El proyecto de ley sobre ciberseguridad y resiliencia: lo que necesita saber

El camino hacia la ciberresiliencia para las infraestructuras críticas (IC) del Reino Unido ha sido largo y tortuoso. El Reglamento NIS de 2018 del gobierno está lamentablemente desactualizado y tiene un alcance limitado, basado en una directiva de la UE de dos años antes. Sin embargo, tras algunos comentarios positivos, los esfuerzos de la administración anterior fracasaron. Por lo tanto, es alentador que el gobierno laborista finalmente esté prestando a este tema la atención que merece.

Después de meses de espera para obtener más detalles después del discurso del ReyAhora tenemos una declaración de política gubernamental que analizar. ¿Qué se propone lograr con el Proyecto de Ley de Ciberseguridad y Resiliencia? ¿Y qué tan difícil será para las empresas cumplirla?

Por qué lo necesitamos

El Reino Unido es un lugar muy diferente de aquel en el que se promulgó el Reglamento NIS de 2018. La CNI, la sociedad y las sociedades anónimas británicas dependen más que nunca de las TI y los sistemas digitales. En la mayoría de las organizaciones, esto ha implicado inversiones que han aumentado la superficie de ciberataque, otorgando una ventaja a los actores de amenazas. El contexto geopolítico ha aumentado la probabilidad de ataques de terceros, alineados con los Estados, pero plausiblemente negables. Y ha animado a los Estados-nación a llevar a cabo los suyos propios.

Como si alguien necesitara que le recordaran el impacto potencial de las violaciones graves en los sectores de la CNI, basta recordar el caos que Ataque de ransomware Synnovis causado el año pasado, lo que provocó miles de citas canceladas y una grave escasez de sangre en el sureste de Inglaterra. También es un recordatorio de que las cadenas de suministro son un objetivo cada vez más vulnerable a este tipo de ataques. Con demasiada frecuencia, la falta de habilidades y recursos afecta gravemente a estas organizaciones más pequeñas. Y mientras luchan, los actores de amenazas... Usando IA para hacer más con menos, acelerando los ataques y mejorando los resultados.

El hecho de que la mitad de las empresas del Reino Unido Han dejado de lado los planes de transformación digital Debido al temor a los ataques de los estados-nación, mejorar la ciberresiliencia también es un imperativo empresarial. Entonces, ¿qué tendrán en su lista de tareas pendientes cuando el proyecto de ley finalmente se convierta en ley?

¿Qué hay en la factura?

Si bien aún pueden introducirse cambios a medida que avanza en el parlamento, tal como está actualmente, la legislación tiene como objetivo:

Crear más entidades dentro del ámbito

El gobierno:

• Incluir a los proveedores de servicios gestionados (MSPs) en el alcance de las nuevas disposiciones, estimando aproximadamente entre 900 y 1100 de estas empresas.
• Incluya operadores de centros de datos: alrededor de 182 sitios de coubicación y 64 operadores, además de una pequeña cantidad de centros de datos empresariales (con capacidad superior a 10 MW)
• Permitir que el gobierno y los reguladores establezcan requisitos más estrictos para ciertos operadores de servicios esenciales (OES) de importancia crítica y alto impacto, incluso si son microempresas (a menos que estén sujetos a las leyes de resiliencia cibernética existentes).

Empoderar a los reguladores y mejorar la supervisión

El gobierno:

• Aclarar los “requisitos técnicos y metodológicos de seguridad” exigidos a las organizaciones dentro del ámbito de aplicación, alineándose más estrechamente con la NIS 2 y el Marco de evaluación cibernética (CAF) del NCSC.
• Ampliar los informes de respuesta a incidentes para incluir cualquier incidente que afecte significativamente la confidencialidad, disponibilidad e integridad de un sistema, incluyendo la vulneración de datos, los ataques de spyware y el ransomware. Las empresas deberán informar a su regulador y al NCSC. Los requisitos de notificación no serán más rigurosos que los de NIS 2: 24 horas inicialmente, seguidos de un informe del incidente en un plazo de 72 horas.
• Facultar al secretario de tecnología para ordenar a una entidad regulada que tome acciones específicas cuando se considere necesario para la seguridad nacional.
• Mejorar los poderes de recopilación de información de la ICO para que pueda identificar a los proveedores de servicios digitales más críticos y evaluar de forma proactiva su postura de ciberseguridad.
• Permitir a los reguladores establecer un régimen de tarifas, recuperar costos o combinar ambos para cubrir los gastos de cumplimiento y otros costos regulatorios.

