In seiner Rede anlässlich der Eröffnung des britischen Parlaments letzte Woche skizzierte König Charles III. wichtige Gesetzgebungsmaßnahmen, die die neue Regierung während ihrer Amtszeit umsetzen will, und hob die Prioritäten der Regierung für die kommenden Jahre hervor. 

Die Das ehrgeizige Gesetzgebungsprogramm umfasste rund 40 Gesetzesentwürfe, wobei sich zwei spezifische Gesetzesentwürfe auf den Technologiesektor konzentrieren: der Cyber ​​Security and Resilience Bill und der Digital Information and Smart Data Bill.    

 Was sind also die wichtigsten Erkenntnisse aus diesen Gesetzesentwürfen hinsichtlich Informationen und Cybersicherheit und was können Unternehmen jetzt tun, um sich auf die künftige Gesetzgebung vorzubereiten? 

Das Gesetz zur Cybersicherheit und -resilienz 

Das Gesetz über Cybersicherheit und -resilienz soll die Cyberabwehr des Landes stärken und die kritische Infrastruktur und die digitalen Dienste sichern, auf die Unternehmen in hohem Maße angewiesen sind. Die jüngsten Cyberangriffe auf das britische Gesundheitssystem NHS und das Verteidigungsministerium unterstreichen die Dringlichkeit dieses Schritts. Das bevorstehende Gesetz verspricht, diese Schwachstellen rasch zu beheben, den Schutz der digitalen Wirtschaft zu gewährleisten und das Wachstum zu unterstützen. 

Im Mittelpunkt der Strategie des Gesetzes steht eine Überarbeitung bestehender Regelungen, die derzeit veraltete EU-Gesetze widerspiegeln, nämlich NIS, das in Kürze ersetzt wird durch das aktualisierte NIS 2. Die neue britische Gesetzgebung wird die Regulierungsbehörden stärken und eine verstärkte Berichterstattung über Cyberbedrohungen vorschreiben. Dies wird der Regierung ein klareres Verständnis der Cyberlandschaft verschaffen und ihre Reaktionsfähigkeit verbessern. 

Der Gesetzentwurf zielt auch darauf ab, die Reichweite der aktuellen Vorschriften auf mehr digitale Dienste und Lieferketten auszudehnen, die für Cyber-Angreifer zunehmend attraktive Ziele geworden sind. Auf diese Weise sollen kritische Lücken in der nationalen Verteidigung geschlossen und Störungen der Art verhindert werden, wie sie in jüngster Zeit bei den öffentlichen Diensten in Großbritannien aufgetreten sind. wie der Ransomware-Angriff, der mehrere Londoner Krankenhäuser lahmlegte. 

Es wird erwartet, dass die Gesetzgebung höhere Bußgelder und Strafen für die Nichteinhaltung von Cybersicherheitsstandards einführt, um alle neuen gesetzlichen Anforderungen zu untermauern. Diese Strafen werden die gelegentlichen, aber erheblichen Bußgelder ergänzen, die das Information Commissioner's Office (ICO) bereits für Datenschutzverletzungen verhängt. 

Der Gesetzesentwurf erkennt die Verflechtung des Handels an und zielt auch darauf ab, Fordern Sie von Organisationen, sicherzustellen, dass ihre Lieferanten und Partner strenge Cybersicherheitsstandards einhalten. Sie kann auch Verpflichtungen für die Geschäftsleitung erlassen und Direktoren oder Manager bei Nichteinhaltung persönlich zur Verantwortung ziehen. 

Die Regulierungsbehörden werden ermächtigt, die Umsetzung wesentlicher Maßnahmen zur Cybersicherheit sicherzustellen, darunter auch mögliche Kostenerstattungsmechanismen und die Befugnis, Schwachstellen proaktiv zu untersuchen. Darüber hinaus wird das Gesetz eine umfassende Vorfallberichterstattung vorschreiben, die der Regierung bessere Daten zu Cyberangriffen, einschließlich Ransomware-Vorfällen, liefert, um ihre Bedrohungserkennung und -reaktion zu verbessern. 

