Die britische Regierung stärkt ihre Gesetzgebung zur Cybersicherheit mit der Cyber Security and Resilience Bill (CSRB), einer Aktualisierung der Network and Information Systems Regulations von 2018. Nach dem Vorbild der NIS2-Richtlinie der EU werden mit dem neuen Gesetzentwurf die Verpflichtungen in Bezug auf Cyberrisiken im gesamten digitalen Ökosystem des Vereinigten Königreichs erheblich ausgeweitet und Lücken geschlossen, die durch die jüngsten öffentlichkeitswirksamen Sicherheitsverletzungen entstanden sind.

Obrela verfügt über jahrzehntelange Erfahrung in der Einhaltung von Vorschriften und über die Leistungsfähigkeit unserer Managed Risk and Controls (MRC), um Ihnen den Weg zur CSRB-Reife zu erleichtern und Sie langfristig gegen neue Bedrohungen zu wappnen.

Hintergrund zum CSRB

In der Königsrede vom Juli 2024 kündigte die britische Regierung die Absicht an, das CSRB einzuführen, da die Cyberbedrohungen die aktuelle Gesetzgebung überholt haben. Dieser weiterentwickelte Rahmen spiegelt die NIS2 der EU und die Lehren aus den Überprüfungen nach der Einführung in Großbritannien wider.

Am 1. April 2025 veröffentlichte das Ministerium für Wissenschaft, Innovation und Technologie (DSIT) seine ausführliche Grundsatzerklärung, in der die strengeren Sicherheits- und Meldeanforderungen, die Bestimmungen zur Kostendeckung und die erweiterten Durchsetzungsbefugnisse dargelegt werden.

Die formale Einführung des Gesetzentwurfs im Parlament wird für Ende 2025 erwartet, mit gestaffelten Fristen für die Umsetzung. Eine frühzeitige Vorbereitung wird entscheidend sein, um Störungen zu vermeiden.

Wer ist betroffen und was ist neu?

Das CSRB weitet seine Reichweite auf Online-Marktplätze, Suchmaschinen, Cloud-Plattformen und Vorlieferanten aus. Zum ersten Mal werden Managed Service Provider (MSPs) mit privilegiertem Zugang zu Kundensystemen reguliert und Rechenzentren, die bestimmte Schwellenwerte überschreiten, müssen die Ausfallsicherheit ihrer Infrastruktur nachweisen.

Um die Sichtbarkeit von Bedrohungen zu verbessern, schreibt der Gesetzentwurf eine zweistufige Meldung von Vorfällen vor:

• Eine vorläufige Meldung an das Nationale Zentrum für Cybersicherheit (NCSC) innerhalb von 24 Stunden
• Einen vollständigen Bericht über den Vorfall innerhalb von 72 Stunden mit Angaben zu Umfang, Auswirkungen und Abhilfemaßnahmen

Dieser Berichtsrahmen entspricht den NIS2-Standards und unterstützt koordinierte sektorübergreifende Maßnahmen.

Außerdem wird es öffentlichen Einrichtungen und Betreibern kritischer Infrastrukturen untersagt, Zahlungen für Ransomware zu leisten. Damit wird ein Weg für finanzielle Anreize für Angriffe abgeschnitten und eine durchsetzungsfähigere nationale Haltung signalisiert.

Die Kontrolle der Lieferkette ist ebenfalls ein wichtiges Thema des neuen Gesetzentwurfs. Die Regulierungsbehörden werden die Befugnis haben, kritische Drittlieferanten zu identifizieren und Risikobewertungen und Audits in der gesamten Beschaffungskette vorzuschreiben. Das bedeutet, dass das CSRB eine der am meisten ausgenutzten Schwachstellen der Branche in Angriff nimmt.

Wichtig ist, dass mit dem neuen Gesetzentwurf das Cyber Assessment Framework (CAF) der NCSC von einem freiwilligen Leitfaden zu durchsetzbaren Standards für die betroffenen Organisationen wird. Diese Organisationen müssen nachweisen, dass sie über eine solide Unternehmensführung, technische Kontrollen und regelmäßige Audits verfügen. Dies wird einen kulturellen Wandel in der Art und Weise unterstützen, wie britische Unternehmen an das Management von Cyberrisiken herangehen.

