Storbritannien inför strängare cyberlagar efter en ökning av attacker med stor genomslagskraft

En ökning av cyberattacker med stor effekt mot Storbritanniens kritiska infrastruktur har fått regeringen att införa en efterlängtad översyn av lagstiftningen.

Lagförslaget om cybersäkerhet och motståndskraft, som ska läggas fram på onsdag, syftar till att införa strängare regler för företag som tillhandahåller viktiga tjänster, inklusive de som stöder NHS och energinätverk.

I takt med att de finansiella och operativa konsekvenserna av de senaste attackerna fortsätter att öka, ändrar regeringen sin strategi till att inte bara fokusera på offentliga institutioner utan även på de privata företagen i sina leveranskedjor.

Ny lag riktar in sig på luckor i det digitala försvaret

Lagförslaget om cybersäkerhet och motståndskraft kommer att gälla för nästan 1 000 företag inom den privata sektorn vars tjänster är tätt integrerade i den nationella infrastrukturens funktion.

För första gången kommer företag som tillhandahåller digitalt eller operativt stöd till enheter som NHS att vara juridiskt bundna att följa nya krav på motståndskraft.

Denna expansion återspeglar ett strategiskt skifte och erkänner att även de mest befästa institutionerna kan undermineras av sårbarheter hos sina leverantörer.

Den här metoden följer på växande bevis för att angripare i allt högre grad har utnyttjat dessa sekundära ingångspunkter.

När lagförslaget väl har gått igenom parlamentet kommer företag som inte följer de nya standarderna att drabbas av rättsliga påföljder, även om specifika sanktioner ännu inte har specificerats.

Ekonomiska förluster och ökande attackvolym

De senaste uppgifterna visar omfattningen av cyberhotet mot den brittiska ekonomin. Forskning som publicerades av regeringen på onsdagen placerar den årliga kostnaden för betydande cyberattacker till 14,7 miljarder pund, vilket motsvarar 0,5% av landets BNP.

Dessa siffror understryker hur brådskande det är att införa systemskydd, särskilt när system som är beroende av varandra mellan den offentliga och privata sektorn skapar bredare felpunkter.

Det nationella cybersäkerhetscentret rapporterade 204 nationellt betydande cyberattacker under de 12 månader som ledde fram till augusti 2025. Detta innebar en kraftig ökning jämfört med föregående år.

Myndigheten har varnat för att hotbilden utvecklas snabbt, med angripare som använder mer sofistikerad taktik och riktar in sig på mål där operativa störningar kan orsaka omedelbara och kaskadskador.

Hälso- och sjukvården och industrin påverkas mest

Några av de mest skadliga incidenterna har inträffat inom hälso- och sjukvårds- och fordonssektorn. År 2024 orsakade en cyberattack mot en NHS-entreprenör tusentals avbokningar av möten och förknippades med minst en patients död.

Incidenten belyste de verkliga konsekvenserna av säkerhetsintrång i kritiska tjänster.

Mer nyligen, i augusti 2025, drabbades Jaguar Land Rover av en allvarlig ransomware-attack som stoppade produktionen i sina brittiska fabriker i över en månad. Störningarna kostade ekonomin uppskattningsvis 1,9 miljarder pund.

Incidenten visade att även företag med robusta interna system kan äventyras när tredje parts åtkomstpunkter lämnas otillräckligt skyddade.

Även detaljhandeln har drabbats. Marks and Spencer Group Plc var ett av flera företag som utsattes för attacker under sommaren.

Även om detaljerna för varje intrång skiljer sig åt är det återkommande mönstret tydligt: angripare utnyttjar det utökade digitala ekosystemet som omger viktiga institutioner.

En omkalibrerad nationell säkerhetsstrategi

Införandet av Cyber Security and Resilience Bill representerar en omkalibrering av Storbritanniens bredare nationella säkerhetsstrategi.

Det har tagit mer än ett år för lagstiftningen att nå detta stadium, men dess avslöjande återspeglar regeringens erkännande av att det nuvarande skyddet är otillräckligt med tanke på omfattningen och komplexiteten av moderna hot.

Teknikminister Liz Kendall beskrev lagförslaget som ett budskap till motståndare om att Storbritannien inte är ett lätt mål.

Lagen syftar till att täppa till befintliga luckor i lagstiftningen och utvidga ansvarsskyldigheten till företag vars verksamhet kanske inte är direkt utåtriktad men som ändå är en integrerad del av den nationella motståndskraften.

Även om lagförslagets väg genom parlamentet fortfarande inte har navigerats, signalerar dess offentliggörande ett skifte i hur digital infrastruktur hanteras på nationell nivå.

Storbritanniens strategi för cybersäkerhet är inte längre begränsad till kärninstitutioner, utan omfattar nu de utökade nätverk som gör det möjligt för dessa system att fungera.