As I sit in the lounge at Munich Airport, waiting on yet another delayed flight, I thought I might put some of my thoughts, concerns, waffling wonderings, call them what you will, into an ever so slightly cohesive piece for you to read. I have spent the majority of my career in Cyber Security focused around email and data security in the UK and the EU, so my words do come with some experience attached.

Email remains the single most-used communications channel in business and the single biggest vector for compromise. Yet in many UK organisations it’s treated like a nuisance rather than the crown jewel of data-security defence. Meanwhile Germany, Austria and Switzerland (DACH) show a stronger combination of policy, identity infrastructure and practical deployment (e-ID, qualified signing, national guidance and mail authentication) that makes their email ecosystems measurably more resilient.

Below I have set out some of the facts to examine the cultural and structural reasons for the gap, and end with practical steps UK organisations and policy makers could take.

Short, painful facts (recent and verifiable)

• Breaches remain widespread in the UK. The UK Government’s Cyber Security Breaches Survey 2025 found 43% of businesses and 30% of charities reported a cyber security breach or attack in the last 12 months (the survey window published May 2025).
• Phishing and email-related incidents dominate. UK reporting and commentary around the 2024–25 data consistently show phishing as the most common incident type and a leading factor in data theft and ransomware entry. The NCSC’s 2024 review noted increasing numbers and sophistication of incidents, including many involving data exfiltration.
• Europe’s threat landscape is worsening but attention varies. ENISA’s Threat Landscape 2024 confirms ransomware, social engineering (phishing) and data threats are among the prime risks — the very threats that strong email hygiene, authentication and encryption mitigate.

(Those three reports — GOV.UK, NCSC, ENISA — form the backbone for what follows.)

Where DACH is ahead: concrete patterns, not mysticism

1. National digital identity and e-ID coverage (Austria G Switzerland)

• Austria has heavily invested in state-backed eID and mobile identity, achieving high public uptake and integrating it into digital government services, this creates a native user base for secure, signed, and authenticated communications. Austria’s national roadmaps (Digital Austria / Digital Decade materials, 2024–2025) show widespread eID availability and e-government services that include secure digital post and signing.
  • Switzerland’s ecosystem around qualified electronic signatures (ǪES) and SwissSign provides legal certainty for signing and document workflows; Swiss law treats a ǪES as equivalent to a handwritten signature, which increases business uptake for signed communications.

2. Focused national guidance and standards for email authentication (Germany)

• Germany’s BSI (federal security office) has published specific email authentication guidance (e.g., promoting SPF/DKIM/DMARC adoption and TR-03182 technical guidance), and public administrations have obligations around secure mail and trusted services (historical De-Mail efforts remain a reference point). That specificity – technical prescriptions plus an engaged regulator — nudges public and private bodies toward stronger email practices.

3. Commercial and legal ecosystems that incentivise adoption

• Switzerland and some German-language markets have strong trust- service provider ecosystems (qualified certificates, ǪES, national trust lists). Where signatures and identity carry clear legal weight, businesses integrate signing C encryption into workflows because it solves commercial problems (contracts, regulated disclosures) rather than being a mere “security checkbox.”

So why is the UK comparatively behind on email security?

There’s no single cause — it’s a mix of technical, commercial, legal and cultural reasons

1. Fragmented market G incentives

UK businesses often prioritize productivity and convenience over the friction introduced by end-to-end email encryption or mandatory signing. There’s no widely adopted UK eID or signature ecosystem that makes strong email encryption as frictionless as, say, logging into a government portal with a national ID. That means uptake is voluntary and often low. (Contrast: Austria’s high eID penetration and Switzerland’s ǪES market.)

2. Focus on perimeter/cloud controls, not data-centric controls

A lot of UK security investment goes into cloud email filtering, gateway DLP, and endpoint detection, all valuable, but those measures protect in transit and at the edges rather than ensuring end-to-end confidentiality or cryptographic provenance. If you treat email like “just another web service”, you miss identity and signing features that stop BEC (Business Email Compromise) or prove non-repudiation.

3. Usability G certificate friction

S/MIME and PGP both introduce key/certificate management headaches. Historically, free or easy certificate issuance for S/MIME was inconsistent; commercial certificates cost money and need lifecycle management. Without centralised, user-friendly issuance (e.g., integrated with a government eID), organisations shy away. The S/MIME market evolution (and the shrinking availability of free S/MIME providers) has made adoption harder for SMEs.

