Das Gesetz zur Cybersicherheit und -resilienz: Was Sie wissen müssen

Von Phil Muncaster • 22. Mai 2025

Der Weg zur Cyber-Resilienz der britischen kritischen Infrastruktur (CNI) war lang und steinig. Die NIS-Verordnung der Regierung aus dem Jahr 2018 ist völlig veraltet und in ihrem Umfang begrenzt – sie basiert auf einer EU-Richtlinie von vor zwei Jahren. Doch nach einigen positiven Äußerungen blieben die Bemühungen der vorherigen Regierung im Sande. Daher ist es ermutigend, dass die Labour-Regierung dem Thema endlich die gebührende Aufmerksamkeit schenkt.

Nach Monaten des Wartens auf weitere Einzelheiten nach der Rede des KönigsWir haben nun eine Regierungserklärung, die wir analysieren müssen. Was soll das Gesetz zur Cybersicherheit und -resilienz erreichen? Und wie schwierig wird es für Unternehmen sein, die Vorgaben einzuhalten?

Warum wir es brauchen

Großbritannien hat sich deutlich von dem Land unterschieden, in dem die NIS-Verordnung 2018 in Kraft trat. CNI, Gesellschaft und britische PLC sind stärker denn je auf IT und digitale Systeme angewiesen. In den meisten Organisationen führte dies zu Investitionen, die die Angriffsfläche für Cyberangriffe vergrößerten und Bedrohungsakteuren Vorteile verschafften. Der geopolitische Hintergrund hat staatlich verbündete, aber glaubhaft abstreitbare Angriffe Dritter wahrscheinlicher gemacht. Und er hat Nationalstaaten ermutigt, eigene Angriffe durchzuführen.

Als ob irgendjemand an die möglichen Auswirkungen schwerer Verstöße auf den CNI-Sektor erinnert werden müsste, erinnern Sie sich nur an das Chaos, das Synnovis-Ransomware-Angriff verursacht im letzten Jahr – was zu Tausenden von abgesagten Terminen und einem kritischen Blutmangel in Südostengland führte. Es ist auch eine Erinnerung daran, dass Lieferketten ein zunehmend anfälliges Ziel für solche Angriffe sind. Zu oft treffen Qualifikations- und Ressourcendefizite diese kleineren Organisationen hart. Und während sie kämpfen, sind Bedrohungsakteure Mit KI mehr mit weniger erreichen, wodurch Angriffe beschleunigt und Ergebnisse verbessert werden.

Die Tatsache, dass die Hälfte der britischen Firmen haben Pläne zur digitalen Transformation auf Eis gelegt Aufgrund der Angst vor staatlichen Angriffen ist die Verbesserung der Cyber-Resilienz auch für Unternehmen unerlässlich. Was steht also auf ihrer To-do-Liste, wenn der Gesetzentwurf endlich in Kraft tritt?

Was steht im Gesetzentwurf?

Obwohl im Laufe der parlamentarischen Beratung noch Änderungen vorgenommen werden können, zielt das Gesetz in seiner derzeitigen Fassung darauf ab:

Erstellen Sie weitere Entitäten im Geltungsbereich

Die Regierung wird:

Beziehen Sie Managed Service Provider (MSPs) in den Geltungsbereich der neuen Bestimmungen ein. Schätzungsweise 900 bis 1100 dieser Unternehmen sind betroffen.
Einschließlich Rechenzentrumsbetreibern: rund 182 Colocation-Standorte und 64 Betreiber sowie eine kleine Anzahl von Unternehmensrechenzentren (mit einer Kapazität von über 10 MW)
Ermöglichen Sie es Regierungen und Regulierungsbehörden, strengere Anforderungen an bestimmte Betreiber wichtiger Dienste (OES) mit kritischer Bedeutung/hoher Auswirkung zu stellen, selbst wenn es sich um Kleinstunternehmen handelt (sofern sie nicht den bestehenden Gesetzen zur Cyber-Resilienz unterliegen).

Stärkung der Regulierungsbehörden und Verbesserung der Aufsicht

Die Regierung wird:

Klärung der „technischen und methodischen Sicherheitsanforderungen“, die an die betroffenen Organisationen gestellt werden – in engerer Abstimmung mit NIS 2 und dem NCSC Cyber Assessment Framework (CAF).
Die Meldung von Vorfällen soll um alle Vorfälle erweitert werden, die „die Vertraulichkeit, Verfügbarkeit und Integrität eines Systems erheblich beeinträchtigen“ – einschließlich Datenkompromittierung, Spyware-Angriffen und Ransomware. Unternehmen müssen dies ihrer Aufsichtsbehörde und dem NCSC melden. Die Meldepflichten sind „nicht strenger als NIS 2“: zunächst 24 Stunden, gefolgt von einem Vorfallbericht innerhalb von 72 Stunden.
Ermächtigen Sie den Technologieminister, einem regulierten Unternehmen bestimmte Maßnahmen aufzuerlegen, wenn dies für die nationale Sicherheit als notwendig erachtet wird.
Verbessern Sie die Befugnisse des ICO zur Informationsbeschaffung, damit es die wichtigsten digitalen Dienstanbieter identifizieren und deren Cybersicherheitslage proaktiv bewerten kann.
Ermöglichen Sie den Regulierungsbehörden, ein Gebührensystem festzulegen, Kosten zurückzufordern oder beides zu kombinieren, um Durchsetzungskosten und andere Regulierungskosten zu decken.

