Die Wet op Kuberveiligheid en Veerkragtigheid: Wat jy moet weet

Deur Phil Muncaster • 22 Mei 2025

Die pad na kuberveerkragtigheid vir kritieke infrastruktuur (KNI) in die VK was 'n lang en kronkelende een. Die regering se NIS-regulasies 2018 is jammerlik verouderd en beperk in omvang – gebaseer op 'n EU-richtlijn van twee jaar tevore. Maar na 'n paar positiewe geluide het die vorige administrasie se pogings op niks uitgeloop nie. Dit is dus bemoedigend dat die Arbeidersregering uiteindelik die onderwerp die aandag gee wat dit verdien.

Na maande se wag vir meer besonderhede na die Koning se Toespraak, ons het nou 'n regeringsbeleidsverklaring om te ontleed. So wat sal die Wet op Kuberveiligheid en Veerkragtigheid probeer bereik? En hoe uitdagend sal dit vir firmas wees om daaraan te voldoen?

Hoekom ons dit nodig het

Die VK is 'n heel ander plek as die een waar die NIS-regulasies 2018 wet geword het. Die CNI, die samelewing en die VK PLC is meer as ooit afhanklik van IT- en digitale stelsels. In die meeste organisasies het dit beleggings beteken wat die grootte van die kuber-aanvaloppervlak vergroot het, wat bedreigingsakteurs 'n voordeel gee. Die geopolitieke agtergrond het staatsgerigte, maar aanneemlik ontkenbare aanvalle van derde partye meer waarskynlik gemaak. En dit het nasiestate aangemoedig om hul eie uit te voer.

Asof enigiemand herinner moes word aan die potensiële impak van ernstige oortredings op CNI-sektore, onthou net die chaos wat die Synnovis-ransomware-aanval verlede jaar veroorsaak – wat gelei het tot duisende gekanselleerde afsprake en 'n kritieke bloedtekort in die suidooste van Engeland. Dit is ook 'n herinnering dat voorsieningskettings 'n toenemend kwesbare teiken vir sulke aanvalle is. Te dikwels tref vaardigheids- en hulpbronuitdagings hierdie kleiner organisasies hard. En terwyl hulle sukkel, is bedreigingsakteurs gebruik KI om meer met minder te doen, wat aanvalle versnel en uitkomste verbeter.

Die feit dat die helfte van Britse firmas het digitale transformasieplanne op die lange baan geskuif As gevolg van die vrees vir aanvalle deur nasies, maak dit ook die verbetering van kuberveerkragtigheid 'n noodsaaklikheid vir die besigheid. So, wat sal op hul doenlys wees wanneer die wetsontwerp uiteindelik wet word?

Wat is in die wetsontwerp?

Alhoewel veranderinge moontlik nog aangebring kan word soos dit deur die parlement vorder, soos dit tans staan, is die wetgewing daarop gemik om:

Skep meer entiteite binne die omvang

Die regering sal:

Sluit bestuurde diensverskaffers (MSP's) in die bestek van die nuwe bepalings in, en skat ongeveer 900-1100 van hierdie firmas.
Sluit datasentrumoperateurs in: ongeveer 182 kolokasie-terreine en 64 operateurs, plus 'n klein aantal ondernemingsdatasentrums (met kapasiteit van meer as 10 MW)
Stel die regering en reguleerders in staat om strenger vereistes te stel vir sekere kritiek belangrike/hoë-impak operateurs van noodsaaklike dienste (OES), selfs al is hulle mikrobesighede (tensy hulle onderhewig is aan bestaande kuberveerkragtigheidswette)

Bemagtig reguleerders en verbeter toesig

Die regering sal:

Verduidelik die "tegniese en metodologiese sekuriteitsvereistes" wat van binne-bestek organisasies vereis word – in nouer lyn met NIS 2 en die NCSC Cyber Assessment Framework (CAF)
Brei die rapportering van voorvalle uit om enige voorvalle in te sluit wat "die vertroulikheid, beskikbaarheid en integriteit van 'n stelsel beduidend beïnvloed" – insluitend data-kompromie, spioenasieware-aanvalle en losprysware. Firmas sal aan hul reguleerder en die NCSC moet rapporteer. Kennisgewingsvereistes sal "nie meer as NIS 2" wees nie: aanvanklik 24 uur gevolg deur 'n voorvalverslag binne 72 uur.
Bemagtig die tegnologiesekretaris om 'n gereguleerde entiteit te dwing om spesifieke stappe te doen wanneer dit nodig geag word vir nasionale veiligheid.
Verbeter ICO se inligtinginsamelingsbevoegdhede sodat dit die belangrikste digitale diensverskaffers kan identifiseer en hul kuberveiligheidsposisie proaktief kan assesseer.
Laat reguleerders toe om 'n fooistelsel vas te stel, koste te verhaal, of die twee te kombineer om afdwingingsuitgawes en ander regulatoriese koste te dek.

