Die Entscheidung der britischen Regierung, sich selbst vom Geltungsbereich des Cyber-Gesetzes auszunehmen, untergräbt das Vertrauen

 (theregister.com)
1 Punkte von GN⁺ 2026-01-12 | 1 Kommentare | Auf WhatsApp teilen
  • Der britische Gesetzentwurf „Cyber Security and Resilience (CSR)“ bezieht kritische nationale Infrastruktur und Anbieter verwalteter Dienste in den Regulierungsrahmen ein, schließt die Zentral- und Kommunalregierung jedoch aus
  • Stattdessen erklärte die Regierung, sie werde über den „Government Cyber Action Plan“ dieselben Sicherheitsstandards freiwillig anwenden, allerdings ohne rechtliche Verpflichtung
  • Mehrere Abgeordnete und Experten kritisieren, dass der öffentliche Sektor trotz seiner Rolle als wichtiges Angriffsziel nicht unter das Gesetz fällt, und weisen darauf hin, dass freiwillige Standards ohne rechtliche Bindung mangelndes Vertrauen erzeugen
  • Laut einem Bericht des National Audit Office (NAO) sind die Sicherheitsmängel und Verzögerungen bei Verbesserungen in Regierungssystemen gravierend, was Zweifel daran aufkommen lässt, dass der aktuelle Plan ausreicht
  • Die Entscheidung, den öffentlichen Sektor auszunehmen, wirft Fragen zur Entschlossenheit der Regierung in der Cybersicherheit auf und erhöht den Bedarf an künftigen gesetzlichen Nachbesserungen

Umfang des CSR-Gesetzentwurfs und die Selbstbefreiung der Regierung

  • Der CSR-Gesetzentwurf soll das britische Cybersicherheitsrahmenwerk modernisieren und die NIS-Regelungen von 2018 ersetzen
    • Er umfasst Anbieter verwalteter Dienste und Rechenzentren, schließt jedoch Zentral- und Kommunalregierung aus
    • Anders als die NIS2-Richtlinie der EU nimmt er öffentliche Einrichtungen aus dem Regulierungsbereich heraus
  • Sir Oliver Dowden kritisierte im Unterhaus, dass die Regierung sich selbst vom Geltungsbereich des Gesetzes ausgenommen hat
    • Er argumentierte, dass für den öffentlichen Sektor strengere Anforderungen gelten sollten
    • Er betonte, dass es einer rechtlichen Pflicht bedürfe, damit Minister Cybersicherheit zur Priorität machen

Reaktion der Regierung und der „Cyber Action Plan“

  • Minister Ian Murray antwortete, er werde Dowdens Vorschlag aufgreifen, und verwies auf den Government Cyber Action Plan
    • Dieser Plan wendet auf Regierungsressorts Sicherheitsstandards auf dem gleichen Niveau wie im CSR-Gesetzentwurf an, ist jedoch rechtlich nicht bindend
    • Kritiker sehen darin eine Maßnahme zur Abwehr von Kritik und bezweifeln die tatsächliche Wirkung auf die Stärkung der Sicherheit
  • Neil Brown (Decoded.legal) wies darauf hin: „Wenn die Regierung ohnehin Standards auf Gesetzesniveau einhalten will, gibt es keinen Grund, die Anwendung des Gesetzes zu vermeiden.“
    • Er bewertete den Ausschluss aus dem Gesetzentwurf als eine Entscheidung, die kein Vertrauen schafft

Sicherheitsrealität im öffentlichen Sektor und Kritik

  • Laut Berichten des NCSC richteten sich zwischen September 2020 und August 2021 40 % der bearbeiteten Angriffe gegen den öffentlichen Sektor
    • Es wird erwartet, dass dieser Anteil künftig weiter steigt
  • Der Bericht 2025 des National Audit Office (NAO) prüfte 58 von 72 Kernsystemen der Regierung und stellte zahlreiche Sicherheitsmängel sowie langsame Fortschritte bei deren Behebung fest
    • Das zeigt, dass der öffentliche Sektor weiterhin anfällig für regelmäßige Cyberangriffe ist
  • Vor diesem Hintergrund wird die Entscheidung der Regierung, den öffentlichen Sektor aus dem CSR-Gesetzentwurf auszunehmen, als Mangel an politischer Konsistenz kritisiert