Wie Obrela die Einhaltung des CSRB unterstützt

Um sicherzustellen, dass Sie für das CSRB bereit sind, müssen Sie mehr als nur ein paar Kästchen abhaken. Es braucht eine maßgeschneiderte, durchgängige Strategie. Bei Obrela beginnen wir mit einer strategischen Beratung, die die gesetzlichen Anforderungen in umsetzbare Schritte übersetzt, die speziell auf Ihr Unternehmen zugeschnitten sind. Anschließend legen wir fest, wie diese in die bestehenden Governance-Strukturen eingebettet werden können, damit die Cybersicherheit zum Kernstück Ihrer Geschäftsabläufe wird und nicht zu einer isolierten Funktion.

Unsere einzigartige Kombination aus MRC-Plattform und Beratungsdienstleistungen ist der leistungsstarke Motor hinter dieser Transformation. Sie automatisiert Kontrollbewertungen, verfolgt Abhilfemaßnahmen und stellt aufsichtsfähige Nachweise zusammen. Dashboards in Echtzeit bieten Ihnen einen Überblick über alle technischen Anforderungen und die Berichterstattung. So werden Ihre Teams sowohl durch die 24-Stunden-Warnungen als auch durch die 72-Stunden-Arbeitsabläufe bei Vorfällen geleitet.

Unser Supply-Chain-Modul prüft auch Lieferanten ohne manuellen Aufwand und identifiziert und bewertet kritische Lieferanten in großem Umfang.

Gleichzeitig arbeiten unsere Cybersecurity-Berater mit dem Schlüsselpersonal und dem Cybersecurity-Büro zusammen, um die notwendigen Cybersecurity-Prozesse zu erleichtern und die erforderlichen Informationen zu sammeln. Sie beraten auch bei der effektiven Umsetzung der notwendigen Cybersecurity-Kontrollen.

Von der Lückenanalyse über die Entwicklung von Richtlinien bis hin zu unabhängigen Audits – Obrela unterstützt Sie über den gesamten Lebenszyklus hinweg und hilft Ihnen, Ihre Risiken zu reduzieren, die Einhaltung von Vorschriften zu beschleunigen und sich auf Ihr Geschäft und die Erreichung Ihrer Ziele zu konzentrieren.

Schritte zur CSRB-Bereitschaft

Unser Ansatz beginnt mit einer Lücken- und Reifegradanalyse, um die aktuellen Lücken und den Reifegrad der vorhandenen Kontrollen zu bewerten. Durch die Integration von MRC in Ihre Cybersicherheitsprozesse automatisieren wir die Sammlung von Beweisen und erstellen prüfungsreife Berichte, so dass Sie nicht mehr auf manuelle Tabellenkalkulationen angewiesen sind.

Mit Obrela wird die Überwachung der Lieferkette nahtlos. Wir erfassen Ihre Lieferanten, legen die Anforderungen fest und sammeln sofort Bescheinigungen. Im Falle eines Vorfalls führen Sie vorkonfigurierte Vorlagen durch die Benachrichtigung und Berichterstattung und stellen sicher, dass Sie sich an die gesetzlichen Vorgaben halten.

MRC bietet einen umfassenden Ansatz für das Cybersicherheitsmanagement und nutzt die Swordfish-Plattform, um ein Situationsbewusstsein zu schaffen und die betrieblichen, risikobezogenen und datenschutzrechtlichen Aktivitäten auf Kundenseite zu koordinieren. Mit Swordfish ermöglichen die Dienste von MRC Unternehmen die Vereinheitlichung und Verwaltung aller wichtigen Komponenten des Sicherheitsmanagements im Unternehmen und bieten eine einheitliche Sicht auf ihre Sicherheitslage durch eine einzige Sichtweise. Dokumentieren Sie Ihr Risiko, verfolgen Sie Ihre Kontrollen, berichten Sie über Ihre Compliance und Ihre Gefährdung mit Swordfish MRC.

Dieser Ansatz vereinfacht die Sicherheitsoperationen und ermöglicht es Organisationen, sich auf andere kritische Bereiche ihres Geschäfts zu konzentrieren. Durch die Zusammenarbeit mit MRC können die Kunden von der fortschrittlichen Technologie und dem Fachwissen profitieren und ein höheres Maß an Transparenz, Bereitschaft und Widerstandsfähigkeit gegen die sich ständig weiterentwickelnden Cyber-Bedrohungen erreichen.

Nehmen Sie noch heute Kontakt mit Obrela auf und erfahren Sie, wie MRC Services die Compliance-Verpflichtungen in ein stabiles, wachstumsfähiges Rahmenwerk verwandelt.