Skep gedelegeerde bevoegdhede

Die regering het ook daartoe verbind om te verseker dat die wet aanpasbaar is: die tegnologiesekretaris kry nuwe magte om die wetgewing op te dateer om te verseker dat dit "huidig en effektief" is.

Vrae wat nog beantwoord moet word

Nie-winsgewende sakeveerkragtigheidspesialis CSBR verwelkom die wetsontwerp, maar vereis duidelikheid oor 'n reeks vrae, wat wissel van NIS 2-belyning tot ICO-bevoegdhede.

“Die uitdaging is om te verseker dat die soeke na beter regulering van kuberveiligheid en veerkragtigheid nie die onbedoelde effek het om innovasie te onderdruk en lastige of burokratiese struikelblokke te skep nie, veral vir klein en mediumgrootte ondernemings,” sê dit. “Daar is ook 'n behoefte vir die regering om te erken dat dit die regering self is wat dikwels die kwesbaarste deel van die stelsel is, soos die onlangse NAO-verslag duidelik gemaak het.”

Oscar Tang, senior medewerker in Clifford Chance se Tech Group, stem saam dat baie vrae in hierdie stadium onbeantwoord bly, insluitend die basis vir die "tegniese en metodologiese sekuriteitsvereistes" wat die nuwe wet vir organisasies binne die bestek wil verduidelik.

“Ons mag dalk ’n veelvlakkige benadering sien wat die CAF as ’n kern-VK-maatstaf verwys, saam met ISO en ander riglyne, om konsekwentheid in die praktyk te verseker,” sê hy vir ISMS.online. “Die regering se beleidsvoorneme wys op die belangrikheid van ’n proporsionele en rats benadering tot sekuriteit, dus is dit onwaarskynlik dat organisasies die wiel sal moet heruitvind. Die benutting van bestaande raamwerke soos ISO 27001 behoort te help om robuuste risikobestuur en sekuriteitsbeheer te demonstreer.”

Will Richmond-Coggan, 'n vennoot by Freeths LLP wat spesialiseer in data- en kuberveiligheidslitigasie, noem ook ISO-standaarde as moontlik die grondslag vir wat in die nuwe Britse wet verwag word.

“Alhoewel die regering laat is met die opstel van wetgewing om die ontwikkelinge in Europa rondom kuberveiligheid wat in die NIS 2-richtlijn ingebed is, te weerspieël, is daar wel voordele hieraan verbonde,” sê hy vir ISMS.online.

“’n Aantal bestaande inligtingsekuriteitstandaarde weerspieël reeds die veranderde fokus onder NIS 2: byvoorbeeld ISO 27001:2022 en ISO 27302, wat spesifieke aanbevelings verskaf vir die versterking van ’n organisasie se kuberveerkragtigheid. Hierdie sal waarskynlik ook voldoening onder die Kubersekuriteits- en Veerkragtigheidswetsontwerp ondersteun wanneer dit in werking tree, en vir daardie organisasies wat reeds in Europa werksaam is en NIS 2 nakom, sal die parallelle tussen die wetgewing waarskynlik nuttig wees.”

Om egter by die punt van ware kuberveerkragtigheid te kom, moet organisasies dit wat hulle leer deur ISO 27001 en ander standaarde te gebruik, "in die operasionele kern van besighede" insluit – wat 'n "kultuur van voldoening" sal vereis, voeg Richmond-Coggan by.

“Trouens, die wetgewing sal reeds verouderd wees met betrekking tot sommige van die risiko's wat dit bedoel is om aan te spreek teen die tyd dat dit in werking tree,” sluit hy af.

“Besighede moet dit as 'n wekroep gebruik om hul end-tot-end sekuriteitshouding, veerkragtigheid en sakekontinuïteitsbeplanning te ondersoek as hulle werklik gereed wil wees vir die risiko's waarop die regering met hierdie wetgewing en sy breër kuberveiligheidsinisiatiewe reageer.”

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 11 November 2025

wat die Deloitte Australië-sage sê oor die risiko's van die bestuur van KI-banier

Wat die Deloitte Australia Saga sê oor die risiko's van die bestuur van KI

Generatiewe KI (GenAI) het die hoogtes van bedryfshype bereik sedert dit laat in 2022 op die toneel uitgebars het. Nou betree dit wat Gartner noem...

Phil Muncaster

cyber Security 6 November 2025

Die NCSC sê “Dis tyd om op te tree”, maar hoe?

Dit is ongewoon om 'n ope brief van 'n sakeleier aan die begin van 'n regering se kuberveiligheidsverslag te sien. Veral iemand wie se maatskappy j...

Phil Muncaster

cyber Security 16 Oktober 2025

Wat 'n npm-aanval sê oor die risiko's van oopbronsagteware

Die geskiedenis van oopbron-sekuriteit is besaai met voorbeelde van katastrofiese mislukkings en byna-mislukkings. 'n Kripto-wanware-veldtog wat in die o...

Phil Muncaster