Il Regno Unito imporrà leggi informatiche più severe dopo l'ondata di attacchi ad alto impatto

Un'ondata di attacchi informatici ad alto impatto che prendono di mira le infrastrutture critiche della Gran Bretagna ha spinto il governo a introdurre una revisione legislativa attesa da tempo.

Il disegno di legge sulla sicurezza informatica e la resilienza, che sarà presentato mercoledì, mira a imporre norme più severe alle aziende che forniscono servizi essenziali, compresi quelli che supportano il SSN e le reti energetiche.

Mentre le ricadute finanziarie e operative dei recenti attacchi continuano ad aumentare, il governo sta modificando la sua strategia per concentrarsi non solo sulle istituzioni pubbliche, ma anche sulle aziende private all'interno delle loro catene di approvvigionamento.

La nuova legge colma le lacune nelle difese digitali

Il disegno di legge sulla sicurezza informatica e la resilienza si applicherà a quasi 1.000 aziende del settore privato i cui servizi sono strettamente integrati nel funzionamento dell'infrastruttura nazionale.

Per la prima volta, le aziende che forniscono supporto digitale o operativo a entità come l'NHS saranno legalmente obbligate ad aderire ai nuovi requisiti di resilienza.

Questa espansione riflette un cambiamento strategico, riconoscendo che anche le istituzioni più fortificate possono essere indebolite dalle vulnerabilità dei loro fornitori.

Questo approccio fa seguito alla crescente evidenza che gli aggressori hanno sempre più sfruttato questi punti di ingresso secondari.

Una volta che il disegno di legge passerà in Parlamento, le aziende che non rispetteranno gli standard di nuova definizione dovranno affrontare sanzioni legali, anche se le sanzioni specifiche non sono ancora state dettagliate.

Perdite economiche e aumento del volume degli attacchi

Dati recenti mostrano l'entità della minaccia informatica all'economia del Regno Unito. Una ricerca pubblicata mercoledì dal governo colloca il costo annuale di attacchi informatici significativi a 14,7 miliardi di sterline, pari allo 0,5% del PIL della nazione.

Questi dati sottolineano l'urgenza di implementare protezioni sistemiche, soprattutto laddove i sistemi interdipendenti tra i settori pubblico e privato creano punti di fallimento più ampi.

Il National Cyber Security Centre ha segnalato 204 attacchi informatici significativi a livello nazionale nei 12 mesi precedenti all'agosto 2025. Ciò ha segnato un forte aumento rispetto all'anno precedente.

L'agenzia ha avvertito che il panorama delle minacce si sta evolvendo rapidamente, con gli aggressori che impiegano tattiche più sofisticate e mirano a obiettivi in cui le interruzioni operative possono causare danni immediati e a cascata.

Sanità e industria sono i più colpiti

Alcuni degli incidenti più dannosi si sono verificati nei settori sanitario e automobilistico. Nel 2024, un attacco informatico a un appaltatore del NHS ha causato migliaia di cancellazioni di appuntamenti ed è stato associato alla morte di almeno un paziente.

Questo incidente ha evidenziato le conseguenze nel mondo reale delle violazioni della sicurezza nei servizi critici.

Più recentemente, nell'agosto 2025, Jaguar Land Rover ha subito un grave attacco ransomware che ha interrotto la produzione nei suoi stabilimenti nel Regno Unito per oltre un mese. L'interruzione è costata all'economia circa 1,9 miliardi di sterline.

L'incidente ha dimostrato che anche le aziende con solidi sistemi interni possono essere compromesse quando i punti di accesso di terze parti non sono adeguatamente protetti.

Anche i rivenditori sono stati colpiti. Marks and Spencer Group Plc è stata tra le aziende prese di mira durante l'estate.

Sebbene i dettagli di ogni violazione differiscano, lo schema ricorrente è chiaro: gli aggressori stanno sfruttando l'ecosistema digitale esteso che circonda le istituzioni chiave.

Una strategia di sicurezza nazionale ricalibrata

L'introduzione del Cyber Security and Resilience Bill rappresenta una ricalibrazione del più ampio approccio alla sicurezza nazionale del Regno Unito.

La legislazione ha impiegato più di un anno per raggiungere questa fase, ma la sua presentazione riflette il riconoscimento del governo che le attuali protezioni sono insufficienti data la portata e la complessità delle minacce moderne.

Il segretario alla tecnologia Liz Kendall ha descritto il disegno di legge come un messaggio agli avversari che il Regno Unito non è un bersaglio facile.

La legge mira a colmare le lacune normative esistenti e ad estendere la responsabilità alle imprese le cui operazioni potrebbero non essere direttamente rivolte al pubblico, ma sono comunque parte integrante della resilienza nazionale.

Sebbene il percorso del disegno di legge attraverso il Parlamento sia ancora da percorrere, la sua pubblicazione segna un cambiamento nel modo in cui l'infrastruttura digitale viene gestita a livello nazionale.

Non più limitata alle istituzioni principali, la strategia di sicurezza informatica del Regno Unito ora incorpora le reti estese che consentono a tali sistemi di funzionare.