Mit der bevorstehenden Einführung des Gesetzes zur Cybersicherheit und -resilienz müssen Unternehmen, insbesondere in den Bereichen Technologie und kritische Infrastruktur, wahrscheinlich in strengere Cybersicherheitsmaßnahmen investieren. Dies wird ihre Widerstandsfähigkeit erhöhen und sicherstellen, dass sie die neuen, strengeren Standards einhalten. 

Die erhöhten Meldepflichten können jedoch den Verwaltungsaufwand und die Kosten für Unternehmen erhöhen. Angesichts dieser Herausforderungen plant die Regierung, über das National Cyber ​​Security Centre (NCSC) insbesondere kleinen Unternehmen Ressourcen zur Verfügung zu stellen, um ihnen bei der Verbesserung ihrer Cybersicherheitspraktiken zu helfen. 

Der Gesetzentwurf wird neben der allgemeinen Cybersicherheit wahrscheinlich auch Bestimmungen zu künstlicher Intelligenz (KI) enthalten. Obwohl kein spezieller KI-Gesetzentwurf vorgelegt wurde, erkennt der Cybersicherheits- und Resilienzgesetzentwurf den wachsenden Einfluss der KI an und schlägt Maßnahmen vor, um die Auswirkungen auf die Cybersicherheit zu bewältigen, die mit leistungsstarken KI-Modellen verbunden sind. Ein ganzheitlicher Ansatz dieser Art würde zweifellos sicherstellen, dass KI-Technologien sicherer und mit größerer Überlegung entwickelt und eingesetzt werden, wodurch potenzielle Risiken gemindert werden. 

Die 5 wichtigsten Erkenntnisse aus dem Gesetzentwurf für Cybersicherheit und -resilienz  

 

  1. Strengere Einhaltung der Vorschriften und Strafen: Das neue Gesetz zur Cybersicherheit und Widerstandsfähigkeit wird voraussichtlich zusätzlich zu den bestehenden ICO-Strafen für Datenschutzverletzungen höhere Geldbußen und Strafen für Unternehmen einführen, die die vorgeschriebenen Cybersicherheitsstandards nicht einhalten.
  2. Erweiterter Umfang und Berichtspflichten: Unternehmen müssen sich an aktualisierte Vorschriften halten, die mehr digitale Dienste und Lieferketten abdecken. Organisationen werden außerdem verpflichtet, Cybersicherheitsvorfälle umfassender zu melden, um der Regierung bessere Daten zu Cyberbedrohungen zu liefern.
  3. Cybersicherheit in der Lieferkette: Der Gesetzesentwurf betont nachdrücklich die Notwendigkeit, kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Angesichts der Vernetzung des modernen Handels und der jüngsten Schwere von Cybervorfällen in der Lieferkette müssen Unternehmen darauf vorbereitet sein, sicherzustellen, dass ihre Lieferanten und Partner ebenfalls hohe Cybersicherheitsstandards einhalten und dies nachweisen können.
  4. Verantwortlichkeit der Geschäftsleitung: Der Gesetzentwurf kann der Geschäftsleitung die Verpflichtung auferlegen, Maßnahmen zur Cybersicherheit umzusetzen. Bei Nichteinhaltung drohen möglicherweise persönliche Geldbußen oder Strafen.
  5. Unterstützung für kleine Unternehmen: Die Regierung plant, über das National Cyber ​​Security Centre (NCSC) Ressourcen bereitzustellen, um kleinen Unternehmen dabei zu helfen, ihre Cybersicherheitspraktiken zu verbessern und neue gesetzliche Anforderungen zu erfüllen. 