4. Legal and procurement inertia

EU member states have benefitted from EIDAS and coordinated e-ID efforts; many D-A- CH public bodies and private sectors aligned procurement to trust services. The UK’s post-Brexit regulatory landscape reoriented priorities and left gaps in cross-border trust service alignment — meaning fewer policy nudges toward mandatory email signing/encryption in regulated sectors.

5. Awareness and measurement

It’s easier to measure “phishing removed by gateway” than to measure “how many emails were cryptographically signed.” UK reporting emphasises breach numbers, but less often measures email-signing/encryption adoption rates. Without KPIs,

organisational leaders lack the urgency and business case to fund widespread PKI/S/MIME rollouts.

Evidence the problem matters (numbers recap)

• 43% of UK businesses and 30% of charities reported breaches in the last 12 months (Cyber Security Breaches Survey 2025). That’s hundreds of thousands of organisations affected.
  • ENISA and NCSC both flag phishing, social engineering and data exfiltration as first-order threats — the exact threats that end-to-end signing, stricter authentication (SPF/DKIM/DMARC) and broader encryption mitigate.

Practical steps the UK (organisations + government) could adopt — fast wins G structural reforms

For organisations (SME to enterprise)

1. Mandate SPF/DKIM/DMARC with strict reporting — this should be baseline for all domains (many German public bodies have been acted on guidance). BSI guidance is a useful technical model.
2. Deploy organisation-wide S/MIME for internal mail and high-risk external partners — use an internal CA or an enterprise CA that integrates with AD/Azure AD to remove user key headaches. (Make cert issuance automatic during onboarding.)
3. Adopt authenticated e-mail for legal workflows — where signatures matter, require a ǪES or equivalent via an accredited provider (or use secure digital signing services).
4. Measurement G KPIs — track percent of messages signed, encrypted, and percent of domains with DMARC reject/quarantine. If you can’t measure it, you can’t budget it.

For policy makers G regulators

1. State-backed trust services or easy eID integration — find a low-friction national eID path for businesses (Austria provides a useful example of high eID coverage). That lowers cost/friction of certificates and signatures.
2. Regulatory nudges in regulated sectors — require signed/encrypted emails for regulated data exchanges (health, legal, defence subcontractors), or at least require PKI adoption plans in supplier contracts.
3. Public guidance G toolkits — publish straightforward step-by-step guides that mirror BSI’s TR-style email authentication guidance; the UK could borrow the technical clarity Germany’s BSI has produced to drive faster adoption.

A realist’s prognosis — why change is possible (and why it’s hard)

• Possible: The technical tools exist (SPF/DKIM/DMARC, S/MIME, ǪES, eID) and ENISA + NCSC make clear why they matter. The missing link is integrated identity and policy incentives. Countries that combine both (e.g., Austria, Switzerland for eID/ǪES; Germany for clear technical guidance) get wider, faster adoption.
  • Hard: Change requires up-front investment, cross-industry coordination, and solving UX problems (certificate lifecycle, key recovery). Expect resistance where convenience, procurement cycles, and short security budgets prevail.

Conclusion — the question posed, answered bluntly

Why is the UK falling behind? Because unlike Austria and Switzerland (which married strong eID/ǪES ecosystems to public services) and Germany (which paired clear technical guidance with public procurement and standards), the UK has an incentive and coordination gap: fragmented identity tooling, emphasis on perimeter/cloud controls rather than data-centric cryptographic protections, and insufficient regulatory nudges focused specifically on email signing/encryption.

That’s fixable, but it requires shifting from incidental security (email as something to scan) to intrinsic security (email that proves who sent it and protects sensitive content end-to-end). The data (2024–25) show the cost of continuing as we are: high breach rates, continuing phishing success, and growing regulatory/financial exposure. If the UK wants parity with DACH, the route is clear: national identity + legal trust frameworks + technical mandates + friction-free certificate issuance.

This piece has been researched and written by Simon Cuthbert. With over 30+ years in the Cyber Security industry, Simon is a subject matter expert in email and data security and the issues/challenges that organisations and their suppliers face.

All opinions are that of the individual.