Die feierliche Parlamentseröffnung ist ein Ereignis voller Pomp und Zeremoniell, wie es Großbritannien nach wie vor besser beherrscht als jedes andere Land. Weniger gut ist es hingegen darin, konkrete Details zu anstehenden Gesetzesvorhaben zu liefern. Die Rede des Königs Die Regierung hält sich bezüglich der konkreten Pläne bewusst bedeckt, um Flexibilität zu gewährleisten. Dennoch gibt es klare Anzeichen dafür, was wir in den kommenden Monaten erwarten können. Und ungewöhnlicherweise steht das Thema Cybersicherheit in dieser Parlamentssitzung im Mittelpunkt mehrerer Gesetzesentwürfe.
Von digitalen Ausweisen und neuen Vorgaben zur Cybersicherheit bis hin zu engeren Verbindungen mit europäischen Regulierungsbehörden – Sicherheits- und Compliance-Teams haben dieses Jahr viel zu tun. Hier ist unsere Zusammenfassung der wichtigsten Vorschläge:
Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit
Die lang erwartete Aktualisierung der NIS-Verordnung 2018 durchläuft weiterhin das parlamentarische Verfahren und wird voraussichtlich noch vor Jahresende in Kraft treten. Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit Die CSRB wird den Kreis der betroffenen Organisationen erweitern und Managed Service Provider (MSPs) sowie Rechenzentrumsbetreiber einbeziehen. Sie wird neue, „angemessene und verhältnismäßige“ Sicherheitsmaßnahmen fordern, darunter ein verbessertes Meldewesen für Sicherheitsvorfälle und ein optimiertes Risikomanagement in der Lieferkette. Zudem werden die Höchststrafen bei Nichteinhaltung erhöht.
Die Anzahl der Sektoren, die unter die neue Regulierungsregelung fallen, ist im Vergleich zu Europas NIS2 jedoch weiterhin gering. Spencer Starkey, EVP EMEA bei SonicWall, erklärt gegenüber IO (ehemals ISMS.online), dass der größte Teil der britischen Wirtschaft unberührt bleibt.
„Die EU-Richtlinie NIS2 hat bereits einen breiteren Anwendungsbereich und umfasst die Bereiche Fertigung, Lebensmittelproduktion und Chemie, die vom CSRB nicht abgedeckt werden. Das bedeutet, dass multinationale Konzerne möglicherweise bereits Aufgaben übernehmen, für die der CSRB nicht konzipiert ist“, vermutet er. „Die Regierung setzt in Wirklichkeit auf Druck entlang der Lieferketten – regulierte Unternehmen sollen die Cybersicherheitsstandards ihrer Lieferanten prüfen und verwalten und so die Mindestanforderungen senken, ohne jeden Einzelnen direkt gesetzlich zu binden.“
Die Regierung hat außerdem angekündigt, Initiative zur Stärkung der CyberresilienzDabei werden große Unternehmen unter anderem dazu aufgefordert, Cyber Essentials für ihre gesamte Lieferantenbasis verpflichtend einzuführen. Dies könnte auch dazu beitragen, die grundlegende Sicherheit britischer Unternehmen zu verbessern, doch „freiwillige Verpflichtungen wirken nur, wenn sie auch wirtschaftlich durchgesetzt werden“, argumentiert Starkey.
Gesetz über den digitalen Zugang zu Dienstleistungen
Dies führt in Großbritannien erstmals ein umstrittenes, freiwilliges digitales Identitätssystem ein. Die Regierung versucht, die skeptische Öffentlichkeit zu überzeugen, indem sie es als zeitsparende Technologie darstellt, die Bürokratie abbaut und öffentliche Dienstleistungen verbessert. Auch für Unternehmen könnte es Vorteile bringen, da es die Menge der zu speichernden und zu verarbeitenden Datensätze zur Überprüfung der Kundenidentität reduziert. Theoretisch könnte es Identitätsbetrug verringern und sogar die Überprüfung von Drittanbietern für Identitätsnachweise vereinfachen.
