Iso-Britannia tiukentaa kyberlakeja vaikuttavien hyökkäysten lisääntymisen jälkeen

Britannian kriittiseen infrastruktuuriin kohdistuvien vaikuttavien kyberhyökkäysten lisääntyminen on saanut hallituksen toteuttamaan kauan odotetun lainsäädännön uudistuksen.

Keskiviikkona käsiteltäväksi jätettävän kyberturvallisuus- ja resilienssilakiesityksen tavoitteena on tiukentaa sääntelyä välttämättömiä palveluita tarjoaville yrityksille, mukaan lukien NHS:ää ja energiaverkkoja tukevat yritykset.

Viimeaikaisten hyökkäysten taloudellisten ja toiminnallisten seurausten kasvaessa hallitus muuttaa strategiaansa keskittyäkseen julkisten instituutioiden lisäksi myös niiden toimitusketjuihin kuuluviin yksityisiin yrityksiin.

Uusi laki puuttuu digitaalisen puolustuksen puutteisiin

Kyberturvallisuus- ja resilienssilakia sovelletaan lähes 1 000 yksityisen sektorin yritykseen, joiden palvelut on integroitu tiiviisti kansallisen infrastruktuurin toimintaan.

Ensimmäistä kertaa NHS:n kaltaisille tahoille digitaalista tai operatiivista tukea tarjoavat yritykset ovat oikeudellisesti velvoitettuja noudattamaan uusia häiriönsietokykyä koskevia vaatimuksia.

Tämä laajentuminen heijastaa strategista muutosta, jossa tunnustetaan, että jopa kaikkein vahvimmat instituutiot voivat heikentyä niiden toimittajien haavoittuvuuksien vuoksi.

Tämä lähestymistapa seuraa kasvavaa näyttöä siitä, että hyökkääjät ovat yhä enemmän hyödyntäneet näitä toissijaisia sisääntulopisteitä.

Kun lakiesitys menee läpi parlamentissa, yritykset, jotka eivät noudata uusia standardeja, saavat oikeudellisia rangaistuksia, vaikka tarkkoja seuraamuksia ei ole vielä tarkennettu.

Taloudelliset tappiot ja kasvava hyökkäysmäärä

Viimeaikaiset tiedot osoittavat Ison-Britannian talouteen kohdistuvan kyberuhan laajuuden. Hallituksen keskiviikkona julkaiseman tutkimuksen mukaan merkittävien kyberhyökkäysten vuotuiset kustannukset ovat 14,7 miljardia puntaa, mikä vastaa 0,5 prosenttia maan BKT:stä.

Nämä luvut korostavat systeemisten suojatoimien toteuttamisen kiireellisyyttä erityisesti silloin, kun julkisen ja yksityisen sektorin toisistaan riippuvaiset järjestelmät luovat laajempia epäonnistumiskohtia.

Kansallinen kyberturvallisuuskeskus raportoi 204 kansallisesti merkittävästä kyberhyökkäyksestä elokuuta 2025 edeltäneiden 12 kuukauden aikana. Tämä merkitsi jyrkkää kasvua edellisvuoteen verrattuna.

Virasto on varoittanut, että uhkaympäristö kehittyy nopeasti, ja hyökkääjät käyttävät kehittyneempiä taktiikoita ja tähtäävät kohteisiin, joissa toimintahäiriöt voivat aiheuttaa välittömiä ja peräkkäisiä vahinkoja.

Terveydenhuolto ja teollisuus kärsivät eniten

Jotkut vahingollisimmista tapauksista ovat tapahtuneet terveydenhuolto- ja autoalalla. Vuonna 2024 NHS:n urakoitsijaan kohdistunut kyberhyökkäys aiheutti tuhansia tapaamisten peruutuksia ja liittyi ainakin yhden potilaan kuolemaan.

Tämä tapaus korosti kriittisten palvelujen tietoturvaloukkausten todellisia seurauksia.

Äskettäin, elokuussa 2025, Jaguar Land Rover joutui vakavan kiristysohjelmahyökkäyksen kohteeksi, joka pysäytti tuotannon sen Ison-Britannian tehtailla yli kuukaudeksi. Häiriö maksoi taloudelle arviolta 1,9 miljardia puntaa.

Tapaus osoitti, että jopa yritykset, joilla on vankat sisäiset järjestelmät, voivat vaarantua, kun kolmannen osapuolen tukiasemat eivät ole riittävästi suojattuja.

Myös vähittäiskauppiaat ovat kärsineet. Marks and Spencer Group Oyj oli yksi kesän aikana kohteena olleista yrityksistä.

Vaikka kunkin tietomurron yksityiskohdat vaihtelevat, toistuva kuvio on selvä: hyökkääjät käyttävät hyväkseen keskeisiä instituutioita ympäröivää laajennettua digitaalista ekosysteemiä.

Uudelleen kalibroitu kansallinen turvallisuusstrategia

Kyberturvallisuutta ja -resilienssiä koskevan lakiesityksen käyttöönotto edustaa Yhdistyneen kuningaskunnan laajemman kansallisen turvallisuuden lähestymistavan uudelleenkalibrointia.

Lainsäädännön saavuttaminen tähän vaiheeseen on kestänyt yli vuoden, mutta sen julkistaminen heijastaa hallituksen tunnustamista, että nykyiset suojatoimet ovat riittämättömiä nykyaikaisten uhkien laajuuteen ja monimutkaisuuteen nähden.

Teknologiaministeri Liz Kendall kuvaili lakiesitystä viestiksi vastustajille, että Iso-Britannia ei ole helppo kohde.

Lain tavoitteena on korjata olemassa olevat sääntelyaukot ja laajentaa vastuuvelvollisuutta yrityksiin, joiden toiminta ei välttämättä ole suoraan julkista, mutta jotka ovat kuitenkin olennainen osa kansallista selviytymiskykyä.

Vaikka lakiesityksen polku parlamentin läpi on vielä navigoimatta, sen julkaiseminen merkitsee muutosta digitaalisen infrastruktuurin hallinnassa kansallisella tasolla.

Yhdistyneen kuningaskunnan kyberturvallisuusstrategia ei enää rajoitu ydininstituutioihin, vaan se sisältää nyt laajennetut verkot, jotka mahdollistavat näiden järjestelmien toiminnan.