Los 10 momentos más importantes de cumplimiento de 2023: nuestra elección de un año histórico- ISMS.online

Los 10 momentos de cumplimiento más importantes de 2023: nuestra elección de un año histórico

Por Phil Muncaster • 13 December 2023

Ha habido muchas cosas que mantuvieron ocupados a los profesionales de ciberseguridad y cumplimiento del Reino Unido durante los últimos 12 meses. Desde las tan esperadas regulaciones de la industria hasta nuevos acuerdos de intercambio de datos y propuestas legislativas innovadoras, 2023 ha sido un año destacado en muchos frentes. Habrá mucho que incorporar a los programas de cumplimiento durante los próximos 12 meses, por lo que aquí está nuestra selección de las diez nuevas reglas, regulaciones y leyes más importantes a considerar:

1.NIS 2 y su equivalente en el Reino Unido

Una segunda versión de la Directiva de Seguridad de la Información y las Redes (NIS) de la UE entró en vigor en enero de 2023, y los estados miembros tienen hasta el 17 de octubre de 2024 para transponerla a la legislación local. Busca ampliar el alcance de la directiva a empresas medianas y grandes en sectores adicionales como telecomunicaciones, redes sociales, aguas residuales y alimentos. También habrá multas más elevadas, requisitos mínimos de referencia y un enfoque más significativo en la respuesta a incidentes, la responsabilidad de los directores y la seguridad de la cadena de suministro. Todos los “operadores de servicios esenciales” (OES) del Reino Unido que operen en la UE deberán cumplir. Y mientras tanto, el Reino Unido está preparando su propia actualización del régimen, explicó. aquí.

Consulte esta guía de cumplimiento de NIS 2.

2.La Ley de Resiliencia Operacional Digital (DORA)

Las empresas del sector financiero y sus socios tecnológicos TIC que operan en Europa tendrán hasta el 17 de enero de 2025 para cumplir con esta nueva ley de la UE. Con luz verde, en enero de 2023, DORA obligará a las empresas que cumplan con ella a tapar las brechas en su resiliencia operativa frente a las crecientes amenazas cibernéticas. Cubre la gestión de riesgos, la notificación de incidentes, las pruebas de resiliencia estandarizadas, el intercambio de inteligencia y la gestión de riesgos de terceros. Las organizaciones que ya hayan obtenido la certificación ISO 27001, o sigan sus principios rectores de gestión proactiva de riesgos y mejora continua de la resiliencia operativa, estarán en buenas condiciones para cumplirla.

Consulte esta lista de verificación de cumplimiento de DORA de 15 puntos.

3. Proyecto de Ley de Protección de Datos e Información Digital (DPDI)

Aclamado como el intento del Reino Unido de producir su propia versión post-Brexit del GDPR, el proyecto de ley DPDI es un intento de hacer que la ley de protección de datos sea más favorable a las empresas sin afectar el estado de adecuación del Reino Unido. Uno de los principales cambios es que sólo las organizaciones involucradas en el procesamiento de datos de “alto riesgo” deben mantener registros, lo que podría reducir el papeleo. También hay aclaraciones sobre cuándo las organizaciones pueden procesar datos sin requerir consentimiento. Sin embargo, existen preocupaciones para las empresas del Reino Unido con operaciones en la UE. Tendrán que mantener su marco de cumplimiento del RGPD tal como está y no podrán aprovechar los beneficios declarados de la DPDI o ejecutar dos marcos paralelos, lo que significará más trabajo. Asesores especializados puede ayudar centralizando estos esfuerzos a través de un único portal.

4.Nuevas reglas de la SEC

La Comisión de Bolsa y Valores (SEC) presentó nuevos requisitos de divulgación de seguridad en 2023, lo que también afectará a las empresas del Reino Unido. Específicamente, cualquier empresa del Reino Unido que proporcione servicios (especialmente relacionados con datos) a empresas estadounidenses que cotizan en bolsa puede esperar un mayor escrutinio por parte de estas organizaciones. Se espera que las empresas estadounidenses revelen en un plazo de cuatro días cualquier incidente cibernético en un proveedor de servicios que tenga “un impacto material” en su negocio. Por lo tanto, habrá un listón mucho más alto para la divulgación y planificación de la respuesta a incidentes y la respuesta a la debida diligencia continua por parte de los socios estadounidenses. El cumplimiento de ISMS e ISO 27001 o SOC 2 podría ayudar a las empresas a brindar estas garantías a sus socios estadounidenses.

