Horne beschrieb die Lage als dauerhaften Wettstreit statt als bloßes Risiko, das sich verwalten lasse. Wörtlich stellte er fest, im Cyberraum bereite man sich nicht auf die Konflikte von morgen vor, sondern führe sie in gewissem Maß schon heute. Künftige kinetische Angriffe würden auf Erkenntnissen beruhen, die heute durch Cyberoperationen gesammelt werden, sagte er weiter.
Als besonders besorgniserregend schilderte der NCSC-Chef das Anlegen von Ausgangspositionen in der Technologie, auf der die britische kritische nationale Infrastruktur basiert. Diese Präsenz könne eine rasche Ausnutzung ermöglichen, um in einem Konflikt massenhafte Störungen zu verursachen. Als deutlichstes Beispiel für diese Taktik nannte Horne Volt Typhoon, die mit dem chinesischen Staat verbundene Kampagne gegen US-Infrastruktur.
Einzelheiten zu den von ihm erwähnten Einbrüchen nannte Horne nicht. Gerade das ist bemerkenswert, weil britische Nachrichtendienste bei der Benennung solcher Vorfälle traditionell zurückhaltender auftreten als Washington. Dahinter steht laut dem Bericht auch die Sorge, eine öffentliche Bestätigung könnte den Tätern unbeabsichtigt helfen.
Seine Wortwahl markiert zugleich einen Bruch mit dem langjährigen Vokabular der eigenen Behörde. Das NCSC hat seine Empfehlungen über Jahre stark an Risikomanagement ausgerichtet. Im Cyber Assessment Framework steht das Ziel „Sicherheitsrisiken steuern“ im Mittelpunkt; weitere Leitfäden der Behörde behandeln Risikoanalyse, Risikobewertung und die Festlegung von Risikotoleranzen. Horne argumentierte nun, der Bereich dürfe nicht länger als Risiko verstanden werden, das man hinnehme und steuere, sondern als Auseinandersetzung, die geführt werden müsse.
Damit folgt das NCSC einer breiteren Entwicklung in westlichen Regierungen. Die NATO hatte den Cyberraum bereits in ihrem strategischen Konzept von 2022 als dauerhaft umkämpften Bereich beschrieben. Seither hätten Vertreter verbündeter Staaten diese Sicht wiederholt aufgegriffen. Auch führende Vertreter des US Cyber Command hätten ähnlich argumentiert und darauf hingewiesen, dass die fortlaufenden Angriffe unterhalb der Schwelle eines Krieges dennoch strategisch folgenschwere Wirkungen für westliche Staaten hätten.
Horne verband diese Einschätzung mit klaren Erwartungen an Betreiber und Führungskräfte. Auf die Frage, wann Investitionen in Cybersicherheit abgeschlossen seien, laute die Antwort: nie. Ebenso kritisierte er den Vergleich der eigenen Abwehr mit Branchenwettbewerbern als unzureichend. Entscheidend sei allein, wie sich Fähigkeiten und Leistung im Vergleich zum Gegner verhielten.
Zugleich verwies Horne auf den Einfluss von Künstlicher Intelligenz. Eine neue NCSC-Bewertung komme zu dem Schluss, dass es bis 2028 mit hoher Wahrscheinlichkeit sei, dass KI-Werkzeuge genutzt werden, um bekannte Schwachstellen in veralteter Technik innerhalb kritischer Infrastruktur auszunutzen. Die Behörde habe diese Sorge bereits in den vergangenen Monaten betont.
Die Neubewertung fällt in eine Phase regulatorischer und strategischer Änderungen in Großbritannien. Die Regierung treibt den Cyber Security and Resilience Bill durch das Parlament, der per Regulierung Verbesserungen bei Betreibern wesentlicher Dienste erzwingen soll. Außerdem plant sie einen neuen National Cyber Action Plan, der nach Informationen von Recorded Future News derzeit Anfang Juli veröffentlicht werden soll.