Neu
Demo anfragen

So erfüllen Sie das britische Cyber-Sicherheit- und Resilienzgesetz

Compliance
Andrew Simmonds FotoAS
Andrew Simmonds

Content Writer

Andy French FotoAF
Andy French

Director of Product Marketing

Der Cyber Sicherheit and Resilience Bill ist eine bevorstehende britische Gesetzgebung, die verpflichtende Cybersicherheitsanforderungen auf einen breiteren Kreis von Organisationen ausweiten wird – einschließlich Managed Service Providern und Rechenzentren – und die Vorgaben für Sektoren verschärft, die bereits unter die NIS Regulations 2018 fallen.  

Um den Cyber Sicherheit and Resilience Bill zu erfüllen, sollten Organisationen Sicherheitskontrollen, Verfahren zur Meldung von Sicherheitsvorfällen und Wiederherstellungsfähigkeiten am NCSC Cyber Assessment Framework (CAF) ausrichten. Die Einhaltung dieses Frameworks entwickelt sich von einer freiwilligen hin zu einer stärker verpflichtenden Grundlage. Durch die frühzeitige Einführung des Frameworks können Organisationen sicherstellen, dass sie im Fall eines Cybervorfalls innerhalb der gesetzlich geforderten Zeitfenster erkennen, melden und wiederherstellen können.  

Dieser Leitfaden beschreibt die Schritte, um genau das zu erreichen. Weitere Informationen zur Gesetzgebung selbst finden Sie in unserem vollständigen Artikel darüber, was der Cyber Sicherheit and Resilience Bill ist und wie er Unternehmen beeinflusst. 

Wichtigste Erkenntnisse 

  • Der CSR Bill gilt für Organisationen, die essenzielle Dienste betreiben, sowie für eine neue Gruppe von Anbietern digitaler Infrastruktur – einschließlich Managed Service Providern und Rechenzentren –, von denen viele zuvor vollständig außerhalb des NIS-Rahmens lagen. 
  • Der Gesetzentwurf formuliert weitreichende Erwartungen an Governance, Risikomanagement und operative Resilienz. 
  • Schwerpunkte zur Erreichung der Compliance sollten umfassen: Sicherheitskontrollen gemäß NCSC CAF, Vorfallmeldungen innerhalb von 24 bzw. 72 Stunden, aktives Management von Lieferkettenrisiken sowie die Fähigkeit, Aufsichtsbehörden auf Anfrage Nachweise zum Risikomanagement vorzulegen. 
  • In der Praxis werden Aufsichtsbehörden mit hoher Wahrscheinlichkeit Backup- und Wiederherstellungsfähigkeiten genau prüfen. Backups, auf die ein Angreifer zugreifen, die er verändern oder löschen kann, bieten keine compliance-konforme Wiederherstellungsposition. 
  • Absolute Immutability bedeutet Nullzugriff auf destruktive Aktionen, sodass niemand – nicht einmal der am höchsten privilegierte Admin oder ein vollständig kompromittierter Angreifer – Backup-Daten verändern oder löschen kann. Damit werden zentrale Elemente der CAF-Anforderungen zu Ziel D in der Praxis erfüllt. 
  • Object First liefert sicheren, einfachen und leistungsstarken Backup-Speicher, der absolut unveränderlich ist und speziell für Veeam entwickelt wurde – und damit die Ausrichtung auf den CSR Bill sicherstellt. 

Wer muss den Cyber Sicherheit and Resilience Bill erfüllen? 

Der Gesetzentwurf behält alle Sektoren bei, die von den NIS Regulations 2018 erfasst sind, und ergänzt mehrere Kategorien, die zuvor außerhalb des Rahmens lagen: 

Betreiber essenzieller Dienste (aus NIS 2018 übernommen) 

