mae hefyd yn sbarduno cynnydd economaidd cyffredinol drwy leihau cyfnodau segur a tharfu ar weithrediadau.

Mae seilwaith seiber cadarn yn hanfodol ar gyfer hybu arloesi drwy ddarparu sylfaen ddiogel y gellir adeiladu syniadau a thechnolegau newydd arni, a thrwy hynny gynnal safle’r DU ar flaen y gad o ran datblygiadau technolegol byd-eang.

Bydd ein cynllun deddfwriaethol ar gyfer seiber yn cynyddu’r defnydd o amddiffynfeydd seiber hanfodol. Bydd hyn yn diogelu mwy o endidau rhag ymosodiadau seiber ac yn meithrin amgylchedd lle gall buddsoddi ac arloesi ffynnu.

Yr achos dros newid

Yn Araith y Brenin ym mis Gorffennaf 2024, cyhoeddodd y llywodraeth y bydd yn cyflwyno Bil Seiberddiogelwch a Chadernid i gryfhau amddiffynfeydd seiber y DU a meithrin cadernid ein gwasanaethau hanfodol, ein seilwaith a’n gwasanaethau digidol.

Mae’r datganiad polisi yn nodi rhagor o fanylion ar gyfer mesurau’r Bil Seiberddiogelwch a Chadernid, fel y cyhoeddwyd yn Araith y Brenin.

Mae’r dirwedd seiber yn newid yn gyson, ac mae tystiolaeth newydd yn dod i’r amlwg bob dydd. I gydnabod hyn, bydd y datganiad polisi hwn hefyd yn nodi rhai mesurau ychwanegol y mae’r llywodraeth yn eu hystyried ar gyfer cyfrwng deddfwriaethol priodol, a allai fod y Bil Seiberddiogelwch a Chadernid.

Y fframwaith rheoleiddio presennol

Mae’r DU yn diffinio ei hasedau seilwaith digidol a ffisegol pwysicaf, ei systemau (gan gynnwys technoleg gwybodaeth a gweithredol), ei safleoedd, ei staff a’i swyddogaethau drwy lens Seilwaith Cenedlaethol Allweddol (CNI). Y llynedd, cyflwynodd y llywodraeth y sector CNI newydd cyntaf ers bron i ddegawd pan ddynodwyd seilwaith data, sef y cam cyntaf i ddiweddaru cadernid y DU. Fodd bynnag, mae cynnal diogelwch gwasanaethau hanfodol a digidol, gan gynnwys CNI, mewn tirwedd bygythiadau a pheryglon sy’n newid o hyd, yn her barhaus i’r llywodraeth yn ogystal â’r rhanddeiliaid yn y sector cyhoeddus a’r sector preifat sy’n gyfrifol am reoli a rhedeg y gwasanaethau hynny.

Rheoliadau Rhwydweithiau a Systemau Gwybodaeth (NIS) 2018 yw’r unig ddeddfwriaeth seiberddiogelwch traws-sector yn y DU. Maen nhw’n chwarae rhan hanfodol yn y gwaith o ddiogelu cadernid seiber a ffisegol llawer o CNI y DU drwy osod dyletswyddau diogelwch ar y gweithredwyr sy’n ymwneud â darparu gwasanaethau hanfodol.^{[footnote 1]}

Mae Rheoliadau 2018 yn cynnwys pum sector (trafnidiaeth, ynni, dŵr yfed, iechyd a seilwaith digidol) a rhai gwasanaethau digidol (marchnadoedd ar-lein, peiriannau chwilio ar-lein, a gwasanaethau cyfrifiadura cwmwl). Deuddeng o reolyddion (sef “awdurdodau cymwys” yn y rheoliadau) sy’n gyfrifol am orfodi’r rheoliadau. Mae angen diweddaru ein rheoliadau i gadw i fyny â’r bygythiadau sy’n wynebu endidau a reoleiddir ac mae angen i ni gymryd camau i sicrhau bod y DU yn gweithredu yn unol â’n cymheiriaid.

Bydd Bil Seiberddiogelwch a Chadernid yn mynd i’r afael â’r heriau seiberddiogelwch penodol y mae’r DU yn eu hwynebu, gan gysoni, lle bo hynny’n briodol, â’r dull a fabwysiadwyd yng nghyfarwyddeb NIS 2 yr UE. Mae’r dull strategol hwn yn sicrhau y gallwn fod yn hyblyg ac yn ymatebol i fygythiadau seiber mewn ffordd gymesur sy’n cydbwyso’r effaith ar fusnesau.

Bydd y Bil yn gwneud gwelliannau sylweddol i’r fframwaith presennol drwy gynnwys mwy o endidau o fewn y cwmpas, a rhoi rheoleiddwyr ar sylfaen gryfach fel eu bod yn gallu cyflawni eu dyletswyddau pwysig. Mae’r mesurau’n cydnabod yr angen am fwy o welededd ynghylch bygythiadau seiber, a phwysigrwydd gofynion adrodd syml a chlir ar draws gwahanol fframweithiau, gan gynnwys y rheini sy’n destun ymgynghoriad gan y Swyddfa Gartref i wrthsefyll meddalwedd wystlo. Bydd y Bil hefyd yn caniatáu i’r llywodraeth weithredu yn erbyn bygythiadau sy’n dod i’r amlwg heb fod angen deddfwriaeth sylfaenol newydd.

I gydnabod y dirwedd bygythiadau sy’n esblygu, bydd y datganiad polisi’n amlinellu nifer o fesurau ychwanegol a fydd yn galluogi’r llywodraeth i ymateb yn bendant i fygythiadau uniongyrchol i ddiogelwch gwladol. Mae’r mesurau ychwanegol yn cydnabod statws newydd canolfannau data fel CNI a’r angen i’r llywodraeth bennu’r cyfeiriad strategol ar gyfer yr amrywiaeth gynyddol o sectorau sydd o fewn cwmpas y rheoliadau. Bydd y llywodraeth yn penderfynu ar y cyfrwng deddfwriaethol priodol ar gyfer y mesurau ychwanegol maes o law.

1. Sefydliadau sy’n rhedeg gwasanaethau yr ystyrir eu bod yn hanfodol i’r economi a chymdeithas yn ehangach. Maent yn cynnwys seilwaith cenedlaethol allweddol (dŵr, trafnidiaeth, ynni) a gwasanaethau pwysig eraill fel gofal iechyd a seilwaith digidol. ↩