La ley de 2018 estableció la obligación para determinadas organizaciones de informar incidentes cibernéticos a los reguladores, pero los criterios eran insuficientes, ya que se limitaban a incidentes que interrumpieran servicios esenciales. El nuevo proyecto de ley propone ampliar estos umbrales para incluir cualquier incidente que tenga un impacto significativo en la confidencialidad, disponibilidad e integridad de los sistemas, alineándose con la reciente actualización de la NIS2.
En concreto, la nueva legislación impondrá que cualquier incidente que comprometa datos, ataques de spyware o afecte la integridad de sistemas sea reportado. Las entidades reguladas deberán notificar a su regulador correspondiente y al Centro Nacional de Seguridad Cibernética (NCSC) en un plazo de 24 horas, seguido de un informe completo en 72 horas.
Además, hay un enfoque renovado hacia cómo el Reino Unido responde a los ataques de ransomware, con propuestas para prohibir pagos de extorsión por parte del sector público y exigir que las víctimas reporten incidentes al gobierno. También se ampliará el número de entidades cubiertas por la regulación, incluyendo proveedores de servicios digital y servicios basados en la nube que son esenciales para las cadenas de suministro.
Adicionalmente, la nueva ley reconocerá los centros de datos como infraestructura nacional crítica, lo que permitirá al gobierno ofrecer mayor apoyo en caso de incidentes. Por otra parte, se establecerán deberes más sólidos para la cadena de suministro de entidades reguladas, inspirándose en experiencias del sector financiero que ya introdujo estándares de ciberseguridad en sus requisitos contractuales.
El gobierno ha indicado que, aunque estas medidas podrían incrementar los costos para algunos proveedores, se busca consolidar a estos como socios fiables en el ámbito de la ciberseguridad. También se introducirá un nuevo poder para que los reguladores identifiquen «proveedores específicos de alto impacto», que deberán cumplir estándares de seguridad robustos, al igual que las entidades de infraestructura nacional crítica.
Para favorecer el cumplimiento de la ley, los reguladores recibirán nuevas facultades y mecanismos para recuperar costos. Además, la normativa permitirá al Secretario de Estado actualizar las regulaciones sin necesitar un nuevo acto del Parlamento, lo que facilitaría la adaptación a cambios en el entorno cibernético. También se propone que el Secretario tenga el poder de instruir a las entidades reguladas a actuar ante amenazas cibernéticas que puedan comprometer la seguridad nacional.
Actualmente, no existen mecanismos que permitan al gobierno emitir directrices a estas entidades en situaciones críticas. Sin embargo, la nueva normativa fomentará que se puedan emitir tales instrucciones, con la condición de que se informe al Parlamento, salvo que esto presente riesgos para la seguridad nacional.
Se espera que el gobierno presente oficialmente la legislación al Parlamento este año, donde se someterá a debates y enmiendas. La iniciativa representa un paso crucial para fortalecer la seguridad cibernética en el Reino Unido, considerando el panorama de amenazas tecnológicas y la necesidad de proteger la infraestructura esencial del país.
Enlace de la fuente, haz clic para tener más información