Neu
Demo anfragen
  • /
  • Blog
  • /
  • Geschäft
  • /
  • Das britische Gesetz zur Cybersicherheit Sicherheit und Resilienz erklärt

Das britische Gesetz zur Cybersicherheit Sicherheit und Resilienz erklärt

6 Minuten
Business
Sophia Barnett FotoSB
Sophia Barnett

Technical Marketing Writer

Das britische Cyberrecht steht vor einer tiefgreifenden Veränderung. Der Cyber Sicherheit and Resilience Bill – im November 2025 ins Parlament eingebracht – ist die umfassendste Überarbeitung des britischen Regulierungsrahmens für Cybersicherheit seit fast einem Jahrzehnt. Für eine breite Palette von Organisationen wird sich dadurch ändern, was rechtlich von ihnen verlangt wird, wer sie beaufsichtigt und was passiert, wenn sie die Anforderungen nicht erfüllen. 

Egal, ob Sie bereits vom Gesetzentwurf gehört haben und mehr erfahren möchten oder aktiv prüfen, wie er auf Ihr Unternehmen anzuwenden ist: Dieser Blogbeitrag beleuchtet, was der CSR Bill ist, warum er eingeführt wird und wen er betrifft. 

Was ist der Cyber Sicherheit and Resilience Bill? 

Der Cyber Sicherheit and Resilience Bill – häufig als CSR Bill bezeichnet – ist ein britisches Primärgesetz, das die Network and Information Systems (NIS) Regulations 2018 modernisiert und erweitert. Während der ursprüngliche NIS-Rahmen eine Mindestbasis für Cybersicherheit in essenziellen Diensten festlegte, hebt der CSR Bill die Anforderungen deutlich an und weitet sie auf einen größeren Kreis von Organisationen aus. 

Kurz gesagt: Der CSR Bill ist die Antwort der britischen Regierung auf eine Bedrohungslage, die sich seit 2018 dramatisch verändert hat. Öffentlichkeitswirksame Ransomware-Angriffe, große Ausfälle von Rechenzentren und Supply-Chain-Kompromittierungen mit Fokus auf Managed Service Provider haben Lücken in den bestehenden Rahmenwerken offengelegt. Der Gesetzentwurf soll diese schließen. 

Der britische Ansatz unterscheidet sich von der EU-NIS2-Richtlinie, die detaillierte technische Anforderungen direkt in der Gesetzgebung verankert. Der CSR Bill schafft stattdessen einen flexiblen Rahmen, wobei ein Großteil der Detailtiefe – Sektorschwellenwerte, Meldekriterien, Verhaltenskodizes – über Sekundärgesetzgebung und regulatorische Leitlinien nachgelagert wird. Dadurch kann die Regierung Anforderungen anpassen, wenn sich Bedrohungen weiterentwickeln, ohne jedes Mal neue Primärgesetzgebung verabschieden zu müssen. 

Warum hat das Vereinigte Königreich diese Gesetzgebung gerade jetzt eingeführt? 

Die NIS Regulations 2018 waren damals ein wichtiger Fortschritt, wurden jedoch für eine andere Ära geschrieben. Seitdem hat sich das Bedrohungsumfeld deutlich verschärft, und mehrere strukturelle Schwächen des bestehenden Rahmens sind offensichtlich geworden. 

Kritische Dienste sind heute stark von Managed Service Providern und digitaler Infrastruktur Dritter abhängig, die nie einer direkten Regulierung unterstellt wurden. Die Definition dessen, was als meldepflichtiger Vorfall gilt, war zu eng gefasst – mit der Folge, dass schwerwiegende Angriffe häufig überhaupt nicht an Aufsichtsbehörden gemeldet wurden. Und die bestehende Sanktionsstruktur hat sich für Regulierungsbehörden als schwer wirksam anwendbar erwiesen: zu komplex, um sie konsistent durchzusetzen, und mit Höchstbußgeldern, die größere Organisationen nicht wirksam abschreckten. 

Der CSR Bill adressiert jedes dieser Probleme direkt. Er trägt außerdem der Lehre aus DSGVO und NIS2 Rechnung: dass systemische Cyberresilienz nicht erreicht werden kann, wenn nur die sichtbarsten Organisationen reguliert werden. Lieferketten, Dienstleister und digitale Infrastruktur müssen alle Teil des Rahmens sein. 

Wen betrifft der CSR Bill? 

Der Gesetzentwurf behält alle Sektoren bei, die bereits unter NIS 2018 fallen – Energie, Verkehr, Gesundheit, Trinkwasser und relevante Anbieter digitaler Dienste – erweitert jedoch den Kreis der regulierten Akteure erheblich. Zu den wichtigsten neuen Kategorien zählen Managed Service Provider (MSPs), Rechenzentren oberhalb bestimmter Kapazitätsschwellen sowie Organisationen, die wesentliche Lasten im Stromnetz steuern. 