Das Gesetz über digitale Informationen und Smart Data 

In einem bedeutenden legislativen Wandel zielt der neu vorgestellte Digital Information and Smart Data Bill darauf ab, die Macht der Daten zu nutzen, um das Wirtschaftswachstum anzukurbeln, eine moderne digitale Regierung zu unterstützen und das Leben der Bürger zu verbessern. Diese Initiative folgt dem erfolglosen Versuch der vorherigen Regierung, den Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI) sondern verspricht einen frischen Ansatz, der auf die aktuelle digitale Landschaft zugeschnitten ist. 

Im Kern zielt der Gesetzentwurf darauf ab, einen umfassenden Regulierungsrahmen zu schaffen, der innovative Datennutzungen fördert. Im Mittelpunkt steht dabei die Förderung digitaler Verifizierungsdienste, die darauf abzielen, alltägliche Aufgaben wie Umzüge, Überprüfungen vor der Einstellung und den Kauf altersbeschränkter Waren durch die Bereitstellung sicherer digitaler Identitäten zu vereinfachen. Diese Innovation soll Zeit und Geld sparen und gleichzeitig die Sicherheit von Online-Transaktionen erhöhen. 

Der Gesetzentwurf betont auch Smart-Data-Systeme, die auf Anfrage die sichere Weitergabe von Kundendaten an autorisierte Drittanbieter ermöglichen. Wie das erfolgreiche Open-Banking-Framework zielt diese Initiative darauf ab, innovative Dienste zu fördern, die die Entscheidungsfindung und das Marktengagement verbessern. Der Gesetzentwurf zielt darauf ab, die Verbraucher zu stärken und das Wirtschaftswachstum in verschiedenen Sektoren voranzutreiben, indem er eine gesetzliche Grundlage für diese Systeme schafft. 

Die Verbesserung öffentlicher Dienste und die Unterstützung wissenschaftlicher Forschung sind weitere wichtige Ziele des Gesetzes. Durch die Änderung des Digital Economy Act will die Regierung den Datenaustausch über Unternehmen, die öffentliche Dienste nutzen, verbessern, auf die elektronische Registrierung von Geburten und Todesfällen umstellen und IT-Systeme im Gesundheits- und Sozialwesen standardisieren. Darüber hinaus werden mit dem Gesetz die Datenschutzgesetze aktualisiert, um den modernen interdisziplinären Forschungsanforderungen besser gerecht zu werden. So können Wissenschaftler eine breite Zustimmung zu ihrer Arbeit erhalten und kommerzielle Forscher können Daten effektiv nutzen. 

Der Gesetzentwurf führt gezielte Reformen der Datenschutzgesetze ein, um Schutz und Innovation in Einklang zu bringen und diese Ziele zu erreichen. Diese Reformen zielen darauf ab, bestehende Vorschriften zu klären, Hindernisse für die Entwicklung neuer Technologien zu beseitigen und sicherzustellen, dass hohe Datenschutzstandards eingehalten werden. 

Ein wesentlicher Bestandteil des Gesetzesentwurfs ist die Modernisierung und Stärkung des Information Commissioner's Office (ICO). Das ICO wird mit einem neuen CEO, Vorstand und Vorsitzenden umstrukturiert und erhält neue Befugnisse zur Durchsetzung der Datenschutzgesetze. Diese Umgestaltung soll sicherstellen, dass das ICO die im Gesetzentwurf vorgeschlagenen verbesserten Datenschutzmaßnahmen wirksam überwachen kann. 

Der Digital Information and Smart Data Bill ist ein proaktiver Ansatz, um Daten zum Nutzen von Wirtschaft und Gesellschaft zu nutzen. Durch die Modernisierung der Regulierungsstrukturen, die Verbesserung öffentlicher Dienste und die Unterstützung wissenschaftlicher Forschung will die Regierung Großbritannien an die Spitze der digitalen Wirtschaft bringen und gleichzeitig hohe Datenschutz- und Sicherheitsstandards aufrechterhalten.  

