De Britse overheid werkt aan een hervorming van de Computer Misuse Act uit 1990, maar experts waarschuwen dat de voorgestelde wijzigingen nauwelijks bescherming bieden aan cybersecurityonderzoekers. Hoewel het plan een wettelijke verdediging wil invoeren om onderzoekers te beschermen tegen vervolging, zijn de voorwaarden zo strikt dat de meeste beveiligingsprofessionals weinig voordeel zullen hebben.

De plannen, aangekondigd in de King’s Speech, richten zich alleen op gevallen waarin onderzoekers internetgerichte systemen scannen. Scannen is slechts een klein onderdeel van cyberverdedigingsactiviteiten en wordt al op grote schaal uitgevoerd door commerciële platforms zoals Shodan en Censys, vaak buiten Britse jurisdictie. Onderzoekers moeten hun activiteiten onmiddellijk staken zodra ze een kwetsbaarheid ontdekken, waardoor ze niet kunnen bevestigen of de kwetsbaarheid daadwerkelijk bestaat, hoe ernstig die is of of deze exploiteerbaar is. Dit maakt het vrijwel onmogelijk om waardevolle kwetsbaarheidsrapportages te leveren, omdat systeembeheerders doorgaans bewijs nodig hebben voordat zij actie ondernemen.

Daarnaast moeten geaccrediteerde onderzoekers zelf de tests uitvoeren en mogen zij deze niet uitbesteden, wat afwijkt van de gangbare praktijk waarbij senior professionals junior medewerkers of geautomatiseerde tools aansturen. De wettelijke verdediging is bovendien beperkt tot Britse staatsburgers die een accreditatie bezitten van de UK Cyber Security Council, de enige instantie die een chartered status verleent aan cybersecurityprofessionals, vergelijkbaar met accountants of ingenieurs. Volgens officiële overheidsgegevens hebben momenteel slechts ongeveer 300 mensen deze accreditatie, wat neerkomt op circa 0,4% van de bijna 70.000 hoogopgeleide professionals in de sector.

Experts noemen het accreditatievereiste een 'pay to play'-model dat veel kwetsbaarheidszoekers, academische onderzoekers, hobbyisten en professionals bij kleinere bedrijven uitsluit, terwijl deze groepen wereldwijd een groot deel van de kwetsbaarheidsmeldingen voor hun rekening nemen. Bronnen die op de hoogte zijn van de plannen stellen dat de hervormingen vooral gericht lijken op het beperken van de juridische risico's voor de overheid zelf, in plaats van op het verbeteren van de situatie voor de sector. Zo erkent de overheid dat de huidige wetgeving ook de werkzaamheden van opsporingsdiensten en het National Cyber Security Centre (NCSC) beperkt. Een woordvoerder van het NCSC benadrukte dat de activiteiten van de organisatie voldoen aan de wet en onder een streng toezichtkader vallen, maar wilde niet zeggen hoeveel medewerkers een chartered status hebben.