Über diese definierten Kategorien hinaus erhalten Regulierungsbehörden die Befugnis, einzelne Lieferanten als „kritisch“ zu klassifizieren und sie direkt in den Geltungsbereich aufzunehmen – selbst wenn sie nicht sauber in bestehende Sektordefinitionen passen. Der Gesetzentwurf erteilt dem Secretary of State außerdem die Befugnis, den Kreis der regulierten Organisationen per Sekundärgesetzgebung weiter auszudehnen; damit kann sich der Geltungsbereich relativ schnell ändern. 

Die praktische Konsequenz: Organisationen, die derzeit nicht in den Geltungsbereich fallen, sollten nicht davon ausgehen, dass sie dauerhaft außerhalb des Rahmens bleiben. 

Sie könnten von den neuen britischen Anforderungen an Cyberresilienz betroffen sein, wenn einer der folgenden Punkte zutrifft: 

  • Sie sind in einem Sektor tätig, der von den ursprünglichen NIS Regulations abgedeckt ist – Energie, Verkehr, Gesundheit, Wasser oder digitale Dienste 
  • Sie erbringen Managed-IT-Services für andere Organisationen, betreiben ein Rechenzentrum oder steuern erhebliche elektrische Lasten 
  • Sie sind ein wichtiger Lieferant für einen der oben genannten Bereiche, auch wenn Sie selbst nicht eindeutig in einen regulierten Sektor fallen 

Was ändert der CSR Bill? 

Auf hoher Ebene führt der Gesetzentwurf drei wesentliche Veränderungen für Organisationen im Geltungsbereich ein. 

  • Schnellere und umfassendere Vorfallmeldungen. Die Fristen für die Meldung erheblicher Cybervorfälle werden deutlich verschärft, und die Definition dessen, was gemeldet werden muss, wird erweitert – einschließlich Ransomware und bestimmter Aktivitäten vor einem Angriff, die die aktuellen Regeln weitgehend nicht erfassen. 
  • Stärkere regulatorische Befugnisse. Regulierungsbehörden erhalten weitergehende Inspektions- und Informationsbeschaffungsrechte sowie die Möglichkeit, Kosten im Zusammenhang mit Durchsetzungsmaßnahmen zurückzufordern. 
  • Höhere und klarere Sanktionen. Die bestehende dreistufige Sanktionsstruktur wird durch ein einfacheres zweistufiges System ersetzt, mit Höchstbußgeldern, die am weltweiten Umsatz ausgerichtet sind – wodurch Nichtkonformität für Organisationen jeder Größe zu einem materiellen finanziellen Risiko wird. 

Was jede dieser Änderungen für Ihre Organisation bedeutet – und wie Sie die Anforderungen erfüllen – erfahren Sie in unserem vollständigen Leitfaden

Organisationen sollten jetzt mit den Vorbereitungen beginnen 

Der Gesetzentwurf hat noch keine Royal Assent erhalten, aber das ist kein Grund, abzuwarten. Regulatorische Reformen dieser Art lassen zwischen Inkrafttreten und aktiver Durchsetzung meist nur wenig Vorlauf. Organisationen, die ihre Governance, Incident Response und Resilienzfähigkeiten bereits jetzt ausrichten, sind deutlich besser aufgestellt als diejenigen, die auf ein endgültiges Datum warten. 

Für Organisationen, die bereits auf NIS2-Compliance hinarbeiten, ist die gute Nachricht: Ein großer Teil der Vorarbeit lässt sich übertragen. Die strategischen Prioritäten – Risikomanagement, Supply-Chain-Überwachung, Incident Response, Business Continuity – sind in beiden Rahmenwerken konsistent. Was bleibt, ist die Anpassung dieser Maßnahmen an die UK-spezifische Regulierungslandschaft. 

Für Organisationen, die diesen Anforderungen erstmals begegnen, bedeutet der stufenweise Ansatz des Gesetzentwurfs – bei dem detaillierte Anforderungen über Sekundärgesetzgebung und Verhaltenskodizes konkretisiert werden –, dass das Zeitfenster zur Vorbereitung offen ist. Die Richtung ist jedoch eindeutig. 

Bereit, tiefer einzusteigen? Unser vollständiger Leitfaden behandelt den CSR Bill im Detail – einschließlich wer in den Geltungsbereich fällt, was die neuen Anforderungen in der Praxis bedeuten und wie Sie die Cyberresilienz aufbauen, die Ihre Organisation benötigen wird.