Die wichtigsten Erkenntnisse aus dem Gesetzentwurf zu digitalen Informationen und Smart Data  

  1. Strukturelle und Governance-Änderungen am ICO: Der Gesetzentwurf restrukturiert das ICO und gibt ihm einen neuen Governance-Rahmen und mehr Macht. Diese Änderungen zielen darauf ab, die Fähigkeit des ICO zu verbessern, Datenschutzbestimmungen durchzusetzen und digitale Verifizierungsdienste zu überwachen.
  2. Entwicklung sicherer digitaler Identitätsprodukte: Der Gesetzentwurf unterstützt die Entwicklung und Einführung sicherer digitaler Identitätsprodukte und -dienste. Diese Produkte werden sichere Transaktionen in verschiedenen Kontexten ermöglichen, beispielsweise bei Umzügen, Überprüfungen vor der Einstellung und dem Kauf altersbeschränkter Waren und Dienstleistungen.
  3. Unterstützung für Smart Data-Schemata: Die Gesetzgebung fördert die Entwicklung intelligenter Datensysteme, die es ermöglichen, Kundeninformationen an autorisierte Anbieter weiterzugeben. Diese Initiative zielt darauf ab, Innovationen zu fördern und die Servicebereitstellung in den Bereichen Finanzen, Energie und Telekommunikation zu verbessern.
  4. Reformen des Datenschutzgesetzes: Der Gesetzentwurf führt gezielte Reformen des Datenschutzrechts ein, um Datenschutz und Innovation in Einklang zu bringen. Ziel dieser Reformen ist es, bestehende Vorschriften zu klären, Hindernisse für die Entwicklung neuer Technologien zu beseitigen und hohe Datenschutzstandards aufrechtzuerhalten. 

 

Wie steht es um die KI-Regulierung in Großbritannien? 

Entgegen den Erwartungen hat die britische Regierung in ihrer Rede keinen eigenen KI-Gesetzentwurf vorgelegt. Allerdings sind KI-Aspekte im Gesetzentwurf zu Cybersicherheit und -resilienz sowie in den Produktsicherheitsmaßnahmen verankert, was darauf hindeutet, dass die Regierung die wachsende Bedeutung und die potenziellen Risiken der KI-Technologien anerkennt. 

Auch wenn es kein eigenständiges KI-Gesetz gibt, hat die Regierung ihre Zusage zum Ausdruck gebracht, „sich um die Schaffung geeigneter Rechtsvorschriften zu bemühen, um Anforderungen an diejenigen zu stellen, die an der Entwicklung der leistungsfähigsten Modelle für künstliche Intelligenz arbeiten“.

Dieses Engagement unterstreicht die laufenden Bemühungen, sicherzustellen, dass die Entwicklung und Bereitstellung von KI in einem Rahmen erfolgen, in dem Sicherheit, Schutz und ethische Standards im Vordergrund stehen. 

Und obwohl es in Großbritannien keine unmittelbare Regulierung der KI geben dürfte, ist das KI-Gesetz der EU inzwischen in Kraft getreten. Es gilt für alle Unternehmen, die in oder mit EU-Unternehmen und -Verbrauchern Handel treiben oder Geschäfte tätigen. Unternehmen sollten sich daher jetzt darauf und auf die Wahrscheinlichkeit künftiger KI-spezifischer Regelungen in Großbritannien vorbereiten.  

Vorbereitung – So kann Ihr Unternehmen den kommenden Regulierungen einen Schritt voraus sein 

Angesichts der bevorstehenden Gesetzgebung zur Cybersicherheit ISO 27001 ist ein entscheidender Vorteil für Organisationen, die ihre digitale Abwehr stärken wollen. Dieser international anerkannte Standard ist eng mit vielen vorgeschlagenen Cyber ​​Security and Resilience Bill- und Digital Information and Smart Data Bill-Anforderungen abgestimmt. Der risikobasierte Ansatz von ISO 27001 zum Informationssicherheitsmanagement spiegelt den gesetzgeberischen Fokus auf umfassende Risikobewertungs- und -minderungsstrategien wider. 

