Proyecto de ley sobre ciberseguridad y resiliencia

Propuesta de ley de ciberseguridad del Reino Unido para 2024

El 17 de julio de 2024, en la apertura del Parlamento se anunció que el gobierno laborista presentará el proyecto de ley de ciberseguridad y resiliencia (CS&R). ^[1] La legislación propuesta tiene por objeto actualizar el Reglamento de seguridad de la información y las redes de 2018, conocido como UK NIS. ^[2] El CS&R reforzará las ciberdefensas y la resiliencia del Reino Unido ante ataques hostiles, garantizando así que la infraestructura y los servicios críticos de los que dependen las empresas del Reino Unido estén protegidos al abordar las vulnerabilidades , al tiempo que se garantiza que la economía digital pueda generar crecimiento . ^[3]

La legislación ampliará el alcance de las regulaciones existentes y dará a los reguladores una posición más sólida, además de aumentar los requisitos de presentación de informes que se imponen a las empresas para ayudar a construir una mejor imagen de las amenazas cibernéticas. ^[4] Su objetivo es fortalecer las defensas cibernéticas del Reino Unido, asegurando que la infraestructura crítica y los servicios digitales de los que dependen las empresas sean seguros. ^[5] El proyecto de ley se extenderá y aplicará en todo el Reino Unido. ^[3]

Las nuevas leyes forman parte del compromiso del Gobierno de mejorar y fortalecer las medidas de ciberseguridad del Reino Unido y proteger la economía digital. ^[6] CS&R introducirá un marco regulatorio integral diseñado para hacer cumplir estrictas medidas de ciberseguridad en varios sectores. Este marco incluirá el cumplimiento obligatorio de las normas y prácticas de ciberseguridad establecidas para garantizar que se implementen las medidas esenciales de ciberseguridad. En última instancia, las empresas deberán demostrar su adhesión a estas normas mediante auditorías e informes periódicos. ^[7] También se incluyen en la legislación posibles mecanismos de recuperación de costos para proporcionar recursos a los reguladores y otorgar poderes para investigar de manera proactiva las posibles vulnerabilidades. ^[8]

Datos clave

Los hechos clave del Discurso del Rey son: ^[3]

i ) Las actuales regulaciones de ciberseguridad del NIS del Reino Unido desempeñan un papel esencial en la protección de la infraestructura nacional crítica del Reino Unido al imponer deberes de seguridad a la industria involucrada en la prestación de servicios esenciales. ^[9] Estas regulaciones cubren los cinco sectores de transporte, energía, agua potable , salud e infraestructura digital, así como algunos servicios digitales, incluidos mercados en línea , motores de búsqueda en línea y servicios de computación en la nube. 12 reguladores son responsables de implementar las regulaciones actuales.

ii) Los ciberdelincuentes hostiles están atacando cada vez más sectores críticos y cadenas de suministro del Reino Unido. Los recientes ataques graves y de alto perfil que afectaron a los hospitales de Londres y al Ministerio de Defensa , así como los ataques de ransomware a la Biblioteca Británica y Royal Mail , han puesto de relieve que los servicios e instituciones del Reino Unido son vulnerables a los ataques.

iii) Los efectos de un ciberataque en estos sectores plantean graves riesgos para los ciudadanos del Reino Unido, los servicios básicos y la economía en general. Por ejemplo, como resultado del ataque de ransomware que afectó al NHS en Inglaterra en junio [2024], se pospusieron 3.396 citas ambulatorias y 1.255 procedimientos electivos en el King's College Hospital , Guy's Hospital y St Thomas' Hospital , todos en el sur de Londres. Se ha estimado que el costo del cibercrimen en el Reino Unido en 2023 fue de 320 mil millones de dólares, cerca de 225 mil millones de libras esterlinas. ^[10]

iv) El Centro Nacional de Seguridad Cibernética (NCSC) considera que la creciente amenaza de los estados hostiles y de los actores patrocinados por los estados sigue aumentando. En un discurso reciente en CyberUK, la directora ejecutiva del NCSC , Felicity Oswald, advirtió que los proveedores de servicios esenciales en el Reino Unido no pueden permitirse el lujo de ignorar estas amenazas. ^[11]

v) Dos revisiones posteriores a la implementación de la normativa NIS del Reino Unido concluyeron que las regulaciones originales están teniendo un impacto positivo, pero que el progreso no ha sido lo suficientemente rápido. ^[12] En 2022, la revisión concluyó que "son un marco vital para aumentar la resiliencia del Reino Unido frente a las amenazas a la seguridad de las redes y los sistemas de información", pero se requieren actualizaciones para seguir el ritmo de las amenazas crecientes. Un poco más de la mitad de los operadores de servicios esenciales han actualizado o fortalecido las políticas y los procesos existentes desde la creación de las Regulaciones NIS del Reino Unido en 2018, que se introdujeron después de la Directiva NIS 2016/1148 de la UE . ^{[2] [13]}

