El proyecto de ley de Ciberseguridad y Resiliencia (CSRB, por sus siglas en inglés) sigue su curso en el Parlamento. El final de este largo proceso legislativo se vislumbra poco a poco. Cuando finalmente se convierta en ley, la ley supondrá una actualización muy necesaria del Reglamento NIS de 2018. Pero, ¿qué ocurre con las organizaciones del Reino Unido que ya cumplen con la revisión de la UE de las mismas normas, conocida como NIS2?
Si bien se han realizado algunos intentos por armonizar ambos enfoques, también existen numerosos puntos de divergencia. Desde el número de sectores incluidos en el ámbito de aplicación hasta la cuantía de las posibles multas, los equipos de cumplimiento deben empezar ya a comprender el impacto de estos cambios y prever una cantidad considerable de trabajo adicional.
En qué se diferencia el CSRB del NIS2
Para comprender hasta qué punto el CSRB diverge del NIS2, eche un vistazo a lo siguiente: resumen de la factura En el sitio web del gobierno. No menciona en absoluto a su homólogo europeo. Tampoco aparece la palabra «alineación». En términos prácticos, existen varias áreas que los equipos de cumplimiento deben considerar:
Entidades reguladas: alcance
El Reino Unido se centra en los Operadores de Servicios Esenciales (OES), los Proveedores de Servicios Digitales Relevantes (RDSP, por sus siglas en inglés) —que incluyen proveedores de servicios en la nube, búsqueda y plataformas digitales— y una nueva categoría de Proveedores de Servicios Gestionados Relevantes (RMSP, por sus siglas en inglés). Su enfoque consiste en designar OES específicos, mientras que la NIS2 incluye automáticamente a todas las entidades medianas y grandes de 18 sectores. Como resultado, algunas organizaciones incluidas en el ámbito de aplicación de la CSRB quedarán exentas de la regulación de la NIS2, y viceversa.
Entidades reguladas: nuevas categorías
La CSRB introduce una única categoría nueva de OES, la de «servicios de centros de datos», mientras que la NIS2 incluye varias: administración pública, espacio, aguas residuales, alimentación, industria manufacturera, servicios postales, gestión de residuos y proveedores digitales. Esto aumenta la probabilidad de que las organizaciones del Reino Unido no reguladas por la CSRB queden incluidas en la NIS2.
MSP:
Las RMSP se introducen como una nueva categoría en la CSRB y son consideradas entidades esenciales o importantes por la NIS2. Sin embargo, puede haber diferentes requisitos de cumplimiento para cada régimen.
Supervisión de la cadena de suministro:
En el Reino Unido, las autoridades competentes y la Oficina del Comisionado de Información (ICO) pueden designar a los «proveedores críticos» de los OES, RDSP y RMSP, y estos están sujetos a supervisión directa. En NIS2 no existe una supervisión regulatoria directa, pero todas las entidades incluidas en su ámbito de aplicación deben evaluar los riesgos de la cadena de suministro.
Definiciones y notificación de incidentes:
La definición de incidente regulado de la CSRB se ha ampliado para incluir eventos «capaces de tener un impacto significativo en la prestación de un servicio esencial o digital», así como «incidentes que afecten significativamente la confidencialidad, la disponibilidad y la integridad de un sistema». La importancia se evaluará sector por sector. En NIS2, los incidentes son aquellos que causan interrupciones operativas, pérdidas financieras o daños materiales o inmateriales a terceros. Esto significa que el umbral para la notificación puede ser diferente en el Reino Unido y la UE.
Sin embargo, los plazos para la presentación de informes —la notificación inicial en un plazo de 24 horas desde que se tiene conocimiento de un incidente, y la notificación completa en un plazo de 72 horas— son prácticamente los mismos en el Reino Unido y la UE.
Notificación al cliente:
Esto es obligatorio para los proveedores de servicios de centros de datos, los proveedores de servicios de recuperación ante desastres (RDSP) y los proveedores de servicios de recuperación ante desastres (RMSP) en el Reino Unido. Sin embargo, puede haber requisitos adicionales en virtud de la Directiva NIS2, dependiendo de la interpretación que cada Estado miembro haga de la misma.
Responsabilidad personal:
Si bien esto no está contemplado en la CSRB, la NIS2 introduce una importante responsabilidad personal para la alta dirección. Esto incluye la formación obligatoria para los directivos y la responsabilidad personal por incumplimiento. Las organizaciones del Reino Unido que cumplan con la NIS2 deberán comprender los requisitos de gobernanza más detallados del régimen de la UE.
