Hvad lovforslaget om cybersikkerhed og modstandsdygtighed betyder for kritisk infrastruktur

Af Phil Muncaster • 3 December 2025

Det har været længe undervejs. Efter at være blevet fulgt så langt tilbage som kongens tale i 2024, den Lovforslaget om cybersikkerhed og resiliens (CSRB) er endelig blevet fremsat i parlamentet. I de mellemliggende 20 måneder eller deromkring er Storbritanniens kritiske nationale infrastruktur (CNI) blevet ramt af sin rimelige andel af større hændelser – fra Synnovis ransomware-angreb til det hidtil usete cyberspionagetyveri rettet mod Forsvarsministeriet.

Der er derfor ingen tvivl om, at CNI-sektorer har brug for et regulatorisk skub for at forbedre sikkerhed og modstandsdygtighed. Spørgsmålet er, hvordan operatører af essentielle tjenester (OES) og deres digitale modparter kan håndtere den ekstra compliance-byrde, der er på vej, dem i møde?

Hvem dækker det?

Den endelige liste over organisationer, der er omfattet af ordningen, er endnu ikke offentliggjort. Men den vil helt sikkert omfatte de sektorer, der allerede er dækket af NIS-forordningerne fra 2018, som dette lovforslag opdaterer. De omfatter sundhedspleje, transport, energi, vand og digital infrastruktur. Disse er alle klassificeret som OES.

CSRB gælder også for:

Relevante udbydere af digitale tjenester (RDSP'er): Andre udbydere af digitale tjenester, såsom dem der tilbyder cloud computing, søgemaskiner og online markedspladser
Datacenteroperatører
Administrerede tjenesteudbydere (MSP'er)
Virksomheder, der administrerer "strømmen af elektricitet til smarte apparater" og ladepunkter for elbiler.

Hvad står der i regningen?

Lovgivningen er stadig på vej gennem parlamentet. Vi vil dog sandsynligvis se mindst følgende overordnede tiltag vedtaget:

Tilsynsmyndighederne vil få beføjelser til at udpege kritiske leverandører, som skal opfylde minimumssikkerhedsstandarder. Dette er for at lukke eventuelle sikkerhedshuller i forsyningskæden.
OES vil blive pålagt at håndtere risici i forsyningskæden på en mere proaktiv måde, selvom disse nye pligter skal defineres i sekundær lovgivning.
OES skal opfylde "forholdsmæssige og opdaterede sikkerhedskrav" fra NCSC's Cyber Assessment Framework (CAF) og nøje afstemt med NIS 2.
Et bredere anvendelsesområde for indberetningspligtige hændelser – til nu at omfatte hændelser, "der kan have en betydelig indvirkning på leveringen af en essentiel eller digital tjeneste" samt "hændelser, der i væsentlig grad påvirker et systems fortrolighed, tilgængelighed og integritet".
Mere præskriptive krav til hændelsesrapportering: Den første rapportering til NCSC skal ske senest 24 timer efter en hændelse, efterfulgt af en fuldstændig rapport inden for 72 timer. Udbydere af digitale tjenester og datacentre skal også underrette kunderne om enhver afbrydelse af tjenesten.
Informationskommissærens kontor (ICO) får nye beføjelser til at hjælpe med at identificere de mest kritiske udbydere af digitale tjenester og proaktivt vurdere deres cyberrisiko.
Regulatorer vil kunne dække omkostninger gennem en ny gebyrordning
Der vil blive indført strengere straffe for alvorlige overtrædelser – stigende til £17 millioner eller 4/10% af omsætningen.
Teknologiministeren får nye beføjelser til at instruere regulatorer og udbydere af infrastruktur til at tage specifikke skridt til at forhindre angreb, hvor der er en trussel mod den nationale sikkerhed. Dette kan omfatte, at de patcher eller isolerer kritiske systemer.

Tid til at gøre sig klar

Selvom lovgivningen stadig skal vedtages i parlamentet, er det usandsynligt, at den vil ændre sig meget, da "cybersikkerhed fortsat er et stort set upolitisk politisk spørgsmål", ifølge Verona Johnstone-Hulse, chef for regeringsanliggender hos NCC Group UK. Det betyder, at sikkerheds- og compliance-teams kan komme foran spillet ved at planlægge deres compliance-rejser nu.

"Som organisation er det første skridt at afgøre, om I rent faktisk er omfattet af lovforslaget. For mange vil dette være relativt klart – enten fordi I allerede er reguleret under britisk NIS, eller fordi jeres organisation klart opfylder definitionerne og tærsklerne for de sektorer, der omfattes af lovforslaget,” fortæller hun til ISMS.online.

"For de organisationer, der kan betegnes som 'kritiske leverandører' – og derfor er underlagt NIS-regler – kan det være mindre klart, om I vil opfylde grænsen for 'kritisk'. En nøje gennemgang af jeres kunder og de typer af tjenester og produkter, I leverer, vil hjælpe med at afgøre, om I sandsynligvis vil blive betegnet som 'kritiske' i fremtiden."