Laut Phil Cotter, CEO von SmartSearch, liegt der Teufel jedoch im Detail. „Wenn an kritischen Zahlungspunkten zuverlässige biometrische Verfahren und Lebenderkennung integriert werden, könnte identitätsbasierter Betrug deutlich reduziert werden“, sagt er. „Bei mangelhafter Konzeption besteht die Gefahr, dass es sich lediglich um einen weiteren Zugangsnachweis handelt, der gestohlen oder durch Social Engineering manipuliert werden kann und so eine Illusion von Sicherheit erzeugt, ohne diese tatsächlich zu gewährleisten.“
Es müssen auch Fragen dazu beantwortet werden, wie das Programm in der Praxis umgesetzt werden soll.
„Wenn ein einheitliches System zum Standard für nationale Identitäten im gesamten öffentlichen und finanziellen Bereich wird, wird es zu einem begehrten Ziel“, warnt Cotter. „Ein Versagen oder eine Beeinträchtigung wäre kein Einzelfall – es könnte weitreichende Folgen für die gesamte Wirtschaft haben.“
Gesetzentwurf zur nationalen Sicherheit
Abgesehen von der Regulierung gewalttätiger Inhalte im Internet ist der aus Cybersicherheitssicht wichtigste Teil des Gesetzentwurfs die vorgeschlagene Reform des Computer Misuse Act von 1990. Das Gesetz, das noch vor der Existenz des Internets in seiner heutigen Form entstand, wurde vielfach kritisiert, da es Cybersicherheitsforscher nicht ausreichend vor dem Vorwurf illegalen Handelns schützt. Die neuen Vorschläge sollen diese Mängel beheben und rechtlichen Schutz für Schwachstellenforschung, Penetrationstests und weitere Bereiche bieten.
„Wir hoffen, dass wir zu einem offenen Forschungsmodell gelangen, in dem alles erlaubt ist, solange es ordnungsgemäß gemeldet wird“, erklärt William Wright, CEO von Closed Door Security, gegenüber IO. „Das gibt jedem die Möglichkeit, Risiken selbst einzuschätzen, und Forschern/Bedrohungsanalysten ein offeneres Arbeitsumfeld, was letztendlich zu einem besseren Umfeld für alle führt.“
Michael Jepson, Penetrationstest-Manager bei CybaVerse, ergänzt, dass dies SOCs dazu anregen könnte, auf Informationen zu reagieren, anstatt sie zu ignorieren, und die Überprüfung von Lieferanten vereinfachen und gründlicher gestalten würde. „Die Sicherheit der Lieferkette könnte zusätzlich zu den Standardfragebögen und SOC2-Berichten gestärkt werden, wodurch Unternehmen die schriftlichen Angaben ihrer Lieferanten tatsächlich überprüfen könnten“, erklärt er gegenüber IO.
Gesetz zur Modernisierung des NHS
Weitreichende Reformen zur Verbesserung der Patientenversorgung beinhalten Vorschläge für eine einheitliche Patientenakte. Laut Muhammad Yahya Patel, vCISO bei Huntress, stellt dies angesichts der darin enthaltenen persönlichen und medizinischen Informationen ein potenziell enormes Sicherheitsrisiko dar.
„Sobald Daten vereinheitlicht und über einen einzigen Zugriffsweg erreichbar sind, werden sie zu einem der attraktivsten Ziele in der gesamten digitalen Infrastruktur Großbritanniens“, erklärt er gegenüber IO. „Cyberkriminelle haben den NHS und wichtige Zulieferer über Jahre hinweg immer wieder ins Visier genommen. Das SPR verändert die Tragweite eines erfolgreichen Angriffs grundlegend.“
Laut Patel müssen Risikobewertungen durchgeführt werden, um Sicherheits-, Verfahrens- und Prozesslücken zu schließen und Zero-Trust-Ansätze für Identität und Zugriff einzuführen, um das Vertrauen der Öffentlichkeit zu stärken. Dies könne auch die Sicherheit der Lieferkette des NHS verbessern, die bereits Cyber Essentials Plus vorschreibt, fügt er hinzu.