Sanciones:
En la CSRB, las sanciones estándar son la mayor de las siguientes cantidades: 10 millones de libras esterlinas o el 2 % de la facturación anual mundial, pero aumentan hasta 17 millones de libras esterlinas o el 4 % para las sanciones máximas. La NIS2 otorga a los Estados miembros cierta libertad para decidir sobre estas sanciones, siempre que sean «eficaces, proporcionadas y disuasorias».
Registración:
En virtud de la CSRB, los proveedores de servicios de gestión de recursos móviles (RMSP) y los proveedores de centros de datos designados como entidades esenciales (OES) deben registrarse. En la NIS2, las entidades esenciales e importantes deben registrarse ante las autoridades competentes, pero los Estados miembros deciden cómo funciona este proceso. En definitiva, las organizaciones del Reino Unido deberán evaluar sus obligaciones en ambos casos por separado.
Enfoque general:
La CSRB otorga nuevas e importantes facultades de recopilación de información a las autoridades competentes y a la ICO, independientemente del tipo de organización regulada. La NIS2 permite que las Entidades Importantes se beneficien de un enfoque menos estricto.
Sin embargo, en general, la CSRB está diseñada para ser más flexible que su equivalente europea, afirma James Wong, asociado sénior del equipo de Tecnología y Digital del bufete de abogados internacional Clifford Chance.
«El gobierno podrá establecer prioridades estratégicas y directrices específicas, y los reguladores podrán designar a las entidades como "proveedores críticos", incluyéndolas directamente en el ámbito de aplicación del régimen», explica a IO (antes ISMS.online). «El proyecto de ley también prevé un mecanismo para los códigos de buenas prácticas, lo que permite una adaptación a cada contexto».
La carga de cumplimiento aumenta
Wong argumenta que la complejidad de las "leyes locales de implementación", la legislación secundaria y la posible necesidad de interactuar con múltiples reguladores están haciendo que el cumplimiento sea más difícil para las organizaciones que entran dentro del ámbito de aplicación tanto de la NIS2 como de la CSRB.
Rhiannon Webster, directora de ciberseguridad en el Reino Unido del bufete de abogados internacional Ashurst, añade que el Brexit está empezando a tener un impacto real en la carga de cumplimiento normativo de las empresas británicas que operan en Europa, con este proyecto de ley y la Ley de Uso y Acceso a los Datos.
“Ha tardado en llegar, ya que las leyes de privacidad y ciberseguridad en el Reino Unido, hasta la fecha, son una copia de las de la UE. Sin embargo, se están produciendo algunos cambios pequeños pero significativos”, explica a IO.
“Si bien las empresas pueden intentar cumplir con ambos regímenes de manera uniforme aplicando el estándar más alto en el Reino Unido y Europa, es poco probable que este sea un enfoque comercial para el cumplimiento, y las empresas deberán considerar las diferencias entre los regímenes al adoptar programas de cumplimiento y evaluar los riesgos.”
Primeros pasos
Webster insta a las organizaciones a que primero comprendan si entran dentro del ámbito de aplicación de NIS2 y su equivalente en el Reino Unido.
“Quizás les sorprenda saber que, en caso de incidentes de seguridad y al cumplir con los plazos de notificación, a menudo tenemos clientes que no están seguros de si fueron detectados por NIS2 y están tratando de averiguarlo en la situación de una brecha de seguridad, lo cual dista mucho de ser lo ideal”, explica.
“El cumplimiento de normas como la ISO 27001 podría utilizarse para garantizar que sus requisitos de seguridad de la información sean proporcionales.”."
Wong, de Clifford Chance, explica que un "programa unificado de preparación cibernética, adaptado a todos los requisitos legales y reglamentarios pertinentes", debería ser el objetivo principal de los equipos de cumplimiento normativo.
«El uso de marcos establecidos como la norma ISO 27001 puede simplificar el cumplimiento y facilitar la demostración de las prácticas clave en diversas jurisdicciones. Estos marcos proporcionan una estructura sobre la cual construir, pero son solo una base y deben adaptarse a las obligaciones locales», añade. «Las revisiones periódicas garantizan que el programa siga siendo adecuado a medida que los requisitos cambian con el tiempo».
Según Wong, para operaciones comerciales complejas que abarcan múltiples jurisdicciones, las mejores prácticas cobran aún mayor importancia. Destaca la importancia de un «liderazgo proactivo», la priorización de riesgos y controles, la realización de simulacros periódicos, el mantenimiento de sólidas relaciones con la cadena de suministro y la implementación de las herramientas adecuadas.
Se mire por donde se mire, el coste de operar en el Reino Unido y la UE va a aumentar.
Amplíe su conocimiento
Webinar: Dominando el cumplimiento de NIS 2 con ISO 27001
Blog: De NIS2 a la Ley de Resiliencia Cibernética: El aspecto “producto” de la gobernanza
Blog: Construye una vez, cumple en todas partes: El manual de cumplimiento multi-marco
