Von den 70 zum Start genannten Unterzeichnern der Cyber Resilience Pledge entfielen 20 auf strategische Lieferanten der Regierung. Diese Unternehmen waren über eine separate Government Cyber Charter zur Unterzeichnung eingeladen worden, die Verpflichtungen für Firmen regelt, die dem Staat kritische Dienste liefern. Falls für diese strategischen Lieferanten Beschaffungsfolgen im Raum stehen sollten, blieben nach der Rechnung des Berichts nur 50 tatsächlich freiwillige Unterzeichner aus der übrigen Wirtschaft.

Das Department for Science, Innovation and Technology beantwortete Fragen von Recorded Future News nicht. Offen blieb damit sowohl, ob die Unterzeichnung für strategische Lieferanten Auswirkungen auf die Beschaffung hat, als auch, ob das Ministerium die Beteiligung aus dem FTSE 350 als starke Reaktion auf das ministerielle Schreiben wertet.

Zu den Unterzeichnern gehören größere Unternehmen wie Aviva, London Stock Exchange Group und Marks & Spencer. Letzteres Unternehmen hatte im vergangenen Jahr infolge eines Cyberangriffs Hunderte Millionen Pfund verloren. Ebenfalls dabei sind kleinere Cybersecurity-Beratungen wie C3IA Solutions, Grey Zone Services und Nexor, für die die Selbstverpflichtung laut Bericht eng zu ihren eigenen kommerziellen Angeboten passt.

Die Regierung verlangt mit der Initiative drei konkrete Maßnahmen: Cybersicherheit soll auf Vorstandsebene verankert werden, Unternehmen sollen sich für den kostenlosen Early-Warning-Dienst des National Cyber Security Centre registrieren und in ihren Lieferketten risikobasiert eine Cyber-Essentials-Zertifizierung verlangen. Diese Punkte bleiben ausdrücklich freiwillig, und ein Instrument zur Durchsetzung gibt es nicht.

Der Start der Initiative fällt in eine Phase, in der die Regierung grundsätzlich stärker daraufhin beobachtet wird, ob sie die Wirtschaft zu Maßnahmen im Bereich Cybersicherheit verpflichten will. Zuvor hatte sich auch das NCSC darüber beklagt, dass Organisationen seine Leitlinien und Empfehlungen nicht befolgen.

Die Regierung erklärte, angesichts einer sich weiterentwickelnden Bedrohungslage und möglicher neuer komplexer Cyberbedrohungen werde sie die Eignung der Selbstverpflichtung weiter überprüfen und die Maßnahmen möglicherweise nach einem Zyklus von zwölf Monaten anpassen.

Jamie MacColl, Senior Research Fellow beim Royal United Services Institute, bezeichnete die Zahl der Unterzeichner als niedrig. Er sagte, er wäre „relativ überrascht, wenn die meisten FTSE-350-Unternehmen nicht bereits einen gleichwertigen Standard erfüllen“. Zugleich stellte er die Frage, warum diese Unternehmen Cyber Essentials durchlaufen sollten, wenn sie in vielen Fällen bereits über Zertifizierungen mit deutlich mehr Kontrollen verfügten.

Nach Angaben der Regierung liegen die durchschnittlichen Kosten eines erheblichen Cyberangriffs für ein einzelnes britisches Unternehmen inzwischen bei fast 195.000 Pfund, während sich die jährlichen Kosten für Organisationen auf 14,7 Milliarden Pfund belaufen sollen, breitere Störungen der Gesamtwirtschaft nicht eingerechnet. Diese Zahl stammt aus Untersuchungen zu einer separaten Maßnahme, dem Cyber Security and Resilience Bill. Der Gesetzentwurf wird noch im Parlament beraten und soll voraussichtlich erst 2028 durchgesetzt werden.

MacColl sieht in der Initiative ein bekanntes Muster britischer Cyberpolitik: erst Konsultation, Forschung, Verhaltenskodex oder freiwillige Selbstverpflichtung, dann Regulierung. Wenn sich nicht genügend Organisationen oder Anbieter solchen Programmen anschlössen, könne das der Regierung ein Argument liefern, dass Regulierung notwendig sei.