Liz Kendall, wetenschapssecretaris (Credit: Alecsandra Dragoi / Departement voor Wetenschap, Innovatie en Technologie)
Er zijn nieuwe wetten in het parlement geïntroduceerd om de NHS en andere sectoren te helpen beschermen tegen de dreiging van cyberaanvallen.
De Cyber Security and Resilience Bill is bedoeld om de Britse cyberverdediging te verbeteren en aanvallen te voorkomen die vergelijkbaar zijn met de Synnovis-ransomware-aanval in juni 2024, die de NHS-diensten in Londen verstoorde en bijdroeg aan de dood van een patiënt.
Ongeveer 1.000 dienstverleners zullen binnen de reikwijdte van de maatregelen vallen, die van externe leveranciers zullen eisen dat ze hun cyberbeveiliging vergroten op gebieden zoals risicobeoordeling om de mogelijke impact van cyberaanvallen te minimaliseren en hun gegevensbescherming en netwerkbeveiliging te verbeteren.
Liz Kendall, secretaris van wetenschap, innovatie en technologie, zei: “Cyberveiligheid is nationale veiligheid. Deze wetgeving zal ons in staat stellen degenen te confronteren die onze manier van leven willen ontwrichten. Ik stuur ze een duidelijke boodschap: Groot-Brittannië is geen gemakkelijk doelwit.
“We kennen allemaal de verstoring die dagelijkse cyberaanvallen veroorzaken. Onze nieuwe wetten zullen het Verenigd Koninkrijk veiliger maken tegen deze bedreigingen.
“Het zal minder geannuleerde NHS-afspraken betekenen, minder verstoring van lokale diensten en bedrijven, en een snellere nationale reactie wanneer zich bedreigingen voordoen.”
Het wetsvoorstel inzake cyberbeveiliging en veerkracht werd op 12 november 2025 aan het parlement gepresenteerd, nadat het voor het eerst was aangekondigd in de Koningstoespraak in juli 2024.
De plannen voor het wetsvoorstel, gepubliceerd in april 2025, omvatten voorstellen die vereisen dat meer organisaties en leveranciers, waaronder datacenters, managed service providers en kritische leveranciers, moeten voldoen aan robuuste cyberbeveiligingsvereisten.
Op grond van het wetsvoorstel zullen toezichthouders over meer instrumenten beschikken om de cyberveiligheid en veerkracht te verbeteren op de gebieden die zij reguleren, waarbij organisaties verplicht zijn om binnen 24 uur meer incidenten te melden aan hun toezichthouder en het Nationaal Cyber Security Centrum (NCSC), met een volledig rapport binnen 72 uur.
De technologiesecretaris krijgt ook nieuwe bevoegdheden om toezichthouders en de organisaties waarop zij toezicht houden, zoals NHS-trusts, te instrueren om specifieke, proportionele stappen te nemen om cyberaanvallen te voorkomen waar er een bedreiging bestaat voor de Britse nationale veiligheid.
Dit houdt onder meer in dat zij hun monitoring moeten versterken of systemen met een hoog risico moeten isoleren om essentiële diensten te beschermen en te beveiligen.
In een reactie op de nieuwe wetgeving zei Jill Popelka, CEO van het Britse cyberbeveiligingsbedrijf Darktrace: “We hebben gezien dat cyberaanvallers zich de afgelopen jaren steeds meer richten op toeleveringsketens en beheerde dienstverleners, waaronder vitale instellingen zoals de NHS en het ministerie van Defensie.
“Het is veelbelovend om te zien dat het wetsvoorstel het risico in het hele digitale ecosysteem erkent. Het is ook goed om te zien dat de overheid zich richt op het toekomstbestendig maken van de regelgeving voor cyberveiligheid en het creëren van een sterkere rol voor het Cyber Assessment Framework van NCSC.
“Deze veranderingen zullen organisaties meer vertrouwen geven om nieuwe technologieën te adopteren en tegelijkertijd voorbereid te blijven op de volgende evolutie in bedreigingen.”
Ondertussen neemt Synnovis, na een onderzoek naar de cyberaanval van vorig jaar, contact op met NHS-organisaties waarvan gegevens zijn gestolen, waaronder patiëntnamen, NHS-nummers en testresultaten.
Cyberbeveiligingsexpert Saif Abed, oprichter van de AbedGraham Group, heeft opgeroepen tot een openbaar onderzoek naar de aanval en heeft er bij NHS-leiders op aangedrongen parlementsleden te schrijven met het verzoek om een onderzoek naar NHS-cyberbeveiliging en patiëntveiligheid.