5.Marco de Privacidad de Datos UE-EE.UU. (DPF)

Este marco fue respaldado por la Comisión Europea en julio de 2023, lo que esencialmente garantiza una decisión de adecuación que significa que los datos pueden fluir desde el bloque a Estados Unidos sin obstáculos. Para certificarse y demostrar un cumplimiento continuo, las organizaciones estadounidenses deben incorporar procesos específicos de protección de datos en sus negocios, incluida la limitación de fines, la minimización de datos, la retención y el intercambio de datos.

6.Acuerdo de puente de datos entre el Reino Unido y EE. UU.

Anunciada en septiembre, se trata de una extensión del DPF UE-EE. UU. diseñada para eliminar costosas cláusulas contractuales para las empresas del Reino Unido que transfieren datos personales a proveedores de servicios estadounidenses y minimizar otras barreras al flujo de datos entre los dos países. Las empresas del Reino Unido ahora podrán cumplir con las reglas sobre transferencias internacionales de datos sin requerir una evaluación de riesgo adicional de sus socios estadounidenses. El nuevo puente de datos funcionará de forma casi idéntica al DPF UE-EE.UU. y será estará disponible a partir del 12 de octubre de 2023.

7.Ley de Resiliencia Cibernética (CRA)

La CRA de la UE todavía se está ultimando en el momento de escribir este artículo. Pero su objetivo de alto nivel es proteger a los consumidores y las empresas mediante: la imposición de un estricto conjunto de requisitos de ciberseguridad “que rigen la planificación, el diseño, el desarrollo y el mantenimiento” de los productos tecnológicos; y proporcionar una nueva marca CE para cometas para aumentar la transparencia. Los fabricantes, importadores y distribuidores de productos con un “componente digital” considerado de alto riesgo probablemente tendrán que someterse a evaluaciones de conformidad de terceros con respecto a los nuevos requisitos de seguridad. La carga podría ser más onerosa para las empresas más pequeñas, aunque los expertos afirman Las organizaciones que ya cumplen con el RGPD con controles, políticas y procedimientos de seguridad sólidos deberían poder lograr el cumplimiento con ajustes limitados.

8.Ley de IA de la UE

La legislación, que actualmente se está ultimando, buscará reducir el daño social derivado de la IA. Se adoptará un enfoque basado en el riesgo, clasificando los modelos de IA según el riesgo “inaceptable”, “alto”, “limitado” y “mínimo”. Aquellos considerados de alto riesgo deberán cumplir criterios estrictos, como evaluaciones de riesgos y sistemas de mitigación, registro de actividad, documentación detallada, supervisión humana adecuada y altos niveles de solidez y seguridad para poder cumplir. Luego, el modelo se registrará en la base de datos de la UE y se le otorgará la marca CE. Las organizaciones del Reino Unido que venden en la UE se enfrentarán a la aplicación de dos marcos de cumplimiento separados o al cumplimiento de la legislación de la UE. Las organizaciones pueden comenzar el trabajo ahora adaptando los procesos de evaluación del impacto de la protección de datos en preparación para el nuevo régimen.

9.Marco de ciberseguridad 2.0 del NIST

El CSF 2.0 es la primera actualización significativa de este marco de mejores prácticas desde su creación en 2014. Introducirá un nuevo pilar de “Gobierno” que abarcará;

Contexto organizacional
Estrategia de gestión de riesgos
Gestión de riesgos de la cadena de suministro
Roles, responsabilidades y autoridades
Políticas, procesos y procedimientos; y supervisión.

Y habrá más ejemplos de implementación para ayudar a las organizaciones a convertir la teoría del CSF en práctica. Los expertos creen un sistema de gestión de seguridad de la información (SGSI) podría ayudar al delinear ejemplos de cómo utilizar la herramienta de referencia CSF 2.0 y brindar una comprensión de cómo son las implementaciones en el mundo real.

10.PCI DSS 4.0

Aunque PCI DSS 4.0 en realidad se aprobó en marzo de 2022, ha sido un tema de discusión habitual este año, ya que ha comenzado la cuenta regresiva de dos años hasta la fecha límite de implementación el 31 de marzo de 2025. Si bien las versiones anteriores del marco eran prescriptivas (es decir, implementaban firewalls y aplicaban controles antivirus), PCI DSS 4.0 tiene como objetivo promover la seguridad como un proceso continuo. Entre los cambios se incluye el requisito de antimalware en lugar de antivirus y la implementación de autenticación multifactor para acceder al entorno de datos del titular de la tarjeta. También existen requisitos para mitigar los riesgos de desnatado digital y ayudar a minimizar el riesgo de la cadena de suministro manteniendo un inventario de software, incluidas bibliotecas y componentes. Como siempre, aquellas empresas que procesen grandes volúmenes de tarjetas deberán realizar una auditoría externa.

Consulte nuestra guía para lograr el cumplimiento de PCI-DSS V4 junto con ISO 27001.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster