Es hat lange gedauert. Nachdem es angekündigt wurde so weit zurück wie die Rede des Königs im Jahr 2024, die Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit Der CSRB (Critical Safety Review Board) wurde nun endlich dem Parlament vorgelegt. In den vergangenen rund 20 Monaten wurde die kritische Infrastruktur Großbritanniens (CNI) von einer Reihe schwerwiegender Vorfälle erschüttert – von … Synnovis vom Ransomware-Angriff bis zum beispiellosen Cyber-Spionagediebstahl gegen das Verteidigungsministerium.

Dass kritische Infrastruktursektoren regulatorische Anreize benötigen, um Sicherheit und Resilienz zu verbessern, steht daher außer Frage. Die Frage ist, wie Betreiber kritischer Infrastrukturen und ihre digitalen Pendants die zusätzliche Belastung durch regulatorische Vorgaben bewältigen können.

Für wen ist es gedacht?

Die endgültige Liste der betroffenen Organisationen steht noch aus. Sie wird aber mit Sicherheit jene Sektoren umfassen, die bereits unter die NIS-Verordnung 2018 fallen und durch diesen Gesetzesentwurf aktualisiert werden. Dazu gehören das Gesundheitswesen, der Transportsektor, die Energie-, Wasser- und digitale Infrastruktursektor. Diese werden alle als OES (Operational Enterprise Services) eingestuft.

Die CSRB-Regelung gilt auch für:

  • Relevante digitale Dienstanbieter (RDSPs): Andere digitale Dienstanbieter wie beispielsweise Anbieter von Cloud-Computing, Suchmaschinen und Online-Marktplätzen.
  • Rechenzentrumsbetreiber
  • Managed Service Provider (MSPs)
  • Unternehmen, die die Stromversorgung von intelligenten Haushaltsgeräten und Ladestationen für Elektrofahrzeuge steuern.

Was steht im Gesetzentwurf?

Die Gesetzgebung Das Gesetz befindet sich noch im parlamentarischen Verfahren. Es ist jedoch wahrscheinlich, dass zumindest die folgenden Kernmaßnahmen verabschiedet werden:

  • Die Regulierungsbehörden erhalten die Befugnis, kritische Lieferanten zu benennen, die Mindestsicherheitsstandards erfüllen müssen. Dies dient der Schließung von Sicherheitslücken in der Lieferkette.
  • OES wird verpflichtet sein, Lieferkettenrisiken proaktiver zu managen, wobei diese neuen Pflichten in nachgeordneten Rechtsvorschriften noch konkretisiert werden müssen.
  • OES muss „verhältnismäßige und aktuelle Sicherheitsanforderungen“ erfüllen, die sich aus dem NCSC Cyber ​​Assessment Framework (CAF) ableiten und eng an NIS 2 angelehnt sind.
  • Ein erweiterter Anwendungsbereich für meldepflichtige Vorfälle – dieser umfasst nun auch Ereignisse, „die einen erheblichen Einfluss auf die Bereitstellung eines wesentlichen oder digitalen Dienstes haben können“, sowie „Vorfälle, die die Vertraulichkeit, Verfügbarkeit und Integrität eines Systems erheblich beeinträchtigen“.
  • Strengere Vorgaben für die Meldung von Vorfällen: Die erste Meldung an das NCSC muss spätestens 24 Stunden nach dem Vorfall erfolgen, gefolgt von einem vollständigen Bericht innerhalb von 72 Stunden. Anbieter digitaler Dienste und Rechenzentren müssen ihre Kunden zudem über jegliche Serviceunterbrechungen informieren.
  • Das Büro des Informationsbeauftragten (ICO) erhält neue Befugnisse, um die wichtigsten digitalen Dienstanbieter zu identifizieren und deren Cyberrisiken proaktiv zu bewerten.
  • Die Regulierungsbehörden werden die Kosten über ein neues Gebührensystem decken können.
  • Für schwere Verstöße werden härtere Strafen eingeführt – bis zu 17 Millionen Pfund oder 4/10 % des Umsatzes.
  • Der Technologieminister erhält neue Befugnisse, um Regulierungsbehörden und das Office of Emergency Services (OES) anzuweisen, konkrete Maßnahmen zur Verhinderung von Angriffen zu ergreifen, die eine Bedrohung für die nationale Sicherheit darstellen. Dies könnte die Aktualisierung oder Isolierung kritischer Systeme umfassen.

Zeit, sich vorzubereiten

Obwohl das Gesetz noch das Parlament passieren muss, dürfte sich daran voraussichtlich nicht viel ändern, da „Cybersicherheit nach wie vor ein weitgehend unpolitisches Thema ist“, so Verona Johnstone-Hulse, Leiterin der Regierungsbeziehungen der NCC Group UK. Das bedeutet, dass Sicherheits- und Compliance-Teams sich einen Vorsprung verschaffen können, indem sie ihre Compliance-Maßnahmen jetzt planen.

"Als Organisation muss man zunächst feststellen, ob man tatsächlich in den Anwendungsbereich fällt. Für viele dürfte dies relativ eindeutig sein – entweder weil man bereits nach dem britischen NIS reguliert ist oder weil die eigene Organisation die Definitionen und Schwellenwerte der Sektoren, die durch den Gesetzentwurf in den Anwendungsbereich fallen, eindeutig erfüllt“, erklärt sie gegenüber ISMS.online.

