De Britse wet op cyberbeveiliging en veerkracht heeft als doel de regels voor de technologiesector aan te scherpen

Het VK heeft zijn digitale vangnet uitgebreid met de formele introductie van de Cyber Security and Resilience Bill in het parlement.

Het voorstel komt op een moment dat aanvallen op bedrijfsnetwerken, openbare diensten en kritieke infrastructuur blijven toenemen, waardoor de overheid wordt aangespoord om de reikwijdte van regelgeving uit te breiden.

Het wetsvoorstel richt zich op het versterken van de bescherming bij een breder scala aan technologiedienstverleners, waarbij hiaten worden dicht die zichtbaarder zijn geworden nu organisaties afhankelijk zijn van externe IT-diensten.

Het beschrijft ook nieuwe bevoegdheden, rapportageverplichtingen en preventieve maatregelen die bedoeld zijn om schade door nationale veiligheidsdreigingen en opkomende risico's in verband met kunstmatige intelligentie te beperken, vooral nu meer sectoren geavanceerde digitale tools integreren.

Bredere beveiligingstaken

Het wetsvoorstel zou bestaande regels voor Netwerk- en Informatiesystemen uitbreiden naar meer technologiebedrijven.

IT-managementbedrijven, technische ondersteuningsaanbieders en cybersecuritydiensten zouden onder dezelfde eisen vallen die al aan essentiële dienstverleners worden opgelegd.

De wetgeving stelt dat boetes voor niet-naleving gekoppeld kunnen worden aan de jaarlijkse omloop, waardoor bedrijven sterkere prikkels krijgen om aan regelgeving te voldoen.

Het doel is ervoor te zorgen dat leveranciers die belangrijke digitale systemen onderhouden voldoen aan een uniforme beveiligingsbasislijn, waardoor zwakke schakels binnen toeleveringsketens worden verminderd en de algemene veerkracht van onderling verbonden netwerken wordt verbeterd.

Nieuwe regeringsbevoegdheden

De wetgeving stelt voor om de technologiesecretaris de bevoegdheid te geven om toezichthouders en organisaties te instrueren preventief op te treden wanneer dreigingen als nationale veiligheidsrisico's worden beschouwd.

Deze richtlijnen zouden gelden voor incidenten met kritieke infrastructuur en cyberactiviteit met hoge impact.

De maatregel weerspiegelt groeiende zorgen over staatsgebonden operaties die zich richten op westerse netwerken.

Overheidsfunctionarissen zeggen dat het wetsvoorstel is ontworpen om het VK dichter bij de normen van de Europese Unie te brengen en de veerkracht te versterken tegen actoren die geassocieerd zijn met China, Iran en Noord-Korea, die allemaal in verband zijn gebracht met ontwrichtende activiteiten.

Financiële en operationele risico's

Onderzoek in opdracht van het Department for Science, Innovation and Technology schat de gemiddelde kosten van een ernstige cyberaanval in het VK op £190.000 per incident, wat neerkomt op ongeveer £14,7 miljard per jaar.

Deze cijfers benadrukken de omvang van de disruptie waarmee bedrijven te maken hebben, doordat aanvallers kwetsbaarheden in netwerken en digitale diensten uitbuiten.

De uitgebreide regels zijn bedoeld om rapportageprocessen en reactietijden te verbeteren, zodat organisaties verliezen kunnen beperken en sneller kunnen herstellen na datalekken, terwijl ze ook meer transparantie in de getroffen sectoren stimuleren.

Misbruik van kunstmatige intelligentie bestrijden

Het wetsvoorstel behandelt ook opkomende risico's die verband houden met AI. Het bevat bepalingen om het creëren van seksueel misbruikmateriaal van kinderen via kunstmatige intelligentie te voorkomen.

Om dit te bereiken, zou de wetgeving vertrouwde organisaties zoals AI-ontwikkelaars en goede doelen toestaan gecontroleerde tests uit te voeren op AI-modellen.

Het doel is om kwetsbaarheden te identificeren en te verhelpen voordat schadelijke inhoud kan worden geproduceerd, waardoor er een beschermingslaag ontstaat naarmate AI-tools geavanceerder en veelgebruikte worden in bedrijven, scholen en openbare diensten.