Liz Kendall, wetenschapssecretaris (Credit: Alecsandra Dragoi / Departement voor Wetenschap, Innovatie en Technologie)
Er zijn nieuwe wetten in het parlement geïntroduceerd om de NHS en andere sectoren te helpen beschermen tegen de dreiging van cyberaanvallen.
De Cyber Security and Resilience Bill heeft tot doel de cyberverdediging van het Verenigd Koninkrijk te verbeteren en aanvallen te voorkomen die vergelijkbaar zijn met de Synnovis-ransomware-aanval van juni 2024, die de NHS-diensten in Londen verstoorde en bijdroeg aan de dood van een patiënt.
Ongeveer 1.000 dienstverleners zullen onder de reikwijdte van de maatregelen vallen, waardoor externe leveranciers hun cyberbeveiliging moeten versterken op gebieden zoals risicobeoordeling om de mogelijke impact van cyberaanvallen te minimaliseren en de gegevensbescherming en netwerkbeveiliging te verbeteren.
Liz Kendall, secretaris van wetenschap, innovatie en technologie, zei: “Cyberveiligheid is nationale veiligheid. Deze wetgeving zal ons in staat stellen degenen aan te pakken die onze manier van leven zouden kunnen verstoren. Ik stuur ze een duidelijke boodschap: Groot-Brittannië is geen gemakkelijk doelwit.
“We kennen allemaal de verstoring die dagelijkse cyberaanvallen veroorzaken. Onze nieuwe wetten zullen het Verenigd Koninkrijk veiliger maken tegen dergelijke bedreigingen.
“Dit betekent minder afspraken die door de NHS worden geannuleerd, minder verstoring van lokale diensten en bedrijven en een snellere nationale reactie wanneer zich bedreigingen voordoen.”
Het wetsvoorstel Cybersecurity en Weerbaarheid werd op 12 november 2025 bij de Tweede Kamer ingediend, nadat het voor het eerst was aangekondigd in de Koningsrede van juli 2024.
De plannen voor het wetsvoorstel, gepubliceerd in april 2025, omvatten voorstellen die van meer organisaties en leveranciers, waaronder datacenters, managed service providers en kritische leveranciers, zouden vereisen dat ze aan robuuste cyberbeveiligingsvereisten zouden voldoen.
Volgens het wetsvoorstel krijgen toezichthouders meer instrumenten om de cybersecurity en weerbaarheid op gereguleerde gebieden te verbeteren, waarbij organisaties verplicht zijn om meerdere incidenten binnen 24 uur te melden aan hun toezichthouder en het Nationaal Cyber Security Centrum (NCSC), met een volledige melding binnen 72 uur.
De Technology Secretary zal ook nieuwe bevoegdheden krijgen om toezichthouders en de organisaties waarop zij toezicht houden, zoals NHS-trusts, te instrueren om specifieke en proportionele maatregelen te nemen om cyberaanvallen te voorkomen waar er een bedreiging bestaat voor de nationale veiligheid van het Verenigd Koninkrijk.
Dit betekent onder meer dat u de monitoring moet versterken of systemen met een hoog risico moet isoleren om essentiële diensten te beschermen en te beveiligen.
In een reactie op de nieuwe wetgeving zei Jill Popelka, CEO van het Britse cyberbeveiligingsbedrijf Darktrace: “De afgelopen jaren hebben we gezien dat cyberaanvallers zich steeds vaker richten op toeleveringsketens en beheerde dienstverleners, waaronder vitale instellingen zoals de NHS en het ministerie van Defensie.
“Het is veelbelovend om te zien dat het wetsvoorstel de risico’s erkent die aanwezig zijn in het digitale ecosysteem. Het is ook positief om te zien dat de regering zich richt op het toekomstbestendig maken van de regelgeving voor cyberbeveiliging en het creëren van een sterkere rol voor het Cyber Assessment Framework van het NCSC.
“Deze veranderingen zullen organisaties helpen meer vertrouwen te krijgen in het adopteren van nieuwe technologieën, terwijl ze voorbereid blijven op de volgende evolutie van bedreigingen.”
Ondertussen neemt Synnovis, na een onderzoek naar de cyberaanval van vorig jaar, contact op met NHS-organisaties waarvan de gegevens zijn gestolen, inclusief patiëntnamen, NHS-nummers en testresultaten.
Cyberbeveiligingsexpert Saif Abed, oprichter van de AbedGraham Group, riep op tot een openbaar onderzoek naar de aanval en drong er bij NHS-leiders op aan om parlementsleden te schrijven met het verzoek om een onderzoek naar NHS-cyberbeveiliging en patiëntveiligheid.
