UK verschärft Cybersicherheit mit drastischen Strafen

Die britische Regierung zieht die Zügel an: Ein neues Gesetz soll das Land besser vor Cyberangriffen schützen – und zwar mit Bußgeldern, die es in sich haben. Bis zu 17 Millionen Pfund oder vier Prozent des weltweiten Jahresumsatzes können künftig fällig werden, wenn Unternehmen ihre digitale Hausaufgaben nicht machen. Das am 12. November 2025 ins Parlament eingebrachte Cyber Security and Resilience Bill markiert die bislang umfassendste Überarbeitung der britischen Cybersicherheitsarchitektur.

Hintergrund ist die bedrohliche Realität: Cyberangriffe kosten die britische Wirtschaft jährlich geschätzte 15 Milliarden Pfund. Besonders kritische Infrastrukturen wie das Gesundheitssystem NHS, Wasserversorger, Verkehrssysteme und Energienetze geraten zunehmend ins Visier staatlicher Akteure und professioneller Cyberkrimineller. “Cybersicherheit ist nationale Sicherheit”, betonte Wissenschafts- und Technologieministerin Liz Kendall bei der Vorstellung des Gesetzentwurfs.

Das Herzstück der Reform: Erstmals werden mittelgroße und große Managed Service Provider (MSP) direkt reguliert. Diese IT-Dienstleister verwalten Systeme in Behörden, kritischen Infrastrukturen und Unternehmensnetzwerken – und hatten bislang keine spezifischen Sicherheitsauflagen. Eine gefährliche Lücke, wie Experten seit Jahren warnen.

Viele Managed Service Provider und Rechenzentren stehen nach dem neuen britischen Cyber Security and Resilience Bill vor erheblichen Haftungs- und Meldepflichten. Signifikante Vorfälle müssen innerhalb von 24 Stunden an Regulierungsbehörden und das NCSC gemeldet werden – bei schweren Verstößen drohen bis zu 17 Millionen Pfund oder vier Prozent des Jahresumsatzes. Unser kostenloses E‑Book erklärt praxisnah, welche technischen Maßnahmen, Dokumentationen und Meldeprozesse jetzt zwingend sind, und wie Sie Ihr Unternehmen schnell und kosteneffizient absichern. Kostenloses Cyber-Security-Guide herunterladen

Ebenso neu erfasst werden Rechenzentren, die bereits im September 2024 zur kritischen Infrastruktur erklärt wurden. Sie speichern alles von Patientendaten bis zu Zahlungsinformationen. Auch Betreiber intelligenter Stromnetze, etwa für Ladestationen von Elektrofahrzeugen, fallen künftig unter die erweiterte Regulierung. Die Botschaft ist klar: Wer digitale Schlüsselpositionen innehat, muss liefern.

24 Stunden bis zur Meldung – dann wird es teuer

Künftig tickt die Uhr schneller: Organisationen müssen relevante Regulierungsbehörden und das National Cyber Security Centre (NCSC) innerhalb von 24 Stunden über signifikante Vorfälle informieren. Nach 72 Stunden ist ein detaillierter Bericht fällig. Neu ist auch: Selbst “Beinahe-Vorfälle” müssen gemeldet werden, wenn sie potenziell erheblichen Schaden hätten anrichten können.

Die Strafen orientieren sich am DSGVO-Modell und zielen ins Portemonnaie: Bei schweren Verstößen drohen bis zu 17 Millionen Pfund oder vier Prozent des globalen Jahresumsatzes – je nachdem, was höher ausfällt. Bei leichteren Vergehen sind es immerhin noch zwei Prozent des Jahresumsatzes. Die Rechnung der Regierung: Investitionen in Sicherheit sollen günstiger sein als Bußgelder.

Lieferketten im Fokus der Behörden

Eine besonders weitreichende Neuerung: Regulierungsbehörden können Unternehmen künftig als “kritische Zulieferer” einstufen – auch wenn sie selbst keine essentiellen Dienste betreiben. Ein Diagnostiklabor für den NHS oder ein Chemikalienhersteller für Wasserwerke könnte so zur Einhaltung von Mindestsicherheitsstandards verpflichtet werden.

Zusätzlich erhält die Technologieministerin Notfallbefugnisse: Bei glaubwürdigen Bedrohungen der nationalen Sicherheit kann sie Regulierungsbehörden und nachgeordneten Organisationen wie NHS-Trägern oder Versorgungsunternehmen direkte Anweisungen erteilen. Denkbar sind etwa Anordnungen zur verstärkten Systemüberwachung oder zur Isolierung risikobehafteter Netzwerke.

Strenger als die EU?

Experten sehen in dem Gesetzentwurf Großbritanniens Antwort auf die aktualisierte NIS2-Richtlinie der EU – mit verschärften Elementen. “Die umsatzbasierten Strafen und die Notfallbefugnisse der Regierung gehen deutlich über NIS2 und DSGVO hinaus”, analysiert Madelein van der Hout von Forrester. Das Gesetz setze neue Maßstäbe für die Durchsetzung von Cybersicherheitsstandards.

Doch es gibt auch skeptische Stimmen. Karen Fryatt vom Sicherheitsdienstleister NCC Group warnt vor überzogenen Erwartungen: “Das Gesetz wird helfen, Risiken in Lieferketten anzugehen, aber es ist kein Allheilmittel.” Offene Fragen blieben etwa bei der Förderung sicherer Technologieentwicklung und der Absicherung kleiner und mittlerer Unternehmen.

Umsetzung ab 2026 erwartet

Der Gesetzentwurf hat die erste Lesung im Parlament passiert. Aufgrund seiner Bedeutung für die nationale Sicherheit rechnen Beobachter mit einem beschleunigten Verfahren – dennoch dürften bis zur königlichen Genehmigung noch Monate vergehen. Betroffene Organisationen, insbesondere Managed Service Provider und Rechenzentren, sollten sich bereits jetzt auf deutlich strengere Prüfungen ihrer Cybersicherheit einstellen.

Die Regierung will weitere Details durch nachgelagerte Verordnungen und Praxisleitfäden veröffentlichen. Mit ersten Umsetzungsvorschlägen rechnen Experten 2026. Das Gesetz markiert einen Paradigmenwechsel: Cybersicherheit wird zur geteilten Verantwortung im gesamten digitalen Ökosystem – und wer nicht mitzieht, zahlt künftig einen hohen Preis.

PS: Unternehmen, die ihre IT‑Prozesse und Lieferketten jetzt systematisch prüfen, reduzieren das Risiko empfindlicher Strafen und Betriebsunterbrechungen. Unser Gratis-Report liefert eine Checkliste von Sofortmaßnahmen – von Risikoanalyse über Meldeprozesse bis zu Lieferanten-Controllings – die sich ohne großen Aufwand umsetzen lassen. Ideal für MSPs, Rechenzentren und Betreiber kritischer Infrastrukturen, die sich auf die neuen Prüfungen vorbereiten müssen. Jetzt kostenlosen Cyber-Report anfordern