Besonders folgenreich ist eine Auflage, die Forscher zwingen würde, ihre Tätigkeit in dem Moment einzustellen, in dem sie eine Schwachstelle entdecken. Damit könnten sie weder bestätigen, dass die Lücke real ist, noch ihren Schweregrad oder ihre Ausnutzbarkeit beurteilen. Branchenvertreter halten eine Meldung unter diesen Bedingungen für nahezu wertlos, da Systembetreiber üblicherweise einen Nachweis verlangen, dass eine Schwachstelle echt ist, bevor sie reagieren.
Akkreditierte Forscher müssten die Tests zudem persönlich durchführen und dürften niemanden damit beauftragen. Das widerspricht dem üblichen kommerziellen Modell, in dem erfahrene Fachleute jüngere Mitarbeiter oder automatisierte Werkzeuge anleiten.
Der Schutz soll außerdem auf britische Staatsbürger beschränkt bleiben, die eine Akkreditierung des UK Cyber Security Council besitzen – der einzigen Stelle, die Cybersicherheitsfachleuten einen vergleichbaren Status verleihen kann wie ihn etwa Wirtschaftsprüfer oder Ingenieure tragen. Nach Angaben von Regierungsvertretern halten derzeit nur rund 300 Personen eine solche Akkreditierung – etwa 0,4 Prozent der laut offiziellen Zahlen „fast 70.000 hochqualifizierten Beschäftigten" der Branche.
Von Recorded Future News befragte Experten kritisierten diese Anforderung scharf und bezeichneten sie als „Bezahlmodell", das Teilnehmer von Bug-Bounty-Programmen, akademische Forscher, Hobbyisten und Fachleute kleinerer Unternehmen ausschließen würde – Gruppen, die weltweit einen erheblichen Teil der Schwachstellenmeldungen ausmachen.
Die Quellen vermuten, die Reform diene vor allem dazu, die rechtliche Verwundbarkeit der Regierung selbst zu verringern. Sie verwiesen auf Gespräche, in denen die Regierung eingeräumt habe, der Computer Misuse Act schränke sowohl die Strafverfolgung als auch das National Cyber Security Centre (NCSC) ein. Ein NCSC-Sprecher erklärte, die Tätigkeiten der Behörde entsprächen dem Gesetz und unterlägen einem robusten Aufsichtsrahmen; wie viele eigene Mitarbeiter über den Status verfügen, wollte die Behörde nicht sagen.
Die Cyber-Politikberaterin und unabhängige Regierungsberaterin Jen Ellis lobte den Austausch mit der Sicherheitsgemeinschaft, warnte aber vor „einer Diskrepanz zwischen Erwartung und Realität". Forscher hätten auf eine „gesetzliche Schutzregelung oder einen rechtlichen sicheren Hafen" für gutgläubige Forschung gehofft; der Vorschlag sei jedoch „deutlich enger" und beschränke sich auf das Scannen nach bekannten Schwachstellen. An Berufsrollen oder Zertifikate geknüpfte Ausnahmen würden Forschung und Kompetenzaufbau „behindern", große Unternehmen bevorzugen und letztlich „die Person kriminalisieren, nicht die Handlung".
Übliche Praktiken der globalen Branche – etwa der Zugriff auf Angreiferinfrastruktur, um laufende Kampagnen zu verstehen – bleiben in Großbritannien strafbar. Die Regierung fürchtet, eine breite Schutzregelung könnte böswilligen Akteuren rechtliche Deckung verschaffen. Die Branche sieht britische Unternehmen dadurch im Nachteil gegenüber Wettbewerbern in Deutschland, Frankreich, den Niederlanden, Belgien und den USA, die unter weniger restriktiven Rahmen arbeiten – ohne dass dort Probleme bei der Verfolgung von Cyberkriminellen gemeldet würden. Manche britische Firmen verlagern sensible Forschungsarbeit bereits in Länder mit klareren Rechtsrahmen.
Forscher bemängelten zudem, dass die Pläne agentische KI-Werkzeuge nicht berücksichtigen, die zunehmend autonom zur Schwachstellensuche und für Sicherheitstests eingesetzt werden. Ob eine Tätigkeit, die ein KI-System statt eines Menschen ausführt, unter eine Regelung fällt, die persönliche Tests durch Akkreditierte verlangt, bleibt offen – ein Rechtsrahmen, der womöglich schon vor seinem Inkrafttreten veraltet ist.
Das Home Office erklärte, die Regierung erkenne die wichtige Rolle der Cybersicherheitsfachleute an; das National Security Bill solle die Förderung legitimer Forschung mit dem Schutz der nationalen Sicherheit in Einklang bringen, und man arbeite weiter mit der Branche an einer Verfeinerung des Vorschlags.