  • Energie: Stromerzeuger und -verteiler, Öl- und Gasbetreiber sowie Betreiber von Energienetzen. Versorgungsunternehmen fallen in diese Kategorie. 
  • Verkehr: Betreiber in Luft-, Schienen-, Straßen- und Seeverkehr, deren Dienste für die nationale Infrastruktur kritisch sind. 
  • Gesundheitswesen: NHS Trusts, private Gesundheitsdienstleister und andere Organisationen im Gesundheitswesen. Die Absicherung von Backups im Gesundheitswesen und die Datenwiederherstellung stehen angesichts der Ransomware-Exponierung des Sektors besonders im Fokus. 
  • Trinkwasser: Betreiber der Wasserversorgung und -verteilung. 
  • Digitale Infrastruktur: Internet Exchange Points, DNS-Anbieter, Registries für Top-Level-Domains sowie Betreiber digitaler Infrastruktur im weiteren Sinne. 
  • Relevante Anbieter digitaler Dienste (RDSPs): Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste, die bereits unter NIS 2018 reguliert sind. Große SaaS- und Enterprise-Software-Anbieter, die die entsprechenden Schwellenwerte erfüllen, fallen ebenfalls in diese Kategorie. 

Weitere Sektoren, die in der Praxis unter die OES- und RDSP-Definitionen fallen, sind Finanzdienstleistungen und Fintech-Plattformen (sofern sie kritische digitale Infrastruktur betreiben), Telekommunikationsanbieter und Internet Service Provider, Universitäten und Forschungseinrichtungen mit sensiblen Daten sowie öffentliche Dienste, die Netzwerk- und Informationssysteme betreiben. 

Neue Kategorien, die durch den CSR Bill hinzugefügt werden 

  • Managed Service Providers (MSPs): jede Organisation, die vertraglich fortlaufendes IT-Management, Support, Wartung oder Monitoring erbringt und dabei mit dem Netzwerk eines Kunden verbunden ist oder darauf zugreift. MSPs werden durch das Information Commissioner's Office (ICO) reguliert. Kleine und Kleinstunternehmen sind derzeit ausgenommen; Unternehmen, die über diese Schwellenwerte hinauswachsen, fallen jedoch in den Geltungsbereich. 
  • Rechenzentren: Shared- oder Multi-Tenant-Einrichtungen mit einer Kapazität von mindestens 1 MW sowie Single-Tenant-Enterprise-Einrichtungen mit mindestens 10 MW. Ofcom und DSIT fungieren als gemeinsame Regulierungsbehörden. Die Schwellenwerte sollen Einrichtungen erfassen, die groß genug sind, dass ihr Ausfall erhebliche wirtschaftliche oder operative Störungen verursachen würde. 
  • Großlaststeuerer: Organisationen, die erhebliche elektrische Lasten (300 MW oder mehr) im Stromnetz aus der Ferne steuern und damit die Netzstabilität beeinflussen können. Ofgem ist die zuständige Aufsichtsbehörde. 
  • Benannte kritische Lieferanten (DCS): Aufsichtsbehörden erhalten die Befugnis, einzelne Lieferanten direkt in den Geltungsbereich aufzunehmen – unabhängig davon, ob sie in die oben genannten Sektorkategorien passen. Kriterien für die Benennung: Lieferung von Waren oder Dienstleistungen an eine regulierte Organisation; ein Ausfall beim Lieferanten würde erhebliche Störungen eines essenziellen Dienstes verursachen; der Betrieb des Lieferanten hängt von Netzwerk- und Informationssystemen ab; und es gilt nicht bereits eine gleichwertige Cyber-Regulierung. Kleine Unternehmen sind nicht automatisch ausgenommen – ein Kleinstunternehmen in einer kritischen Position innerhalb einer Lieferkette kann dennoch benannt werden. 

Der Secretary of State hat außerdem das Recht, den Kreis der regulierten Organisationen durch Sekundärgesetzgebung zu erweitern, ohne dass neue Primärgesetzgebung erforderlich ist. 

Für noch mehr Details laden Sie unseren vollständigen Leitfaden zum CSR Bill herunter

Zentrale Anforderungen des britischen CSR Bill für Unternehmen 

Der CSR Bill legt für Organisationen im Geltungsbereich die folgenden vier Kernpflichten fest: 

  1. Ausrichtung am NCSC Cyber Assessment Framework

    Das CAF ist der technische Standard, anhand dessen Aufsichtsbehörden die Compliance bewerten wollen – für regulierte Organisationen erfolgt der Übergang von einer freiwilligen zu einer rechtlichen Grundlage. Das CAF ist um vier Ziele herum strukturiert: Sicherheitsrisiken managen, vor Cyberangriffen schützen, Cybersicherheitsereignisse erkennen und die Auswirkungen von Vorfällen minimieren. Organisationen im Geltungsbereich sollen Fortschritte in allen vier Bereichen nachweisen.

