Ursprünglich war das Dokument als Fortschreibung der britischen National Cyber Strategy 2022 gedacht. Der damalige Chancellor of the Duchy of Lancaster, Pat McFadden, hatte es zunächst noch vor Ende 2025 angekündigt. Bis April 2026 verschob sich das Ziel laut Sicherheitsminister Dan Jarvis auf „diesen Sommer“, zugleich wurde aus der ursprünglich als „Strategie“ bezeichneten Initiative ein „Aktionsplan“.

Laut einem Regierungssprecher bleibt die Regierung dem Vorhaben verpflichtet. Zum bereits laufenden Cyberprogramm verwies er auf den Cyber Security and Resilience Bill, die nationale Cyber Resilience Pledge sowie die Unterstützung des National Cyber Security Centre für Organisationen im ganzen Land. Ungeachtet der Verschiebung des Aktionsplans soll am Dienstag eine Veranstaltung stattfinden, bei der eine Reihe von FTSE-350-Unternehmen die Cyber Resilience Pledge unterzeichnen.

Diese freiwillige Verpflichtung sieht vor, Cybersicherheit zur Aufgabe auf Vorstandsebene zu machen, dem Early-Warning-Dienst des NCSC beizutreten und Cyber-Essentials-Zertifizierungen in den Lieferketten zu verlangen. Regierungsmitglieder haben nach Angaben des Berichts an die Vorsitzenden und Vorstandschefs von Hunderten Firmen geschrieben, darunter alle FTSE-350-Unternehmen, und sie zur Teilnahme aufgefordert. Wie viele Unternehmen bei der Veranstaltung tatsächlich vertreten sein werden, ist allerdings unklar.

Der National Cyber Action Plan ist nicht das einzige Projekt mit Verzögerungen. Der Cyber Security and Resilience Bill, die Überarbeitung der britischen Cybersicherheitsgesetze für kritische Infrastrukturen, brauchte mehr als vier Jahre bis ins Parlament und soll nun erst 2028 in Kraft treten. Damit würde er ein Jahrzehnt nach den NIS Regulations wirksam, die er ersetzen soll. Die Kerninhalte des Gesetzes lagen laut Bericht bereits 2022 unter Rishi Sunak vor. Dessen Regierung bezeichnete die Regeln demnach fälschlich als bereits „aktualisiert“, nahm sie dann aber nicht in die King’s Speech auf, sodass der Entwurf letztlich nicht ins Parlament eingebracht wurde. Als Starmers Regierung das Vorhaben im September 2025 erneut aufgriff, wurde es im Zuge einer Kabinettsumbildung wieder verschoben.

Auch ein separates Paket von Ransomware-Vorschlägen kam nicht voran. Vorgesehen waren eine Meldepflicht für alle Betroffenen, ein Genehmigungsmodell für Erpressungszahlungen und ein Lösegeldverbot für Betreiber kritischer Infrastrukturen. Die Konsultation dazu sollte Mitte 2024 starten, wurde laut Bericht jedoch hinfällig, als Sunak Neuwahlen ausrief.

Wie stark reale Vorfälle die politische Debatte beeinflussen, zeigt der Bericht an mehreren Beispielen. Während des Wahlkampfs 2024 zwang ein Ransomware-Angriff der russlandnahen Gruppe Qilin auf den Pathologiedienstleister Synnovis Londoner Krankenhäuser dazu, einen kritischen Vorfall auszurufen und Operationen sowie Termine abzusagen. Trotz der politischen Brisanz behandelte keine der beiden großen Parteien den Angriff im Wahlkampf detailliert.

Im September 2025 stoppte ein Cyberangriff auf Jaguar Land Rover nach Angaben des Cyber Monitoring Centre die gesamte Fahrzeugproduktion für mehr als einen Monat. Das Zentrum bezeichnete den Vorfall als wirtschaftlich schädlichstes Cyberereignis, das das Vereinigte Königreich bislang getroffen habe. Die gemeinnützige Organisation bezifferte die Kosten für die britische Wirtschaft auf 1,9 Milliarden Pfund beziehungsweise 2,5 Milliarden Dollar und sprach von mehr als 5.000 betroffenen Organisationen in der Lieferkette von JLR. Das Unternehmen selbst meldete später einen Verlust von 680 Millionen Pfund beziehungsweise 896 Millionen Dollar. Die Regierung sicherte daraufhin einen Kredit über 1,5 Milliarden Pfund beziehungsweise 2 Milliarden Dollar ab, um JLR bei der Unterstützung seiner Zulieferer zu helfen.

Zum Inhalt des weiterhin unveröffentlichten Aktionsplans ist offiziell wenig bekannt. Nach Informationen von Recorded Future News soll er drei Säulen umfassen: Bedrohung, Wachstum und Resilienz. Einen wichtigen Hinweis auf die Stoßrichtung lieferte NCSC-Chef Richard Horne in einem Vortrag beim Royal United Services Institute im Juni, drei Wochen vor dem ursprünglich geplanten Start. Horne sprach von einer umfassenden Offensive über den „nahen, mittleren und fernen Raum“ des Cyberraums hinweg. Den nahen Raum beschrieb er als Verteidigung einzelner Organisationen, den fernen als offensive Maßnahmen gegen Gegner und den mittleren Raum als gemeinsame Cloud-, Technologie- und Telekommunikationsinfrastruktur, die sich überwiegend in privater Hand befinde.

In diesem Bereich, sagte Horne, wolle die Regierung mit Anbietern zusammenarbeiten, um den mittleren Raum zu härten und Aktivitäten von Angreifern zu stören. Zudem arbeite das NCSC an einer National Cyber Defense Capability, um Informationen und Maßnahmen im fernen, mittleren und nahen Raum in Echtzeit zusammenzuführen, in einer von ihm so genannten „agentischen KI-Welt“. Zwischen Juni 2024 und Mai 2026 bearbeitete das NCSC nach seinen Angaben mehr als 200 Vorfälle, die kritische nationale Infrastruktur und ihre Lieferkette betrafen; 75 Prozent davon standen im Zusammenhang mit staatlichen Akteuren.