„Für Organisationen, die als ‚kritische Lieferanten‘ eingestuft werden könnten und somit den NIS-Regeln unterliegen, ist es möglicherweise weniger klar, ob die Schwelle zur ‚Kritikalität‘ erreicht wird. Eine genaue Überprüfung Ihrer Kunden sowie der von Ihnen angebotenen Dienstleistungen und Produkte hilft Ihnen dabei, festzustellen, ob Sie in Zukunft voraussichtlich als ‚kritisch‘ eingestuft werden.“

Rhiannon Webster, Leiterin der Abteilung Cybersicherheit in Großbritannien bei der globalen Anwaltskanzlei Ashurst, stimmt zu, dass Unternehmen sich einen Vorsprung bei der Einhaltung der Vorschriften verschaffen können.

„Ich gehe davon aus, dass sich die Kategorien der neu betroffenen Personen nicht ändern werden und die Unternehmen daher ihre Cybersicherheitspläne aktualisieren sollten“, erklärt sie gegenüber ISMS.online. „Sie sollten sich auf erweiterte Meldepflichten vorbereiten, ihre Cybersicherheitskonzepte anhand der erwarteten Anforderungen überprüfen und ihre Lieferketten und Verträge genau unter die Lupe nehmen. Die Verpflichtungen müssen möglicherweise auch in die Beschaffungsprozesse einbezogen werden.“

Johnstone-Hulse von der NCC Group rät Teams Folgendes:

  • Nehmen Sie frühzeitig Kontakt mit Regierung und Aufsichtsbehörden auf.
  • Verbessern Sie Governance und Rechenschaftspflicht, indem Sie die Zustimmung des Vorstands zu Compliance-Programmen sicherstellen.
  • Bewerten Sie die aktuellen Prozesse und Technologien zur Reaktion auf Vorfälle, um zu verstehen, was sich möglicherweise ändern muss.

Charlotte Walker-Osborn, Wissensdirektorin der Anwaltskanzlei Clifford Chance, warnt britische Organisationen, die derzeit unter die NIS2-Regelungen fallen, sich auf einen größeren Aufwand für die Einhaltung der Vorschriften einzustellen.

„Da sich der Anwendungsbereich des britischen Gesetzes zur Cybersicherheit und Resilienz in vielerlei Hinsicht von der EU-Cybersicherheitsgesetzgebung unterscheidet, müssen sich multinationale Unternehmen mit Niederlassungen in ganz Europa erneut mit den praktischen Auswirkungen der Einhaltung zweier unterschiedlicher Regelungen auseinandersetzen“, erklärt sie gegenüber ISMS.online.

„Es zielt darauf ab, sich an Teilen von NIS 2 zu orientieren, erkennt aber auch die eigenen Herausforderungen Großbritanniens an.“

Wie Standards helfen können

Julian Brown, leitender Berater der NCC Group, erklärt, dass einige wichtige technische Details noch nicht geklärt sind. Dazu gehören die „angemessenen und verhältnismäßigen“ Sicherheitsmaßnahmen, die Organisationen ergreifen sollen. Hierbei können bestehende Standards hilfreich sein.

„Es werden zwar weitere Details erwartet – unter anderem in Form eines Verhaltenskodex und branchenspezifischer Leitlinien der Regulierungsbehörden –, aber bestehende Cybersicherheitsstandards und -rahmen können die Einhaltung erleichtern, indem sie einen strukturierten, überprüfbaren und international anerkannten Ansatz zur Erfüllung der Kernanforderungen des Gesetzes bieten“, sagte er gegenüber ISMS.online.

„Die Anwendung dieser Standards liefert die von den Aufsichtsbehörden erwarteten Nachweise: Risikobewertungen, Richtlinien, Kontrollen, Kennzahlen und kontinuierliche Verbesserungsmaßnahmen. ISO 27001 bietet dies durch sein ISMS, das CAF durch sein ergebnisorientiertes Qualitätssicherungsmodell, das NIST CSF durch seinen Governance-Lebenszyklus und ISO 62443 durch seine OT-spezifischen Sicherheitsanforderungen. Die Anwendung eines dieser Rahmenwerke ermöglicht es einem Unternehmen, nach Inkrafttreten der entsprechenden Gesetzgebung nachzuweisen, dass es Cyberrisiken angemessen, verantwortungsvoll und rechtssicher managt.“

Es ist also noch vieles ungewiss. Walker-Osborn von Clifford Chance erklärt, es sei weiterhin unklar, ob der Gesetzentwurf die kürzlich bekannt gewordenen Pläne zum Verbot von Ransomware-Zahlungen und zur Meldepflicht für bestimmte Unternehmen beinhalten werde. Auch das Ausmaß der Strafen sei angesichts der prekären Wirtschaftslage möglicherweise diskutabel, fügt sie hinzu.

Es gibt jedoch durchaus genug, was sich tun lässt. Intelligentere Organisationen sind bereits aktiv. ISO 27001 oder andere Compliance-Programme dürften die Anforderungen des Gesetzesentwurfs deutlich leichter erfüllen können.