Vorteile von ISO 27001 für die Compliance 

  • Systematisches Risikomanagement: ISO 27001 verlangt von Unternehmen, Informationssicherheitsrisiken systematisch zu identifizieren, zu bewerten und zu behandeln, und entspricht damit dem neuen regulatorischen Fokus auf Risikomanagement und proaktiver Schwachstellenbewertung.
  • Strukturierte Vorfallberichterstattung: Der Standard schreibt Verfahren zum Erkennen, Melden und Reagieren auf Sicherheitsvorfälle vor und unterstützt die erhöhten Anforderungen der neuen Gesetzgebung zur Vorfallberichterstattung.
  • Umfassende Sicherheitskontrollen: ISO 27001 schreibt ein breites Spektrum an Sicherheitskontrollen vor und hilft Unternehmen, die erhöhten Sicherheitsmaßnahmen zu erfüllen, die die neuen Vorschriften erfordern.
  • Schnelle Implementierung : ISO 27001 fördert eine Kultur der kontinuierlichen Verbesserung der Informationssicherheit und stellt sicher, dass sich Unternehmen an neue Bedrohungen und regulatorische Änderungen anpassen. 

 

Für Unternehmen mit einer soliden ISO 27001-Grundlage wird die Einhaltung der kommenden Cybersicherheitsvorschriften reibungsloser, weniger zeitaufwändig und kostengünstiger sein. Die Nutzung bestehender Rahmenbedingungen kann den Arbeitsaufwand und die Ressourcen, die zur Erfüllung neuer gesetzlicher Anforderungen erforderlich sind, um bis zu 50-70 % reduzieren.

Dieser Vorsprung führt zu erheblichen Kosteneinsparungen und ermöglicht es Unternehmen, ihre Ressourcen strategischer einzusetzen und sich auf die Feinabstimmung der Sicherheit zu konzentrieren, anstatt Compliance-Frameworks von Grund auf neu zu erstellen.  

Was können Unternehmen tun, um sich auf die KI-Regulierung vorzubereiten? 

Angesichts strengerer KI-Vorschriften bietet ISO 42001 einen proaktiven Ansatz zur Einhaltung. Organisationen, die diesen Standard jetzt übernehmen, bereiten sich nicht nur auf zukünftige Vorschriften vor, sondern positionieren sich auch als Vorreiter im verantwortungsvollen Einsatz von KI. Die potenziellen Vorteile sind beträchtlich: verbesserte Sicherheitslage, verbessertes Vertrauen der Stakeholder und ein Wettbewerbsvorteil in einem zunehmend KI-gesteuerten Markt. 

Das Schöne an ISO 42001 ist seine Anpassungsfähigkeit und Synergie mit bestehenden Cybersicherheitsrahmen. Organisationen, die bereits mit Standards wie ISO 27001 für Informationssicherheit vertraut sind, werden ISO 42001 als natürliche Erweiterung ihrer Sicherheitslage empfinden. Die Best Practices für die Integration von KI-Rahmenwerken in bestehende Sicherheitsmaßnahmen beginnen mit einem ganzheitlichen Ansatz. Dazu gehört die Zuordnung von KI-Systemen zu aktuellen Sicherheitskontrollen, die Identifizierung von Lücken und die Implementierung KI-spezifischer Schutzmaßnahmen, wo nötig. 

In die Zukunft schauen 

Durch die Integration robuster Informationssicherheits- und KI-Sicherheitsprozesse, wie sie in ISO 27001 und ISO 42001 beschrieben sind, können Unternehmen regulatorische Änderungen effizient bewältigen, ihre Widerstandsfähigkeit verbessern und ihren Wettbewerbsvorteil aufrechterhalten. Dieser ganzheitliche Ansatz stellt sicher, dass Ihr Unternehmen konform und gut auf zukünftige Herausforderungen im Bereich der Cybersicherheit vorbereitet ist.