Il Cyber Security and Resilience Bill (CSRB), relativo alle reti e ai sistemi informativi, è stato presentato al Parlamento il 12 novembre 2025 e ha superato la seconda lettura il 6 gennaio 2026. Il disegno di legge interviene sul Regolamento del 2018 in materia di sicurezza delle reti e dei sistemi informativi (NIS), introducendo misure specifiche per rafforzare la prevenzione e la risposta nazionale agli attacchi informatici.
La revisione annuale 2025 del National Cyber Security Centre (NCSC) ha rilevato, per il terzo anno consecutivo, un aumento del 50% degli incidenti informatici più gravi.
Il disegno di legge estende il proprio ambito ai fornitori di servizi gestiti, ai data center e ai soggetti responsabili della gestione di grandi carichi. Rafforza inoltre gli strumenti di applicazione, potenziando gli obblighi di segnalazione degli incidenti, le notifiche ai clienti e i poteri di controllo, e prevede sanzioni più severe in caso di mancata conformità.
Le imprese dovrebbero monitorare attentamente l’iter del disegno di legge e verificare se rientrano nel nuovo perimetro di applicazione. Per prepararsi alla conformità, è consigliabile aggiornare i piani di risposta agli incidenti e valutare i rischi di sicurezza informatica legati alla catena di fornitura.
La Commissione per i Progetti di Legge Pubblici ha invitato a presentare osservazioni sul disegno di legge. La commissione lo esaminerà il 3 febbraio 2026 e presenterà la relazione finale il 5 marzo 2026. Nel frattempo, il governo sta conducendo consultazioni sulle modalità di attuazione, le cui risposte saranno valutate prima di presentare al Parlamento la normativa secondaria.
Il disegno di legge dovrebbe entrare in vigore nel 2026, con un’attuazione graduale mediante normativa secondaria. Le aziende si preparano a un anno impegnativo per la sicurezza informatica, con l’approvazione definitiva del CSRB prevista per la seconda metà dell’anno, in base ai tempi parlamentari.
Le organizzazioni attive anche nell’UE dovrebbero monitorare i negoziati di trilogo sul pacchetto Digital Omnibus, che mira a semplificare gli obblighi di segnalazione degli incidenti previsti da diversi atti legislativi europei, tra cui il GDPR, NIS 2 e DORA.
Il National Cyber Security Centre (NCSC) ha pubblicato una guida per aiutare le aziende a gestire il rischio informatico, promuovendo l’adozione di Cyber Essentials lungo tutta la catena di fornitura. Il manuale invita le organizzazioni a rafforzare il controllo sui fornitori, alla luce di recenti incidenti che hanno evidenziato le vulnerabilità della catena di fornitura e le possibili conseguenze economiche e reputazionali.
Il documento indica le principali azioni da intraprendere:
1. Valutare la conformità della catena di fornitura tramite lo strumento IASME Supplier Check;
2. Stabilire se la catena di fornitura o alcuni fornitori necessitino della certificazione Cyber Essentials come livello minimo di sicurezza;
3. Individuare il metodo più efficace per integrare Cyber Essentials nella catena di fornitura.
Queste iniziative supportano gli sforzi del governo per rafforzare la sicurezza informatica nel Regno Unito in vista del nuovo disegno di legge. Le aziende possono inoltre adottare i principi del Cyber Assessment Framework e del Cyber Governance Code of Practice, strumenti pensati per aiutare consiglieri e dirigenti nella gestione dei rischi informatici.
Il governo ha pubblicato il Cyber Action Plan, che definisce le linee guida per rafforzare la sicurezza informatica e la resilienza dei servizi pubblici. Annunciato insieme alla seconda lettura del disegno di legge, il piano mira a uniformare gli standard tra il governo e il settore pubblico, aumentare la visibilità dei rischi informatici, affrontare le minacce più complesse e migliorare la risposta agli incidenti.
Con un investimento di 210 milioni di sterline, il piano sarà attuato in tre fasi e prevede misure per aiutare le organizzazioni a rafforzare le proprie difese, come l’adozione di standard minimi e l’investimento in piattaforme, servizi e infrastrutture intergovernative per gestire i rischi critici.
Le aziende che forniscono servizi al governo devono monitorare l’implementazione del piano e assicurarsi che le pratiche di sicurezza del software siano conformi al Codice di condotta per la sicurezza del software.
A supporto di questo quadro, il governo lancerà il programma Software Security Ambassador Scheme, volto a prevenire attacchi e interruzioni nella catena di fornitura del software.