Rhiannon Webster, chef for cybersikkerhed i Storbritannien hos det globale advokatfirma Ashurst, er enig i, at firmaer kan få et forspring med hensyn til compliance.

"Jeg vil sige, at kategorierne af nye personer, der er omfattet, sandsynligvis ikke vil ændre sig, og derfor bør disse virksomheder børste støvet af deres cyberberedskabsplaner," fortæller hun ISMS.online. "De bør forberede sig på øgede rapporteringsforpligtelser, gennemgå deres cybersikkerhedsrammer i forhold til de forventede krav og se nærmere på deres forsyningskæde og kontrakter. Forpligtelserne skal muligvis følge op på indkøbsprocesser."

NCC Groups Johnstone-Hulse råder teams til at:

Indgå tidligt i dialogen med regeringen og tilsynsmyndighederne
Styrk styring og ansvarlighed ved at sikre bestyrelsesdeltagelse i compliance-programmer
Vurder nuværende processer og teknologier til håndtering af hændelser for at forstå, hvad der muligvis skal ændres

Charlotte Walker-Osborn, vidensdirektør hos advokatfirmaet Clifford Chance, advarer britiske organisationer, der i øjeblikket er omfattet af NIS2, om at forberede sig på en større compliance-byrde.

"Da omfanget af Storbritanniens lov om cybersikkerhed og modstandsdygtighed på forskellige måder adskiller sig noget fra EU's cybersikkerhedslovgivning, vil multinationale virksomheder med aktiviteter i hele Europa endnu engang skulle forholde sig til de praktiske konsekvenser af at overholde to forskellige ordninger," fortæller hun til ISMS.online.

"Det søger at tilpasse sig dele af NIS 2, men anerkender også Storbritanniens egne udfordringer."

Hvordan standarder kan hjælpe

Julian Brown, administrerende konsulent hos NCC Group, forklarer, at nogle af de vigtigste tekniske detaljer endnu ikke er afklaret. Disse omfatter de "passende og forholdsmæssige" sikkerhedsforanstaltninger, som organisationer forventes at træffe. Det er her, at eksisterende standarder kan hjælpe.

"Selvom der forventes yderligere detaljer – herunder gennem en praksiskodeks og sektorspecifik vejledning fra tilsynsmyndigheder – kan eksisterende cybersikkerhedsstandarder og -rammer fremme overholdelsen ved at give en struktureret, reviderbar og internationalt anerkendt tilgang til at opfylde lovforslagets kernekrav," fortæller han ISMS.online.

"Brugen af disse standarder skaber også den dokumentation, som tilsynsmyndighederne forventer: risikovurderinger, politikker, kontroller, målinger og løbende forbedringsaktiviteter. ISO 27001 tilbyder dette gennem sit ISMS, CAF gennem sin resultatbaserede sikringsmodel, NIST CSF gennem sin governance-livscyklus og 62443 gennem sine OT-specifikke sikkerhedskrav. Ved at implementere et hvilket som helst af disse rammer kan en organisation med sikkerhed vise, at den håndterer cyberrisiko på en forholdsmæssig, ansvarlig og forsvarlig måde, når lovgivningen træder i kraft."

Der er stadig meget i luften. Clifford Chances Walker-Osborn siger, at det stadig er uklart, om lovforslaget vil omfatte nyligt offentliggjorte planer om at forbyde ransomware-betalinger og pålægge visse virksomheder indberetning. Omfanget af bødeordningen kan også være til debat i betragtning af den vanskelige økonomiske situation, tilføjer hun.

Der er dog bestemt nok at lave. Smartere organisationer kører allerede ISO 27001 eller andre compliance-programmer burde finde lovforslagets krav meget nemmere at opfylde.

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Information Security 9 December 2025

et år med compliance fem ting vi lærte i 2025 banner

Et år med overholdelse af regler: Fem ting vi lærte i 2025

De seneste 12 måneder har endnu engang bevist, at cybersikkerhedslandskabet sjældent er mangelfuldt med hændelser. Store sikkerhedsbrud koster organisationer ...

Phil Muncaster

Cyber sikkerhed 18. November 2025

Når det kommer til OT, er synlighed fundamentet for effektive sikkerhedsbannere

Når det kommer til OT, er synlighed fundamentet for effektiv sikkerhed

IT rammer ofte overskrifterne, især nu hvor vi går ind i en ny tidsalder med AI-drevet alting. Men det er operationel teknologi (OT), der stadig...

Phil Muncaster

Cyber sikkerhed 11. November 2025

Hvad Deloitte Australia-sagaen siger om risiciene ved at administrere AI-banner

Hvad Deloitte Australia-sagaen siger om risiciene ved at håndtere AI

Generativ AI (GenAI) har nået de højeste niveauer af branchehype, siden den brød frem i slutningen af 2022. Nu træder den ind i det, som Gartner kalder...

Phil Muncaster