Künftige Gesetzgebungsrichtung und Debatte

  • Der Labour-Abgeordnete Matt Western erklärte, der CSR-Gesetzentwurf sei keine vollständige Lösung; weitere maßgeschneiderte Gesetzgebung werde folgen
    • Er erwähnte die Möglichkeit, dass die Regierung ein eigenes Cybersicherheitsgesetz speziell für den öffentlichen Sektor vorbereitet
  • Neil Brown bewertete den Ansatz, „häufig kleine und klare Gesetze zu verabschieden“, als sinnvoller
    • Er erläuterte, dass eine nach Bereichen getrennte Gesetzgebung wirksam sein könne, wie beim Telecommunications (Security) Act 2021 und beim Product Security and Telecommunications Infrastructure Act 2022

Vertrauen und politische Folgen

  • Jedes Mal, wenn öffentliche Einrichtungen, Gemeinderäte oder der NHS angegriffen werden, wird die Entscheidung der Regierung, sich aus dem Gesetzentwurf auszunehmen, zum Angriffspunkt der Opposition
    • Es wurde auch darauf hingewiesen, dass Empfehlungen zur Verbesserung der Sicherheit, die noch unter der konservativen Regierung (2022) vorgeschlagen wurden, mehr als zwei Jahre lang nicht umgesetzt wurden
  • Solange die Regierung an ihrer Selbstbefreiung festhält, dürfte das mangelnde Vertrauen in ihren Willen zur Verbesserung der Cybersicherheit bestehen bleiben
    • Wenn der CSR-Gesetzentwurf zum Kern des nationalen Sicherheitsrahmens werden soll, wird die Frage der Einbeziehung des öffentlichen Sektors voraussichtlich ein zentrales Thema der weiteren Debatte bleiben

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-12
Hacker-News-Kommentare

  • Ich habe den Gesetzentwurf nur grob überflogen, aber er scheint mir zu zynisch ausgelegt worden zu sein.
    Im Kern geht es darum, kritische Zulieferer und Dienstanbieter zu benennen und deren Sicherheitsverpflichtungen festzulegen.
    Die Zentralregierung ist normalerweise nicht selbst Anbieter, sondern tritt als Kunde auf, der viele externe Lieferanten nutzt.
    Deshalb finde ich es nicht seltsam, dass die Regierung anfangs aus dem Geltungsbereich herausfällt. Ich halte es für sinnvoll, zuerst die direkten Zulieferer zu ordnen und danach Regeln für die gesamte Regierungsfunktion zu schaffen.

    • Nach deiner Logik würde die Regierung auch ohne eine ausdrücklich genannte Ausnahme ohnehin nicht unter das Gesetz fallen.
      Dass diesmal ausdrücklich eine Ausnahme aufgenommen wurde, kann man daher als Beleg dafür sehen, dass die Regierung ursprünglich sehr wohl in den Anwendungsbereich gefallen wäre.
    • Das Problem ist, dass genau dieser Ansatz einer der entscheidenden Mängel früherer Versuche war.
      Wäre dies der erste Anlauf, würde ich zustimmen, aber es ist bereits ein mehrfach gescheiterter Ansatz.
    • Ich halte schon die Annahme „Die Zentralregierung ist ein Kunde“ für falsch.
      Die Regierung arbeitet zwar mit zahlreichen Anbietern zusammen, tritt aber zugleich über nationale Cybersicherheitsbehörden oder IT-Supportstellen selbst als Dienstleister auf.
      Zum Beispiel bei SOC-Betrieb, Sicherheitsberatung oder Informationsaustausch übernimmt sie verschiedene Rollen, daher wirkt der Ausschluss der Regierung für mich nur wie eine Maßnahme zur Budgeteinsparung.

