Conclusiones esenciales sobre ciberseguridad y privacidad de datos del discurso del Rey

El discurso del rey Carlos III en la inauguración del Parlamento del Reino Unido la semana pasada describió las medidas legislativas críticas que el nuevo gobierno pretende implementar durante su mandato, destacando las prioridades del gobierno para los años venideros. 

El El ambicioso programa legislativo incluía alrededor de 40 proyectos de ley., con dos leyes específicas centradas en el sector tecnológico: el Proyecto de Ley de Ciberseguridad y Resiliencia y el Proyecto de Ley de Información Digital y Datos Inteligentes.    

 Entonces, ¿cuáles son las principales conclusiones de estos proyectos de ley en materia de información y seguridad cibernética, y qué pueden hacer las empresas ahora para prepararse para la legislación entrante? 

El proyecto de ley de ciberseguridad y resiliencia 

El Proyecto de Ley de Resiliencia y Seguridad Cibernética tiene como objetivo fortalecer las defensas cibernéticas del país y proteger la infraestructura crítica y los servicios digitales de los que dependen en gran medida las empresas. Los recientes ciberataques al NHS y al Ministerio de Defensa ponen de relieve la urgencia de esta medida. El próximo proyecto de ley promete abordar estas vulnerabilidades rápidamente, garantizando la protección de la economía digital y apoyando el crecimiento. 

Un elemento central de la estrategia del proyecto de ley es revisión de las regulaciones existentes, que actualmente reflejan leyes obsoletas de la UE, a saber, NIS, que en breve será sustituido por el NIS 2 actualizado. La nueva legislación del Reino Unido fortalecerá a los reguladores y exigirá una mayor notificación de amenazas cibernéticas. Esto le dará al gobierno una comprensión más clara del panorama cibernético y mejorará sus capacidades de respuesta. 

El proyecto de ley también apunta a ampliar el alcance de las regulaciones actuales para cubrir más servicios digitales y cadenas de suministro, que se han convertido en objetivos cada vez más atractivos para los ciberatacantes. Al hacerlo, busca llenar vacíos críticos en las defensas de la nación y prevenir el tipo de interrupciones experimentadas recientemente por los servicios públicos en el Reino Unido. como el ataque de ransomware que paralizó varios hospitales de Londres. 

Se espera que la legislación introduzca multas y sanciones más altas por el incumplimiento de los estándares de ciberseguridad para reforzar cualquier nuevo requisito legal. Estas sanciones complementarán las multas ocasionales pero significativas que ya impone la Oficina del Comisionado de Información (ICO) por violaciones de datos. 

Reconociendo la naturaleza interconectada del comercio, el proyecto de ley propuesto también buscará Exigir a las organizaciones que garanticen que sus proveedores y socios cumplan con sólidos estándares de ciberseguridad. También puede imponer obligaciones a la alta dirección, responsabilizando personalmente a los directores o gerentes por el incumplimiento. 

Los reguladores estarán facultados para garantizar la implementación de medidas esenciales de seguridad cibernética, incluidos posibles mecanismos de recuperación de costos y la autoridad para investigar vulnerabilidades de manera proactiva. Además, el proyecto de ley exigirá informes completos de incidentes, brindando al gobierno mejores datos sobre los ciberataques, incluidos los incidentes de ransomware, para mejorar su detección y respuesta a las amenazas. 

Con la inminente introducción del Proyecto de Ley de Resiliencia y Seguridad Cibernética, las empresas, especialmente aquellas en los sectores de tecnología e infraestructura crítica, probablemente necesitarán invertir en medidas de ciberseguridad más estrictas. Esto mejorará su resiliencia y garantizará que cumplan con los nuevos estándares más rigurosos. 

Sin embargo, el aumento de las obligaciones de presentación de informes puede aumentar las cargas administrativas y los costos para las empresas. Al reconocer estos desafíos, el gobierno planea proporcionar recursos, particularmente para las pequeñas empresas, a través del Centro Nacional de Seguridad Cibernética (NCSC) para ayudarlas a mejorar sus prácticas de ciberseguridad. 

También es probable que el proyecto de ley incluya disposiciones relacionadas con la inteligencia artificial (IA), además de centrarse en la ciberseguridad general. Aunque no se presentó un proyecto de ley específico sobre IA, las notas del proyecto de ley sobre seguridad cibernética y resiliencia reconocen la creciente influencia de la IA y sugieren medidas para abordar las implicaciones de ciberseguridad asociadas con modelos potentes de IA. Sin duda, un enfoque holístico de esta manera garantizaría que las tecnologías de IA se desarrollaran e implementaran de manera más segura y con mayor consideración, mitigando así los riesgos potenciales. 