  2. Vorfälle innerhalb von 24 und 72 Stunden melden 

    Ein erheblicher Vorfall muss der zuständigen Aufsichtsbehörde und dem National Cyber Sicherheit Centre innerhalb von 24 Stunden nach Kenntniserlangung gemeldet werden. Ein vollständiger schriftlicher Bericht einschließlich einer Folgenabschätzung muss innerhalb von 72 Stunden folgen. Die Auslöser für Meldepflichten sind breiter gefasst als unter NIS 2018 – Ransomware ist nun ausdrücklich erfasst, ebenso Prepositioning-Aktivitäten, bei denen ein Angreifer bereits Zugriff erlangt hat, aber noch keine sichtbaren Störungen verursacht. MSPs und RDSPs müssen zudem betroffene Kunden so bald wie vernünftigerweise praktikabel nach Einreichung der Meldung bei der Aufsichtsbehörde informieren. 

  3. Lieferkettenrisiken managen

    OES- und RDSP-Organisationen sind verpflichtet, die durch ihre Lieferanten verursachten Cyberrisiken zu identifizieren und aktiv zu steuern. Dazu gehören das Abbilden von Abhängigkeiten, das Stärken vertraglicher Schutzmechanismen sowie die Verifizierung, dass von Dritten gehaltene oder verwaltete Daten dieselben Resilienzstandards erfüllen wie intern gehaltene Daten.

  4. Nachweise für kontinuierliches Risikomanagement vorbereiten

    Aufsichtsbehörden verfügen über erweiterte Inspektions- und Informationsbeschaffungsbefugnisse. Sie können Nachweise anfordern, wie Risiken fortlaufend gemanagt werden, Räumlichkeiten inspizieren, Dokumentation prüfen, Systeme testen und Mitarbeitende befragen. 

Sanktionen 

Der Gesetzentwurf ersetzt das bestehende dreistufige Sanktionsregime durch eine klarere zweistufige Struktur, skaliert nach Umsatz. Schwere Verstöße – Nichterfüllung von Sicherheitsanforderungen oder Nichtmeldung von Vorfällen – werden mit einer Höchststrafe von 17 Mio. £ oder 4 % des weltweiten Umsatzes geahndet, je nachdem, welcher Betrag höher ist. Weniger schwere Verstöße, etwa Versäumnisse bei der Registrierung, werden mit maximal 10 Mio. £ oder 2 % des weltweiten Umsatzes belegt. Für fortgesetzte Verstöße gelten tägliche Strafzahlungen von bis zu 50.000 £. Aufsichtsbehörden können zudem mildernde Faktoren berücksichtigen, einschließlich der Frage, ob die Organisation ernsthafte Versuche unternommen hat, einen Verstoß zu beheben, sowie ihre bisherige Compliance-Historie. 

 

Die Backup-, Restore- und Recovery-Kontrollen, die den Gesetzentwurf erfüllen 

Compliance über alle CAF-Ziele hinweg ist wichtig, aber wenn ein realer Vorfall eine Untersuchung auslöst, werden Aufsichtsbehörden mit Sicherheit darauf fokussieren, ob die Organisation tatsächlich wiederherstellen kann. Hier sind einige Punkte, die Sie beachten sollten: 

Was ist CAF Ziel D? 

CAF Ziel D, „Minimierung der Auswirkungen von Cybersicherheitsvorfällen“, ist hier der relevante Standard. Dieses Ziel bewertet die Fähigkeit einer Organisation, auf Vorfälle zu reagieren und essenzielle Funktionen wiederherzustellen. Es ist um zwei Prinzipien herum strukturiert:  

  • D1: Reaktions- und Wiederherstellungsplanung 
  • D2: Lessons Learned 

Die Erfüllung von Ziel D erfordert mehr als einen dokumentierten Wiederherstellungsplan. In einem Audit nach einem Vorfall werden Nachweise für drei Dinge erwartet: Backups, die ein Angreifer weder erreichen noch verändern konnte, der Beleg, dass diese Backups nicht kompromittiert wurden, sowie getestete Restore-Protokolle, die zeigen, wie schnell die Organisation kritische Systeme wieder in Betrieb nehmen kann. 

Warum interessieren sich Aufsichtsbehörden für Backups? 