Crear poderes delegados

El gobierno también se ha comprometido a garantizar que la ley sea adaptable: otorgando nuevos poderes al secretario de tecnología para actualizar la legislación y garantizar que sea “actual y efectiva”.

Preguntas que quedan por responder

El especialista en resiliencia empresarial sin fines de lucro CSBR acoge con satisfacción el proyecto de ley, pero exige claridad sobre una serie de cuestiones que van desde la alineación con el NIS 2 hasta los poderes de la ICO.

“El reto es garantizar que la búsqueda de una mejor regulación de la resiliencia en ciberseguridad no tenga el efecto indeseado de sofocar la innovación ni crear obstáculos onerosos o burocráticos, especialmente para las pequeñas y medianas empresas”, afirma. “También es necesario que el gobierno reconozca que, a menudo, es el propio gobierno el que es la parte más vulnerable del sistema, como lo dejó claro el reciente informe de la NAO”.

Oscar Tang, asociado senior del Grupo de Tecnología de Clifford Chance, coincide en que aún quedan muchas preguntas sin respuesta en esta etapa, incluida la base de los “requisitos de seguridad técnicos y metodológicos” que la nueva ley pretende aclarar para las organizaciones dentro del ámbito de aplicación.

“Podríamos ver un enfoque multidimensional que tome como referencia fundamental del Reino Unido las CAF, junto con las ISO y otras directrices, para garantizar la coherencia en la práctica”, declara a ISMS.online. “La intención política del gobierno destaca la importancia de un enfoque proporcionado y ágil en materia de seguridad, por lo que es poco probable que las organizaciones tengan que reinventar la rueda. Aprovechar los marcos existentes, como la ISO 27001, debería ayudar a demostrar una gestión de riesgos y unos controles de seguridad sólidos”.

Will Richmond-Coggan, socio de Freeths LLP especializado en litigios de datos y ciberseguridad, también cita las normas ISO como posibles bases para lo que se espera en la nueva ley del Reino Unido.

"Si bien el gobierno llegó tarde a la fiesta en cuanto a producir legislación que refleje los avances en Europa en torno a la ciberseguridad incorporados en la Directiva NIS 2, esto tiene algunas ventajas", explica a ISMS.online.

Varias normas de seguridad de la información existentes ya reflejan el cambio de enfoque de la NIS 2: por ejemplo, ISO 27001:2022 e ISO 27302, que ofrecen recomendaciones específicas para fortalecer la ciberresiliencia de las organizaciones. Es probable que estas también respalden el cumplimiento del Proyecto de Ley de Ciberseguridad y Resiliencia cuando entre en vigor, y para las organizaciones que ya operan en Europa y se adhieren a la NIS 2, los paralelismos entre las legislaciones probablemente resulten útiles.

Sin embargo, para llegar al punto de una verdadera resiliencia cibernética, las organizaciones deben integrar lo que aprenden al trabajar con la norma ISO 27001 y otras normas "en el núcleo operativo de las empresas", lo que exigirá una "cultura de cumplimiento", agrega Richmond-Coggan.

“En realidad, cuando entre en vigor la legislación ya estará obsoleta en relación con algunos de los riesgos que pretende abordar”, concluye.

Las empresas deben aprovechar esto como una llamada de atención para investigar su estrategia de seguridad integral, su resiliencia y su planificación de continuidad de negocio si quieren estar realmente preparadas para los riesgos a los que el gobierno responde con esta legislación y sus iniciativas más amplias de ciberseguridad.