Diese Reform markiert eine Abkehr von veralteten Regelwerken und signalisiert einen umfassenderen und agileren Ansatz im Umgang mit Cyberrisiken. Die Aufsicht wird auf Managed Service Providers (MSPs) ausgeweitet, zudem wird eine neue Kategorie „Kritischer Lieferanten“ eingeführt, die es den Behörden erlaubt, Unternehmen mit potenziell sektorenübergreifenden Auswirkungen genauer zu überwachen. Diese Maßnahme dürfte etwa 1.100 weitere Unternehmen unter formale Regulierung bringen.
Das Gesetz verschärft die Meldepflichten bei Sicherheitsverstößen erheblich: Sicherheitsvorfälle müssen künftig innerhalb von 24 Stunden gemeldet werden. Zudem wird der Begriff des meldepflichtigen Vorfalls erweitert, um auch Verletzungen der Vertraulichkeit und der Systemintegrität zu erfassen. Regulierungsbehörden wie das Information Commissioner’s Office erhalten darüber hinaus proaktive Ermittlungsbefugnisse sowie nachhaltige Finanzierungsmodelle.
In Anbetracht der sich rasant entwickelnden Bedrohungslage enthält das Gesetz Mechanismen für zukünftige Anpassungen. Der zuständige Minister erhält die Befugnis, den Geltungsbereich der Regulierung ohne neues Gesetzgebungsverfahren zu erweitern – eine Maßnahme, die eine schnellere Reaktion auf neue Bedrohungen ermöglichen soll. Weitere diskutierte Maßnahmen umfassen die Regulierung kommerzieller Rechenzentren und direkte Eingriffsrechte der Regierung bei nationalen Sicherheitsnotfällen.
Wirtschaftliche Stabilität wird als zentrales Ziel betont. Die Regierung argumentiert, dass sichere digitale Infrastrukturen das Fundament für Innovation und Wachstum darstellen. Dies entspricht den Forderungen aus der Wirtschaft nach „agiler, innovationsfreundlicher“ Regulierung. Der Ansatz orientiert sich teilweise an der NIS2-Richtlinie der EU, legt jedoch den Fokus auf britische Prioritäten.
Trotz der umfassenden Reform warnen Cybersicherheitsexperten vor einer zu engen Auslegung des Gesetzes. Es betrifft vorrangig einen begrenzten Kreis von Organisationen, während viele private Unternehmen – die ebenso anfällig sind – weiterhin außen vor bleiben. Experten betonen die Notwendigkeit einer breiteren öffentlichen Sensibilisierung und der flächendeckenden Einführung von Maßnahmen für Cyberhygiene. Die starke Abhängigkeit von Lieferketten bedeutet, dass die Sicherheit eines einzelnen Unternehmens viele andere beeinflussen kann.
Obwohl das Gesetz einen entscheidenden Schritt in Richtung nationaler Cyberresilienz darstellt, ist es nur ein Teil einer langfristigen Strategie. Die Regierung erkennt an, dass dies kein Endpunkt, sondern eine Grundlage für eine kontinuierliche Weiterentwicklung angesichts wachsender Cyberbedrohungen ist.
Source: DIGIT
Das European Cyber Intelligence Forum ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.