Der Grund, warum Aufsichtsbehörden so spezifisch auf die Integrität von Backups achten, ist, dass moderne Ransomware-Angriffe zunehmend Backup-Repositories direkt angreifen – Daten korrumpieren, Wiederherstellungspunkte löschen oder unbemerkt Aufbewahrungseinstellungen verändern. Eine Organisation, deren Backups kompromittiert wurden, hat faktisch ihre Fähigkeit zur Wiederherstellung verloren.  

Der Schwerpunkt des Gesetzentwurfs auf Wiederherstellbarkeit spiegelt diese Bedrohung unmittelbar wider. Nach Klausel 10 des aktuellen Entwurfs müssen relevante Managed Service Provider „die Risiken für die Sicherheit der Netzwerk- und Informationssysteme, auf die sie angewiesen sind, identifizieren und geeignete sowie verhältnismäßige Maßnahmen zu deren Management ergreifen“ – Maßnahmen, die „ein dem Risiko angemessenes Sicherheitsniveau der Netzwerk- und Informationssysteme gewährleisten sowie die Auswirkungen von Vorfällen verhindern und minimieren.“  

Wie Absolute Immutability zur CSR-Bill-Compliance beiträgt

Immutability ist die technische Kontrolle, die die oben genannten Elemente adressiert. Wenn Backup-Daten auf unveränderlicher Speicher geschrieben werden, können sie während der Aufbewahrungsfrist weder verändert noch gelöscht werden – weder durch einen Angreifer mit Netzwerkzugriff noch durch einen Administrator, der unter Zwang handelt. 

Allerdings haben einige Systeme, die „unveränderliche“ Backups versprechen, versteckte Ausnahmen und Schlupflöcher. Absolute Immutability bedeutet, dass selbst der am höchsten privilegierte Admin oder ein Angreifer mit Zugriff auf den Backup-Speicher Daten weder verändern noch löschen kann. Das lässt sich nur mit einem Backup-Speichersystem erreichen, das „secure-by-design“ ist und Zero Access für destruktive Aktionen bietet – und dieser Zero Access muss durch Tests unabhängiger Dritter verifizierbar sein. 

Schnelle Wiederherstellung ist ebenso wichtig wie die Integrität der gespeicherten Daten. Der Fokus des CSR Bill auf operative Resilienz erkennt an, dass langanhaltende Ausfälle essenzieller Dienste wirtschaftliche und gesellschaftliche Folgen haben; saubere Daten sind nur dann nützlich, wenn sie schnell wiederhergestellt werden können. 

Cyber Sicherheit and Resilience Bill – Compliance-Checkliste 

Nachweisbare Compliance erfordert die Umsetzung von fünf zentralen Schritten:  

  1. Bestätigen, ob Ihre Organisation in den Geltungsbereich fällt 
  2. Identifizieren Ihrer eigenen kritischen Lieferanten 
  3. Monitoring der kommenden regulatorischen Leitlinien 
  4. Überprüfung der Incident-Response-Bereitschaft 
  5. Validieren, dass Ihr Risikomanagement- und Wiederherstellungssetup 

Für einen umfassenden Leitfaden, wie Sie jeden dieser Schritte umsetzen, laden Sie unsere CSR Bill Compliance-Checkliste herunter

Wie Object First die Einhaltung des CSR-Gesetzentwurfs unterstützt

Wenn – nicht falls – Ransomware zuschlägt, hängt Ihre Zukunft von Cyber-Resilienz ab. Object First ist Ihre ultimative Verteidigung – Backup-Speicher mit Absolute Immutability, der speziell für Veeam entwickelt wurde und die Objective-D-Kontrollen direkt adressiert, die Regulierungsbehörden am strengsten prüfen. Basierend auf Zero Trust sowie durch Dritte getestet und verifiziert, erfordert Object First keinerlei Sicherheits-Expertise und skaliert mit Ihrem Unternehmen. Wenn Backup-Speicher so sicher, einfach und leistungsstark ist, sind Sie und Ihre Organisation einfach resilient.

 

Zusammenfassung

Die Einhaltung des Cyber Sicherheit and Resilience Bill bedeutet, vier Verpflichtungen zu erfüllen: Ausrichtung am NCSC CAF, Meldung von Vorfällen innerhalb von 24 bzw. 72 Stunden, Management von Lieferkettenrisiken sowie der Nachweis kontinuierlicher Resilienz gegenüber Regulierungsbehörden auf Abruf.