Consecuencias

Se establecerían servicios de verificación digital que incluirían “ productos de identidad digital para ayudar al público a compartir de forma rápida y segura información clave sobre sí mismo mientras utiliza servicios en línea en su vida cotidiana”. ^[4]

Se crearía un Registro Nacional de Activos Subterráneos que permitiría a "los planificadores y excavadores tener acceso instantáneo y estandarizado a los datos sobre tuberías y cables en todo el país". ^[4]

El proyecto de ley permitirá la creación de sistemas de datos inteligentes, "que permitirían compartir de forma segura los datos de los clientes, a petición de estos, con proveedores de servicios externos autorizados". ^[4]

Se introducirá la notificación obligatoria de ransomware para que las autoridades puedan comprender mejor la amenaza y "alertarnos sobre posibles ataques ampliando el tipo y la naturaleza de los incidentes que las entidades reguladas deben informar". ^{[6] [14]} Si bien es probable que esta recopilación de información aumente la resiliencia a los ataques, la carga administrativa para las empresas derivada de esta notificación bien podría traer consigo costos adicionales, además del gasto del incidente cibernético original. ^[6]

Como las prácticas comerciales modernas están interconectadas, las organizaciones deben asegurarse de que sus socios y proveedores también cumplan con los estándares establecidos por la CS&R. ^[6]

En la UE, la Directiva original sobre seguridad de las redes y de la información (Directiva NIS 2016/1148) se está actualizando a la Directiva 2022/2555, conocida como EU NIS 2. ^{[15] [16]} La EU NIS 2 introduce cambios de gran alcance en las leyes de ciberseguridad existentes de la UE para redes y sistemas de información. ^[15] La CS&R debería llevar las regulaciones NIS existentes del Reino Unido de 2018 a un marco similar al de la UE. ^{[15] [17]}

El proyecto de ley aún no contiene información sobre los castigos por incumplimiento ni sobre las exigencias que los reguladores de datos deberán cumplir las organizaciones que hayan sufrido un incidente de ciberseguridad. ^[18]

Reacción

Jon Ellison, director de Resiliencia Nacional del NCSC, dijo que el proyecto de ley propuesto era "un momento histórico para abordar la creciente amenaza a los sistemas críticos del Reino Unido". ^[19] Continuó diciendo que será "un paso crucial hacia un régimen regulatorio más integral, adecuado para nuestro mundo volátil". ^[19]

El exdirector del NCSC Ciaran Martin y otros expertos acogieron favorablemente la propuesta legislativa. En las redes sociales, escribió que la legislación propuesta parecía sensata y que los requisitos de presentación de informes obligatorios eran pasos importantes y positivos. ^[20]

Matt Hull, representante de la campaña CyberUp, dijo que la organización espera que el Gobierno actualice la ciberresiliencia del Reino Unido y, en particular, la Ley de Uso Indebido de Computadoras de 1990. Cualquier actualización de esta ley ayudaría a los profesionales cibernéticos a proteger el Reino Unido, salvaguardar la economía digital y liberar el crecimiento potencial dentro de la industria de la ciberseguridad. ^[20]

Cronograma

El proyecto de ley pasará por siete etapas del proceso legislativo que tiene lugar en ambas cámaras del parlamento del Reino Unido: primera lectura, segunda lectura, etapa de comité, etapa de informe, tercera lectura, cámara opuesta y sanción real.

1. Se anuncia el proyecto de ley del 17 de julio.
2. Etapa: Examen Prelegislativo (actual).
3. Etapa: Primera lectura – aún pendiente de presentación.

Véase también

• Ley de Ciberresiliencia : Reglamento de la UE para mejorar la ciberseguridad y la ciberresiliencia.
• RGPD - Reglamento General de Protección de Datos.
• Malware : algunos ejemplos incluyen virus informáticos , spyware y adware .

