Die britische Regierung hat das Gesetz zur Cybersicherheit und -resilienz eingebracht, ein Gesetzesvorschlag, der den Schutz der wesentlichen Dienste des Landes erhöhen soll. Mit dem Gesetz wird der Geltungsbereich der bestehenden Vorschriften für Netz- und Informationssysteme erweitert, die sich derzeit auf Verkehr, Energie und Gesundheitswesen konzentrieren. Der neue Gesetzentwurf bringt ein breiteres Spektrum von Organisationen in den regulatorischen Rahmen, darunter Rechenzentren, Betreiber intelligenter Energien und große IT-Dienstleister, die kritische Infrastrukturen unterstützen. Regierungsbeamte sagten, das Ziel sei es, die Wahrscheinlichkeit von Unterbrechungen zu verringern, die sich auf tägliche Dienstleistungen wie Strom, Wasser und öffentliche Verkehrsmittel auswirken.
Nach dem Vorschlag würden Organisationen, die unter die Verordnung fallen, strengere Berichtspflichten erhalten. Signifikante Cybervorfälle müssten innerhalb von 24 Stunden der zuständigen Regulierungsbehörde und dem Nationalen Zentrum für Cybersicherheit gemeldet werden. Innerhalb von 72 Stunden wäre dann ein vollständiger Vorfallbericht erforderlich. Die Behörden gehen davon aus, dass die kürzere Meldefrist dazu beitragen wird, schnellere Reaktionen zu koordinieren und die Transparenz von Bedrohungen zu verbessern, die wichtige Sektoren betreffen. Der Gesetzentwurf räumt den Regulierungsbehörden auch die Befugnis ein, bestimmte Lieferanten als kritisch einzustufen, was sie unter zusätzliche Aufsicht stellen würde.
Mit dem Gesetz werden Sicherheitsverpflichtungen für mittlere und große IT-Dienstleister eingeführt, die Organisationen des öffentlichen Sektors unterstützen. Dies ist das erste Mal, dass viele dieser Unternehmen in Bezug auf Cyberrisiken formell reguliert werden. Regierungsbeamte sagten, dass der Sektor zu einem immer häufigeren Weg für Angreifer geworden ist, die versuchen, die nationale Infrastruktur zu kompromittieren. Durch die Einbeziehung dieser Zulieferer in den regulatorischen Geltungsbereich zielt der Gesetzentwurf darauf ab, Schwachstellen in den Lieferketten zu beheben, die zu den jüngsten Vorfällen sowohl innerhalb als auch außerhalb des Vereinigten Königreichs beigetragen haben.
Reaktion der Branche und erwartete Auswirkungen
Branchenverbände bezeichneten den Gesetzentwurf als einen bedeutenden Schritt nach vorne für die nationale Cyberpolitik. Sicherheitsexperten stellten fest, dass es das erste britische Gesetz ist, das Cybersicherheit in seinen Titel aufnimmt, was eine stärkere Betonung des digitalen Schutzes in wichtigen Branchen signalisiert. Organisationen in Sektoren, die wahrscheinlich betroffen sein könnten, wurden angewiesen, zu prüfen, wie ihre Geschäftstätigkeit mit den vorgeschlagenen Anforderungen übereinstimmt. Viele Unternehmen, die bisher nicht reguliert wurden, müssen sich möglicherweise auf die Verbesserung der Prozesse zur Meldung von Vorfällen, die Prüfung von Abhängigkeiten in der Lieferkette und die Überprüfung interner Sicherheitsstandards konzentrieren.
Die Regierung hat erklärt, dass die neuen Regeln schrittweise umgesetzt werden. Einige Anforderungen würden bald in Kraft treten, nachdem der Gesetzentwurf die königliche Zustimmung erhalten hat, während andere weitere Konsultationen und sekundäre Rechtsvorschriften erfordern würden. Diese schrittweise Einführung soll den Organisationen Zeit zur Anpassung geben und gleichzeitig sicherstellen, dass kritische Sektoren ihre Abwehrkräfte unverzüglich stärken. Die Beamten sagten, sie erwarteten das Engagement von Regulierungsbehörden, Industriegruppen und Dienstleistern, wenn die letzten Details ausgearbeitet werden.
Analysten haben darauf hingewiesen, dass der Gesetzentwurf vor dem Hintergrund einer steigenden Zahl von Angriffen auf wesentliche Dienste kommt. Kriminelle Gruppierungen und staatsnahe Akteure haben es zunehmend auf Lieferketten abgesehen, die einen indirekten Zugang zu sensiblen Netzwerken bieten. Die erweiterte Verordnung soll diesen Risiken begegnen, indem die Rechenschaftspflicht der Diensteanbieter geklärt und die Sichtbarkeit von Sicherheitsvorfällen, die sich auf die nationale Infrastruktur auswirken könnten, verbessert wird. Unternehmen, die in den Bereichen Wasser, Gesundheitswesen, Energie, Logistik und Cloud-Dienste tätig sind, stehen möglicherweise vor erheblichen Veränderungen in der Art und Weise, wie sie Cybersicherheit verwalten.
Von den öffentlichen Stellen wird auch erwartet, dass sie sicherstellen, dass ihre externen Partner die aktualisierten Vorschriften einhalten. Der Gesetzentwurf bekräftigt die Ansicht der Regierung, dass wesentliche Dienstleistungen auf ein breites Netzwerk von Anbietern angewiesen sind, deren eigene Sicherheitspraktiken die nationale Widerstandsfähigkeit beeinflussen. Durch die Formalisierung der Aufsicht über diese Beziehungen versuchen die politischen Entscheidungsträger, Lücken zu schließen, die Angreifer ausgenutzt haben. Das Ministerium für Wissenschaft, Innovation und Technologie sagte, das Gesetz werde dazu beitragen, die Kontinuität der grundlegenden Dienstleistungen aufrechtzuerhalten und die Fähigkeit des Landes zu stärken, auf zukünftige Bedrohungen zu reagieren.
Der Gesetzentwurf wird sich weiter durch das Gesetzgebungsverfahren bewegen, und weitere Änderungen können auf der Grundlage von Konsultationen mit der Industrie und den Regulierungsbehörden eingebracht werden. Trotz der verbleibenden Schritte haben Regierungsbeamte den Vorschlag als wichtigen Bestandteil der langfristigen britischen Strategie für digitale Sicherheit vorgestellt. Der Fokus auf die Ausfallsicherheit der Lieferkette, eine schnellere Meldung von Vorfällen und klarere Regulierungsbefugnisse spiegelt die wachsende Erkenntnis wider, dass wesentliche Infrastrukturen im Zuge der Weiterentwicklung der Bedrohungslandschaft stärker geschützt werden müssen.