Organisationen sollten ihren Geltungsbereichsstatus jetzt bestätigen, aber wachsam bleiben: Der Mechanismus für Sekundärgesetzgebung im Gesetzentwurf bedeutet, dass selbst diejenigen außerhalb der aktuellen Definitionen im Zuge der Weiterentwicklung des Rahmens einbezogen werden können.

Von den genannten Verpflichtungen sind Backup-Integrität und Wiederherstellungsgeschwindigkeit das, was Regulierungsbehörden nach einem realen Vorfall am strengsten prüfen. Die sichere, einfache und leistungsstarke Backup-Speicher-Appliance von Object First gewährleistet resiliente Backups und schnelle Restore-Performance – erfüllt die Objective-D-Anforderungen und bietet einen schnellen, robusten Weg zur Wiederherstellung im Falle eines Ransomware-Angriffs oder eines anderen Datenverlusts.

FAQs

Ist der CSR-Gesetzentwurf dasselbe wie NIS?

Nein. Der CSR-Gesetzentwurf aktualisiert und erweitert die NIS Regulations 2018, anstatt sie vollständig zu ersetzen. Die wichtigsten Unterschiede betreffen Geltungsbereich, Meldepflichten, Durchsetzung und Flexibilität.

  • Zum Geltungsbereich: MSPs, große Rechenzentren und große Laststeuerungen werden erstmals aufgenommen, und Regulierungsbehörden können einzelne kritische Lieferanten direkt benennen.
  • Zu den Meldepflichten: Der 24/72-Stunden-Zeitplan ersetzt ein weniger strenges Regime, und die Bandbreite der meldepflichtigen Vorfälle ist größer – Ransomware und vorbereitende Aktivitäten fallen nun in den Geltungsbereich, wo sie unter NIS 2018 keine Verpflichtungen ausgelöst hätten.
  • Zur Durchsetzung: Die frühere dreistufige Sanktionsstruktur wird durch ein umsatzbasiertes Zwei-Band-Modell ersetzt, wodurch die festen Obergrenzen entfallen, die bei größeren Organisationen nur eine begrenzte Abschreckungswirkung hatten.
  • Zur Flexibilität: Anstatt technische Details in der Primärgesetzgebung zu verankern, schafft der Gesetzentwurf einen Rahmen, den Sekundärgesetzgebung und regulatorische Verhaltenskodizes im Laufe der Zeit ausfüllen werden.

Welche Nachweise wird eine Regulierungsbehörde nach einem Cybervorfall anfordern?

Eine Regulierungsbehörde wird voraussichtlich Folgendes anfordern:

  • Die initiale 24-Stunden-Meldung und den vollständigen 72-Stunden-Bericht
  • Einen dokumentierten Incident-Response-Plan, der die Prozesse zeigt, die vor dem Angriff etabliert waren
  • Nachweise zur Backup-Integrität – insbesondere Aufzeichnungen, die belegen, dass Backup-Daten in einer Form gespeichert wurden, die nicht verändert oder gelöscht werden konnte
  • Protokolle von Restore-Tests, die belegen, dass die Organisation Wiederherstellungszeiten und -verfahren im Voraus verifiziert hatte
  • Eine Analyse nach dem Vorfall, die die Grundursache adressiert und umgesetzte Erkenntnisse dokumentiert.

Wenn Lieferkettenrisiken ein beitragender Faktor sind, ist auch die Dokumentation von Sicherheitsbewertungen von Lieferanten relevant.

Wird der CSR-Gesetzentwurf Änderungen an meinem bestehenden Backup-Setup erfordern?

Das hängt davon ab, was Sie heute im Einsatz haben. Organisationen mit Backup-Lösungen, die Daten in einer Form speichern, die überschrieben, von einem privilegierten Benutzer gelöscht oder über eine Admin-Hintertür abgerufen werden kann, müssen diese Lücken wahrscheinlich schließen.

Das Hinzufügen einer unveränderliches Backup-Storage-Appliance wie Object First ist der direkteste Weg, diese Angriffsfläche zu schließen, ohne den gesamten Backup-Stack neu aufzubauen. Sie fungiert als gehärtetes Ziel für Backup-Daten, während bestehende Tools und Workflows unverändert bleiben.

Zugehörige Leitfäden

Alle anzeigen