Referencias

1. Seddon, P. (15 de julio de 2024). «Puntos clave del discurso del rey de un vistazo». BBC News . Consultado el 30 de julio de 2024 .
2. "Discurso del Rey: nuevas leyes de ciberresiliencia previstas en el Reino Unido". Pinsent Masons. 17 de julio de 2024. Consultado el 5 de agosto de 2024 .
3. "El discurso del Rey 2024" (PDF) . UK GOV. p. 94 . Consultado el 30 de julio de 2024 .
4. Griffin, A. (17 de julio de 2024). «El Partido Laborista anuncia una serie de nuevas normas tecnológicas, pero no revela el muy publicitado 'proyecto de ley de inteligencia artificial'». Independent . Consultado el 30 de julio de 2024 .
5. Patefield, D.; Broom, J.; Collings, A.; Tsolova, R.; Modha, T. (19 de julio de 2024). "El Gobierno anuncia un nuevo proyecto de ley para fortalecer la ciberseguridad y la resiliencia del Reino Unido". techUK . Consultado el 30 de julio de 2024 .
6. "Proyecto de ley sobre ciberseguridad y resiliencia: lo que las empresas y las aseguradoras deben saber". CMS Legal. 18 de julio de 2024. Consultado el 30 de julio de 2024 .
7. "Lo que las empresas deben saber sobre el proyecto de ley de ciberseguridad y resiliencia". ITN . 22 de julio de 2024 . Consultado el 30 de julio de 2024 .
8. "Reino Unido se dispone a presentar el proyecto de ley de ciberseguridad y resiliencia para impulsar las ciberdefensas nacionales y proteger las infraestructuras críticas". Ciberseguridad industrial. 19 de julio de 2024. Consultado el 30 de julio de 2024 .
9. "Reglamento sobre redes y sistemas de información de 2018". Corona . 10 de mayo de 2024 . Consultado el 4 de agosto de 2024 .
10. "Costo anual de los delitos cibernéticos en el Reino Unido 2017-2028". Ani Petrosyan. 1 de diciembre de 2023. Consultado el 7 de agosto de 2024 .
11. "CYBERUK 2024: discurso inaugural de Felicity Oswald". Centro Nacional de Seguridad Cibernética . Mayo de 2024. Consultado el 15 de agosto de 2024 .
12. "Segunda revisión posterior a la implementación del Reglamento sobre redes y sistemas de información de 2018". Corona . 27 de julio de 2022 . Consultado el 15 de agosto de 2024 .
13. «Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo». Corona . 6 de julio de 2016 . Consultado el 22 de agosto de 2024 .
14. Muncaster, P. (18 de julio de 2024). "El Gobierno del Reino Unido se dispone a presentar un nuevo proyecto de ley sobre ciberseguridad y resiliencia". Reed Exhibitions . Consultado el 5 de agosto de 2024 .
15. Belcheva, R. (23 de julio de 2024). "Nuevo proyecto de ley de ciberseguridad y resiliencia anunciado en el discurso del Rey". The Lens . Consultado el 13 de agosto de 2024 .
16. "La Directiva NIS 2". Riesgo cibernético. 2022. Consultado el 13 de agosto de 2024 .
17. Poireault, K. (12 de agosto de 2024). "Navegando por las discrepancias regulatorias: NIS 2 de la UE frente al proyecto de ley de ciberseguridad y resiliencia del Reino Unido". RELX . Consultado el 26 de septiembre de 2024 .
18. Jones, C. (30 de julio de 2024). "El proyecto de ley de ciberseguridad del Reino Unido renovado no podía llegar lo suficientemente pronto, pero los detalles son irregulares". The Register . Consultado el 4 de agosto de 2024 .
19. Say, M. (25 de julio de 2024). "NCSC destaca la importancia del proyecto de ley sobre ciberseguridad". Informed Communications Ltd. Consultado el 29 de agosto de 2024 .
20. Akshaya, A. (17 de julio de 2024). "El Partido Laborista del Reino Unido presenta un proyecto de ley sobre ciberseguridad y resiliencia". Information Security Media Group . Consultado el 16 de agosto de 2024 .

Enlaces externos

• Informe de investigación sobre ciberseguridad en el Reino Unido - Biblioteca de la Cámara de los Comunes