Erstellen Sie delegierte Befugnisse

Die Regierung hat sich außerdem dazu verpflichtet, die Anpassungsfähigkeit des Gesetzes sicherzustellen: Sie hat dem technischen Minister neue Befugnisse erteilt, um die Gesetzgebung zu aktualisieren und sicherzustellen, dass sie „aktuell und wirksam“ ist.

Offene Fragen

Der gemeinnützige Spezialist für Unternehmensresilienz CSBR begrüßt den Gesetzentwurf, aber fordert Klarheit zu einer Reihe von Fragen, die von der NIS-2-Anpassung bis zu den ICO-Befugnissen reichen.

Die Herausforderung besteht darin, sicherzustellen, dass die Suche nach einer besseren Regulierung der Cybersicherheit nicht unbeabsichtigt Innovationen hemmt und belastende oder bürokratische Hürden schafft, insbesondere für kleine und mittlere Unternehmen, heißt es. Die Regierung muss außerdem erkennen, dass sie selbst oft der anfälligste Teil des Systems ist, wie der jüngste NAO-Bericht deutlich gemacht hat.

Oscar Tang, Senior Associate in der Tech Group von Clifford Chance, stimmt zu, dass in diesem Stadium viele Fragen unbeantwortet bleiben, darunter die Grundlage für die „technischen und methodischen Sicherheitsanforderungen“, die das neue Gesetz für betroffene Organisationen klären soll.

„Wir könnten einen mehrschichtigen Ansatz sehen, der neben ISO und anderen Richtlinien auf den CAF als zentralen britischen Maßstab verweist, um die Einheitlichkeit in der Praxis zu gewährleisten“, erklärt er gegenüber ISMS.online. „Die politische Absicht der Regierung unterstreicht die Bedeutung eines angemessenen und agilen Sicherheitsansatzes, sodass Unternehmen das Rad wahrscheinlich nicht neu erfinden müssen. Die Nutzung bestehender Rahmenwerke wie ISO 27001 sollte dazu beitragen, ein robustes Risikomanagement und Sicherheitskontrollen zu gewährleisten.“

Will Richmond-Coggan, Partner bei Freeths LLP und Spezialist für Rechtsstreitigkeiten im Bereich Daten- und Cybersicherheit, nennt ISO-Normen ebenfalls als mögliche Grundlage für die Erwartungen an das neue britische Gesetz.

„Auch wenn die Regierung mit der Ausarbeitung von Gesetzen, die den Entwicklungen in Europa im Bereich der Cybersicherheit in der NIS-2-Richtlinie Rechnung tragen, etwas spät dran ist, bietet dies doch einige Vorteile“, sagt er gegenüber ISMS.online.

Eine Reihe bestehender Informationssicherheitsstandards spiegelt den veränderten Fokus unter NIS 2 bereits wider: beispielsweise ISO 27001:2022 und ISO 27302, die konkrete Empfehlungen zur Stärkung der Cyber-Resilienz eines Unternehmens enthalten. Diese Standards dürften auch die Einhaltung des Cyber Security and Resilience Bill unterstützen, sobald dieser in Kraft tritt. Für Unternehmen, die bereits in Europa tätig sind und NIS 2 einhalten, dürften die Parallelen zwischen den Gesetzgebungen hilfreich sein.

Um jedoch eine echte Cyber-Resilienz zu erreichen, müssen Unternehmen das, was sie durch die Arbeit mit ISO 27001 und anderen Standards lernen, „in den operativen Kern ihres Unternehmens integrieren“ – was eine „Kultur der Compliance“ erfordere, fügt Richmond-Coggan hinzu.

„Tatsächlich wird die Gesetzgebung im Hinblick auf einige der Risiken, denen sie begegnen soll, zum Zeitpunkt ihres Inkrafttretens bereits überholt sein“, schlussfolgert er.

„Unternehmen müssen dies als Weckruf nutzen und ihre durchgängige Sicherheitslage, ihre Widerstandsfähigkeit und ihre Geschäftskontinuitätsplanung überprüfen, wenn sie wirklich auf die Risiken vorbereitet sein wollen, auf die die Regierung mit dieser Gesetzgebung und ihren umfassenderen Cybersicherheitsinitiativen reagiert.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster