Qué significa el Proyecto de Ley de Ciberseguridad y Resiliencia para las Infraestructuras Críticas

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Por Phil Muncaster • 3 December 2025

Ha tardado mucho en llegar. Después de haber sido rastreado tan atrás como el Discurso del Rey en 2024, el Proyecto de ley sobre ciberseguridad y resiliencia (CSRB) finalmente se ha presentado al parlamento. En los aproximadamente 20 meses transcurridos desde entonces, la infraestructura nacional crítica (CNI) del Reino Unido se ha visto afectada por una buena cantidad de incidentes importantes, desde Sinnovis Desde el ataque de ransomware hasta el robo de ciberespionaje sin precedentes dirigido contra el Ministerio de Defensa.

Por lo tanto, es indudable que los sectores de la CNI necesitan un impulso regulatorio para mejorar la seguridad y la resiliencia. La pregunta es cómo pueden los operadores de servicios esenciales (OES) y sus homólogos digitales gestionar la carga adicional de cumplimiento que se les avecina.

¿A quién cubre?

La lista final de organizaciones incluidas en el ámbito de aplicación aún no se ha publicado. Sin embargo, seguramente incluirá los sectores ya cubiertos por el Reglamento NIS de 2018, que esta propuesta de ley actualiza. Entre ellos se incluyen la sanidad, el transporte, la energía, el agua y la infraestructura digital. Todos ellos se clasifican como OES.

La CSRB también se aplicará a:

Proveedores de servicios digitales relevantes (RDSP): Otros proveedores de servicios digitales como los que ofrecen computación en la nube, motores de búsqueda y mercados en línea.
Operadores de centros de datos
Proveedores de servicios gestionados (MSP)
Empresas que gestionan “el flujo de electricidad hacia electrodomésticos inteligentes” y puntos de carga de vehículos eléctricos.

¿Qué hay en la factura?

La legislación Aún se está tramitando en el parlamento. Sin embargo, es probable que se adopten al menos las siguientes medidas principales:

Se otorgarán a los reguladores facultades para designar proveedores críticos que deberán cumplir con estándares mínimos de seguridad. Esto tiene como objetivo subsanar cualquier deficiencia en la seguridad de la cadena de suministro.
Se requerirá que la OES gestione los riesgos de la cadena de suministro de una manera más proactiva, aunque estas nuevas obligaciones deberán definirse en la legislación secundaria.
La OES deberá cumplir con “requisitos de seguridad proporcionados y actualizados” extraídos del Marco de evaluación cibernética (CAF) del NCSC y estrechamente alineados con el NIS 2
Un alcance más amplio para los incidentes notificables, que ahora incluyen eventos “capaces de tener un impacto significativo en la prestación de un servicio esencial o digital”, así como “incidentes que afectan significativamente la confidencialidad, disponibilidad e integridad de un sistema”.
Requisitos más prescriptivos para la notificación de incidentes: el informe inicial al NCSC debe realizarse a más tardar 24 horas después del incidente, seguido de un informe completo en un plazo de 72 horas. Los proveedores de servicios digitales y de centros de datos también deberán notificar a los clientes cualquier interrupción del servicio.
La Oficina del Comisionado de Información (ICO) obtendrá nuevos poderes para ayudarla a identificar a los proveedores de servicios digitales más críticos y evaluar de forma proactiva su riesgo cibernético.
Los reguladores podrán recuperar costos mediante un nuevo régimen de tarifas
Se introducirán sanciones más severas para los delitos graves, que ascenderán a 17 millones de libras o al 4/10 % de la facturación.
El secretario de tecnología recibirá nuevas facultades para instruir a los reguladores y a la OES a tomar medidas específicas para prevenir ataques donde exista una amenaza a la seguridad nacional. Esto podría incluir la instalación de parches o el aislamiento de sistemas críticos.

Hora de prepararse

Aunque la legislación aún debe aprobarse en el parlamento, es poco probable que cambie significativamente, ya que «la ciberseguridad sigue siendo un tema político en gran medida apolítico», según Verona Johnstone-Hulse, directora de asuntos gubernamentales de NCC Group UK. Esto significa que los equipos de seguridad y cumplimiento pueden adelantarse al proceso planificando ahora sus estrategias de cumplimiento.

"Como organización, el primer paso es determinar si, de hecho, está dentro del ámbito de aplicación. Para muchos, esto será relativamente evidente, ya sea porque ya está regulada por el NIS del Reino Unido o porque su organización cumple claramente con las definiciones y los umbrales de los sectores que se incluyen en el ámbito de aplicación de la ley», explica a ISMS.online.

Para aquellas organizaciones que podrían ser designadas como "proveedores críticos" y, por lo tanto, sujetas a las normas del NIS, puede resultar menos claro si cumplirán con el umbral de "crítico". Analizar detenidamente a sus clientes y los tipos de servicios y productos que ofrece ayudará a determinar si es probable que sean designados como "críticos" en el futuro.

Rhiannon Webster, directora de ciberseguridad en el Reino Unido del bufete internacional Ashurst, coincide en que las empresas pueden empezar con ventaja en materia de cumplimiento.

“Diría que es poco probable que cambien las categorías de las nuevas personas en el ámbito de aplicación y, por lo tanto, esas empresas deberían revisar sus planes de ciberrespuesta”, declara a ISMS.online. “Deberían prepararse para mayores obligaciones de información, revisar sus marcos de ciberseguridad en función de los requisitos previstos y analizar detenidamente su cadena de suministro y sus contratos. Es posible que las obligaciones deban transmitirse a través de los procesos de contratación.

Johnstone-Hulse del Grupo NCC aconseja a los equipos:

Interactuar desde el principio con el gobierno y los reguladores
Mejorar la gobernanza y la rendición de cuentas garantizando la aceptación por parte de la junta directiva de los programas de cumplimiento
Evaluar los procesos y tecnologías de respuesta a incidentes actuales para comprender qué puede ser necesario cambiar.

Charlotte Walker-Osborn, directora de conocimiento del bufete de abogados Clifford Chance, advierte a las organizaciones del Reino Unido que actualmente están dentro del ámbito de aplicación de NIS2 que se preparen para una mayor carga de cumplimiento.

“Dado que el alcance del Proyecto de Ley de Ciberseguridad y Resiliencia del Reino Unido es algo diferente a la legislación de ciberseguridad de la UE en varios aspectos, las empresas multinacionales con operaciones en toda Europa tendrán que lidiar, una vez más, con las implicaciones prácticas de cumplir con dos regímenes distintos”, explica a ISMS.online.

“Busca alinearse con partes del NIS 2 pero también reconoce los propios desafíos del Reino Unido”.

Cómo pueden ayudar las normas

Julian Brown, consultor gerente de NCC Group, explica que algunos detalles técnicos clave aún no se han aclarado. Entre ellos, se incluyen las medidas de seguridad "apropiadas y proporcionadas" que se espera que adopten las organizaciones. Aquí es donde las normas existentes pueden ser útiles.

"Si bien se esperan más detalles, incluso a través de un Código de Práctica y orientación sectorial por parte de los reguladores, los estándares y marcos de ciberseguridad existentes pueden ayudar al cumplimiento al proporcionar un enfoque estructurado, auditable y reconocido internacionalmente para cumplir con los requisitos centrales del proyecto de ley", le dice a ISMS.online.

El uso de estos estándares también genera la evidencia que los reguladores esperan: evaluaciones de riesgos, políticas, controles, métricas y actividades de mejora continua. La ISO 27001 ofrece esto a través de su SGSI, el CAF a través de su modelo de aseguramiento basado en resultados, el NIST CSF a través de su ciclo de vida de gobernanza y la 62443 a través de sus requisitos de seguridad específicos para OT. Adoptar cualquiera de estos marcos significa que una organización puede demostrar con seguridad que está gestionando el ciberriesgo de forma proporcionada, responsable y justificable una vez que la legislación entre en vigor.

Aún hay mucho en el aire. Walker-Osborn, de Clifford Chance, afirma que aún no está claro si el proyecto de ley incluirá los planes recientemente publicados para prohibir los pagos de ransomware y exigir la presentación de informes a algunas empresas. La magnitud del régimen de sanciones también podría ser objeto de debate, dada la precaria situación de la economía, añade.

Sin embargo, ciertamente hay suficiente para seguir adelante. Las organizaciones más inteligentes ya están funcionando. ISO 27001, o a otros programas de cumplimiento les resultará mucho más fácil aceptar los requisitos del proyecto de ley.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster