Die Entscheidung der britischen Regierung, sich selbst vom Geltungsbereich des Cyber-Gesetzes auszunehmen, untergräbt das Vertrauen

• Der britische Gesetzentwurf „Cyber Security and Resilience (CSR)“ bezieht kritische nationale Infrastruktur und Anbieter verwalteter Dienste in den Regulierungsrahmen ein, schließt die Zentral- und Kommunalregierung jedoch aus
• Stattdessen erklärte die Regierung, sie werde über den „Government Cyber Action Plan“ dieselben Sicherheitsstandards freiwillig anwenden, allerdings ohne rechtliche Verpflichtung
• Mehrere Abgeordnete und Experten kritisieren, dass der öffentliche Sektor trotz seiner Rolle als wichtiges Angriffsziel nicht unter das Gesetz fällt, und weisen darauf hin, dass freiwillige Standards ohne rechtliche Bindung mangelndes Vertrauen erzeugen
• Laut einem Bericht des National Audit Office (NAO) sind die Sicherheitsmängel und Verzögerungen bei Verbesserungen in Regierungssystemen gravierend, was Zweifel daran aufkommen lässt, dass der aktuelle Plan ausreicht
• Die Entscheidung, den öffentlichen Sektor auszunehmen, wirft Fragen zur Entschlossenheit der Regierung in der Cybersicherheit auf und erhöht den Bedarf an künftigen gesetzlichen Nachbesserungen

Umfang des CSR-Gesetzentwurfs und die Selbstbefreiung der Regierung

• Der CSR-Gesetzentwurf soll das britische Cybersicherheitsrahmenwerk modernisieren und die NIS-Regelungen von 2018 ersetzen
  • Er umfasst Anbieter verwalteter Dienste und Rechenzentren, schließt jedoch Zentral- und Kommunalregierung aus
  • Anders als die NIS2-Richtlinie der EU nimmt er öffentliche Einrichtungen aus dem Regulierungsbereich heraus
• Sir Oliver Dowden kritisierte im Unterhaus, dass die Regierung sich selbst vom Geltungsbereich des Gesetzes ausgenommen hat
  • Er argumentierte, dass für den öffentlichen Sektor strengere Anforderungen gelten sollten
  • Er betonte, dass es einer rechtlichen Pflicht bedürfe, damit Minister Cybersicherheit zur Priorität machen

Reaktion der Regierung und der „Cyber Action Plan“

• Minister Ian Murray antwortete, er werde Dowdens Vorschlag aufgreifen, und verwies auf den Government Cyber Action Plan
  • Dieser Plan wendet auf Regierungsressorts Sicherheitsstandards auf dem gleichen Niveau wie im CSR-Gesetzentwurf an, ist jedoch rechtlich nicht bindend
  • Kritiker sehen darin eine Maßnahme zur Abwehr von Kritik und bezweifeln die tatsächliche Wirkung auf die Stärkung der Sicherheit
• Neil Brown (Decoded.legal) wies darauf hin: „Wenn die Regierung ohnehin Standards auf Gesetzesniveau einhalten will, gibt es keinen Grund, die Anwendung des Gesetzes zu vermeiden.“
  • Er bewertete den Ausschluss aus dem Gesetzentwurf als eine Entscheidung, die kein Vertrauen schafft

Sicherheitsrealität im öffentlichen Sektor und Kritik

• Laut Berichten des NCSC richteten sich zwischen September 2020 und August 2021 40 % der bearbeiteten Angriffe gegen den öffentlichen Sektor
  • Es wird erwartet, dass dieser Anteil künftig weiter steigt
• Der Bericht 2025 des National Audit Office (NAO) prüfte 58 von 72 Kernsystemen der Regierung und stellte zahlreiche Sicherheitsmängel sowie langsame Fortschritte bei deren Behebung fest
  • Das zeigt, dass der öffentliche Sektor weiterhin anfällig für regelmäßige Cyberangriffe ist
• Vor diesem Hintergrund wird die Entscheidung der Regierung, den öffentlichen Sektor aus dem CSR-Gesetzentwurf auszunehmen, als Mangel an politischer Konsistenz kritisiert

Künftige Gesetzgebungsrichtung und Debatte

• Der Labour-Abgeordnete Matt Western erklärte, der CSR-Gesetzentwurf sei keine vollständige Lösung; weitere maßgeschneiderte Gesetzgebung werde folgen
  • Er erwähnte die Möglichkeit, dass die Regierung ein eigenes Cybersicherheitsgesetz speziell für den öffentlichen Sektor vorbereitet
• Neil Brown bewertete den Ansatz, „häufig kleine und klare Gesetze zu verabschieden“, als sinnvoller
  • Er erläuterte, dass eine nach Bereichen getrennte Gesetzgebung wirksam sein könne, wie beim Telecommunications (Security) Act 2021 und beim Product Security and Telecommunications Infrastructure Act 2022

Vertrauen und politische Folgen

• Jedes Mal, wenn öffentliche Einrichtungen, Gemeinderäte oder der NHS angegriffen werden, wird die Entscheidung der Regierung, sich aus dem Gesetzentwurf auszunehmen, zum Angriffspunkt der Opposition
  • Es wurde auch darauf hingewiesen, dass Empfehlungen zur Verbesserung der Sicherheit, die noch unter der konservativen Regierung (2022) vorgeschlagen wurden, mehr als zwei Jahre lang nicht umgesetzt wurden
• Solange die Regierung an ihrer Selbstbefreiung festhält, dürfte das mangelnde Vertrauen in ihren Willen zur Verbesserung der Cybersicherheit bestehen bleiben
  • Wenn der CSR-Gesetzentwurf zum Kern des nationalen Sicherheitsrahmens werden soll, wird die Frage der Einbeziehung des öffentlichen Sektors voraussichtlich ein zentrales Thema der weiteren Debatte bleiben