  • Ich denke, britische Regierungsbehörden könnten ihre Sicherheit ganz konkret verbessern, wenn sie Coordinated Vulnerability Disclosure schrittweise einführen würden.
    Das passt auch zur Aussage des Artikels, dass der UK-CSR-Gesetzentwurf ein erster Schritt hin zu maßgeschneiderter Sicherheitsgesetzgebung sei.
    Ich arbeite im Bereich Software Engineering für medizinische Informationen, daher liegt mir das Thema fachlich besonders nahe.
    Relevantes Material gibt es unter diesem GitHub-Link.

  • Es wirkt, als würden sich die Ingenieure, die den Wandel gestalten, zurücklehnen und die Haltung vertreten: „Tut, was wir sagen, nicht was wir tun.“

  • Das ist ähnlich wie in Texas und anderen Regionen, wo staatliche Behörden Bauvorschriften nicht einhalten müssen.
    Als ich auf einer Baustelle für ein Rechenzentrum eines Bundesstaats gearbeitet habe, habe ich solche Fälle ebenfalls gesehen — nach dem Motto: „Asbest? Was soll das sein?“

  • Für solche Ausnahmen gibt es durchaus Gründe.
    Zum Beispiel, damit man nicht Berichte bei sich selbst einreichen oder sensible Informationen offenlegen muss.
    Der richtige Ansatz wäre jedoch, einen grundlegenden gesetzlichen Rahmen zu schaffen und in den detaillierten Ausführungsbestimmungen festzuhalten: „Für Behörde XXX gilt NIS2 mit den folgenden Ausnahmen.“
    So lassen sich überzogene Ausnahmen vermeiden und verhindern, dass einzelne Behörden ihre Regeln nach Belieben selbst festlegen.
    In der Nuklear- und Rüstungsindustrie ist so ein Vorgehen üblich. Gleich zu Beginn pauschal weitreichende Ausnahmen zu erklären, ist der falsche Ansatz.

  • Ich verstehe nicht, warum Großbritannien bei Cybersicherheit oft so autoritär auftritt.
    Man sieht häufig Gesetze nach dem Muster: „Das sind Regeln für euch, nicht für uns.“

    • Es geht hier um den Cyber Security and Resilience Bill.
      Ziel ist es, die Sicherheit kritischer Werte zu stärken und die Pflicht zur Meldung von Sicherheitsvorfällen zu verschärfen, deshalb überrascht es mich, diese Maßnahmen als „autoritär“ zu bezeichnen.
      Mich würde interessieren, was genau daran so wirkt.
    • Die britischen Computergesetze sind zwar autoritär, unterscheiden sich aber nicht besonders stark von denen anderer westlicher Staaten.
    • Großbritannien braucht Vorschriften, die den EU-Regeln (NIS2) ähneln, um die gegenseitige Anerkennung mit der EU aufrechtzuerhalten und den Handel nicht zu behindern.
      Gleichzeitig will man aber nicht zugeben, dass man der EU folgt.
      Deshalb wird das Gesetz gerade so umgeschrieben, dass britische Ingenieurfirmen und Berater die Regulierungsdokumente verfassen und ein Compliance-Monopol behalten können.
    • Das ist kein Problem, das nur die Cybersicherheit betrifft. In anderen Bereichen zeigt sich dieselbe Haltung ebenfalls.

  • Als Brite betrachtet klingt die Aussage der Regierung, man habe „keine gesetzliche Verpflichtung, werde aber über den Cyber Action Plan gleichwertige Standards einhalten“, letztlich nur nach „Vertraut einfach dem PDF“.
    Ich finde, wir sollten jetzt schnell in ein Zeitalter der Nichtabstreitbarkeit (non-repudiation) übergehen.

  • (Antwort auf einen früheren Kommentar)
    Ich frage mich, ob hier jemand vergessen hat, wer den ersten Computer gebaut hat und wer das World Wide Web erfunden hat.