„Jede Organisation, die mit dem SPR in Berührung kommt, sei es durch die Bereitstellung von Infrastruktur, Software oder Datenintegrationsdiensten, wird per Definition Teil des Sicherheitsperimeters“, sagt Patel. „Das erfordert von der NHS praktisch, die Sicherheitslage dieser gesamten Kette zu verstehen und zu verwalten.“
Die Reformen umfassen auch die Auflösung von NHS England und die Übertragung von Aufgaben an das Ministerium für Gesundheit und Soziales (DHSC). Dies könne zwar die Rechenschaftspflicht aus regulatorischer und Governance-Perspektive stärken, warnt Patel jedoch auch vor möglichen bürokratischen Hürden. „In Verbindung mit den Meldefristen und dem Sanktionsrahmen des CSRB besteht nun zumindest eine klarere Durchsetzungsstruktur als zuvor“, so Patel.
Europäische Partnerschaftsgesetz
Zehn Jahre nach dem Brexit scheint die Regierung erkannt zu haben, dass Großbritannien in Regulierungsfragen keinen eigenen Weg gehen kann, ohne sich zumindest an seinen kontinentalen Nachbarn anzugleichen. Der Europäische Partnerschaftsgesetzentwurf zielt darauf ab, die Beziehungen zur EU zu stärken, um den Handel anzukurbeln und Bürokratie abzubauen.
„Die Regierung wird die Möglichkeit haben, sich entwickelnde Binnenmarkt-Regelungen im Schnellverfahren in britisches Recht umzusetzen, ohne für jede Aktualisierung eine vollständige, traditionelle Parlamentsabstimmung auslösen zu müssen“, erklärt James Clark, Partner bei Spencer West LLP. Obwohl die Prioritätsbereiche für die Angleichung Lebensmittel und Getränke, Energie- und Emissionshandel sowie Jugendmobilität seien, könnten die Bereiche Digitalisierung und Cybersicherheit möglicherweise folgen, so Clark gegenüber IO.
„Man könnte argumentieren, dass die zusätzlichen bürokratischen Hürden der EU dem weniger stark regulierten Großbritannien einen Wettbewerbsvorteil verschafft haben. Tatsächlich sind aber viele Unternehmen auf beiden Märkten aktiv, sodass die EU-Regulierung nach wie vor spürbare Auswirkungen auf die britische Wirtschaft hat“, fährt Clark fort. „Es ist eine einfache Tatsache, dass die meisten international tätigen Unternehmen möglichst einheitliche Standards bevorzugen.“
Es ist jedoch unklar, wie eine engere Abstimmung im Bereich Cybersicherheit funktionieren würde, angesichts der Abweichungen zwischen NIS2 und dem CSRB„Gleichzeitig gibt es kein direktes Äquivalent zum Cyber Resilience Act der EU, der vorschreibt, dass Hardware- und Softwareprodukte während ihres gesamten Lebenszyklus über Standards für sicheres Design, obligatorische Updates und ein Schwachstellenmanagement verfügen müssen“, betont Clark.
Es wird noch viel mehr kommen
Wie üblich werden einige dieser Vorschläge der Regierung zweifellos stillschweigend fallen gelassen, während andere, die in der Thronrede nicht erwähnt wurden, plötzlich auftauchen. Es ist auch noch zu früh, um abzuschätzen, ob Cybersicherheitsexperten von anderen in der Rede vorgeschlagenen Gesetzen betroffen sein werden, darunter das Gesetz zur Bekämpfung staatlicher Bedrohungen und das Gesetz zur Energieunabhängigkeit. IO wird die Entwicklungen in dieser Parlamentssitzung aufmerksam verfolgen.
