De Britse regering heeft de Cyber Security and Resilience Bill geïntroduceerd, een wetsvoorstel dat bedoeld is om de bescherming van de essentiële diensten van het land te vergroten. De wetgeving breidt het toepassingsgebied uit van de bestaande regels voor netwerk- en informatiesystemen, die momenteel gericht zijn op vervoer, energie en gezondheidszorg. Het nieuwe wetsvoorstel brengt een breder scala aan organisaties in het regelgevingskader, waaronder datacenters, slimme energie-exploitanten en grote IT-dienstverleners die kritieke infrastructuur ondersteunen. Overheidsfunctionarissen zeiden dat het doel is om de kans op verstoringen van de dagelijkse diensten zoals elektriciteit, water en openbaar vervoer te verkleinen.
Volgens het voorstel zouden organisaties die onder de verordening vallen, te maken krijgen met strengere rapportagevereisten. Significante cyberincidenten moeten binnen 24 uur worden gemeld aan de bevoegde toezichthouder en aan het National Cyber Security Centre. Een volledig incidentrapport zou dan binnen 72 uur vereist zijn. De autoriteiten zijn van mening dat de kortere rapportagetijdlijn zal helpen om snellere reacties te coördineren en het inzicht in bedreigingen die essentiële sectoren treffen, te verbeteren. Het wetsvoorstel geeft regelgevers ook de bevoegdheid om bepaalde leveranciers als cruciaal aan te wijzen, waardoor ze onder aanvullend toezicht komen te staan.
De wetgeving introduceert beveiligingsverplichtingen voor middelgrote en grote IT-dienstverleners die organisaties in de publieke sector ondersteunen. Dit is de eerste keer dat veel van deze bedrijven formeel worden gereguleerd met betrekking tot cyberrisico’s. Overheidsfunctionarissen zeiden dat de sector een steeds vaker voorkomende route is geworden voor aanvallers die de nationale infrastructuur in gevaar willen brengen. Door deze leveranciers binnen het toepassingsgebied van de regelgeving te brengen, beoogt het wetsvoorstel kwetsbaarheden in toeleveringsketens aan te pakken die hebben bijgedragen aan recente incidenten, zowel binnen als buiten het VK.
Reactie van de industrie en verwachte impact
Industriegroepen beschreven het wetsvoorstel als een belangrijke stap voorwaarts voor het nationale cyberbeleid. Beveiligingsexperts merkten op dat het de eerste Britse wet is die cyberbeveiliging in de titel opneemt, wat wijst op een sterkere nadruk op digitale bescherming binnen essentiële industrieën. Organisaties binnen sectoren die waarschijnlijk getroffen zullen worden, hebben het advies gekregen om te beoordelen hoe hun activiteiten aansluiten bij de voorgestelde vereisten. Veel bedrijven die nog niet eerder gereguleerd waren, moeten zich mogelijk richten op het verbeteren van incidentrapportageprocessen, het controleren van afhankelijkheden in de toeleveringsketen en het herzien van interne beveiligingsnormen.
De regering heeft aangegeven dat de nieuwe regels gefaseerd zullen worden ingevoerd. Sommige vereisten zouden in werking treden kort nadat het wetsvoorstel koninklijke goedkeuring heeft ontvangen, terwijl andere verder overleg en secundaire wetgeving vereisen. Deze gefaseerde invoering is bedoeld om organisaties de tijd te geven zich aan te passen en er tegelijkertijd voor te zorgen dat kritieke sectoren hun verdediging onverwijld versterken. Ambtenaren zeiden dat ze betrokkenheid verwachten van regelgevers, industriegroepen en dienstverleners naarmate de laatste details worden vormgegeven.
Analisten hebben erop gewezen dat het wetsvoorstel komt in de context van een toenemend aantal aanvallen op essentiële diensten. Criminele groepen en aan de staat gelieerde actoren hebben zich steeds meer gericht op toeleveringsketens, die indirecte toegang bieden tot gevoelige netwerken. De uitgebreide verordening is bedoeld om deze risico’s aan te pakken door de verantwoordingsplicht tussen dienstverleners te verduidelijken en door de zichtbaarheid van incidenten die van invloed kunnen zijn op de nationale infrastructuur te verbeteren. Organisaties die actief zijn in water, gezondheidszorg, energie, logistiek en clouddiensten kunnen te maken krijgen met substantiële veranderingen in de manier waarop ze cybersecurity beheren.
Van openbare lichamen zal ook worden verwacht dat zij ervoor zorgen dat hun externe partners de geactualiseerde regels naleven. Het wetsvoorstel versterkt het standpunt van de regering dat essentiële diensten afhankelijk zijn van een breed netwerk van leveranciers wier eigen beveiligingspraktijken de nationale veerkracht beïnvloeden. Door het toezicht op deze relaties te formaliseren, proberen beleidsmakers lacunes te dichten die aanvallers hebben uitgebuit. Het ministerie van Wetenschap, Innovatie en Technologie zei dat de wetgeving zal helpen de continuïteit van essentiële diensten te behouden en het vermogen van het land om te reageren op toekomstige bedreigingen zal versterken.
Het wetsvoorstel zal het wetgevingsproces blijven doorlopen en verdere wijzigingen kunnen worden ingevoerd op basis van overleg met de industrie en regelgevers. Ondanks de resterende stappen hebben overheidsfunctionarissen het voorstel gepresenteerd als een belangrijk onderdeel van de digitale veiligheidsstrategie van het VK op de lange termijn. De focus op veerkracht van de toeleveringsketen, snellere melding van incidenten en duidelijkere regelgevende autoriteit weerspiegelt de groeiende erkenning dat essentiële infrastructuur sterkere bescherming vereist naarmate het bedreigingslandschap evolueert.