Las cinco conclusiones principales del proyecto de ley de resiliencia y seguridad cibernética propuesto  

1. Cumplimiento y sanciones más estrictos: Se espera que el nuevo proyecto de ley de ciberseguridad y resiliencia introduzca multas y sanciones más altas para las empresas que no cumplan con los estándares de ciberseguridad obligatorios, junto con las sanciones existentes de las ICO por violaciones de datos.
2. Alcance ampliado y requisitos de presentación de informes: Las empresas deben cumplir con regulaciones actualizadas que cubran más servicios digitales y cadenas de suministro. También se requerirá que las organizaciones informen los incidentes de ciberseguridad de manera más completa para proporcionar al gobierno mejores datos sobre las amenazas cibernéticas.
3. Ciberseguridad de la cadena de suministro: El proyecto de ley propuesto enfatiza firmemente la necesidad de salvaguardar mejor las infraestructuras críticas de los ciberataques. Debido a la naturaleza interconectada del comercio moderno y la reciente gravedad de los incidentes cibernéticos en la cadena de suministro, las empresas deben estar preparadas para garantizar que sus proveedores y socios también mantengan altos estándares de ciberseguridad y puedan demostrarlo.
4. Responsabilidad de la alta dirección: El proyecto de ley puede imponer obligaciones a la alta dirección para implementar medidas de ciberseguridad, con posibles multas o sanciones personales por incumplimiento.
5. Apoyo a pequeñas empresas: El gobierno planea proporcionar recursos a través del Centro Nacional de Seguridad Cibernética (NCSC) para ayudar a las pequeñas empresas a mejorar sus prácticas de ciberseguridad y cumplir con nuevos requisitos regulatorios. 

La Ley de Información Digital y Datos Inteligentes 

En un cambio legislativo significativo, el recientemente presentado Proyecto de Ley de Información Digital y Datos Inteligentes tiene como objetivo aprovechar el poder de los datos para impulsar el crecimiento económico, respaldar un gobierno digital moderno y mejorar la vida de los ciudadanos. Esta iniciativa surge tras el fallido intento del gobierno anterior de aprobar la Proyecto de Ley de Protección de Datos e Información Digital (DPDI) pero promete un nuevo enfoque adaptado al panorama digital actual. 

En esencia, el proyecto de ley busca crear un marco regulatorio integral que fomente usos innovadores de datos. Para ello es fundamental la promoción de los servicios de verificación digital, cuyo objetivo es agilizar las tareas cotidianas, como mudarse de casa, realizar controles previos al empleo y comprar productos con restricción de edad, proporcionando identidades digitales seguras. Se espera que esta innovación ahorre tiempo y dinero y al mismo tiempo mejore la seguridad de las transacciones en línea. 

El proyecto de ley también hace hincapié en los esquemas de datos inteligentes, que facilitarán el intercambio seguro de datos de clientes con proveedores externos autorizados previa solicitud. Al igual que el exitoso marco de Banca Abierta, esta iniciativa tiene como objetivo fomentar servicios innovadores que mejoren la toma de decisiones y la participación en el mercado. El proyecto de ley busca empoderar a los consumidores e impulsar el crecimiento económico en varios sectores estableciendo una base legislativa para estos esquemas. 

Mejorar los servicios públicos y apoyar la investigación científica también son objetivos clave del proyecto de ley. Al modificar la Ley de Economía Digital, el gobierno pretende mejorar el intercambio de datos sobre las empresas que utilizan servicios públicos, la transición al registro electrónico de nacimientos y defunciones y estandarizar los sistemas de TI en los sectores de atención sanitaria y social. Además, el proyecto de ley actualizará las leyes de datos para reflejar mejor las necesidades de la investigación interdisciplinaria moderna, permitiendo a los científicos obtener un amplio consentimiento para su trabajo y permitiendo a los investigadores comerciales utilizar los datos de manera efectiva. 

El proyecto de ley introduce reformas específicas a las leyes de datos para equilibrar la protección con la innovación para promover estos objetivos. Estas reformas tienen como objetivo aclarar las regulaciones existentes, eliminar barreras al desarrollo de nuevas tecnologías y garantizar que se mantengan altos estándares de protección de datos. 

Un componente importante del proyecto de ley es la modernización y fortalecimiento de la Oficina del Comisionado de Información (ICO). La ICO se reestructurará con un nuevo director ejecutivo, una junta directiva y un presidente, y se otorgarán nuevos poderes para hacer cumplir las leyes de protección de datos. Esta transformación tiene como objetivo garantizar que la ICO pueda supervisar eficazmente las medidas mejoradas de protección de datos propuestas por el proyecto de ley. 

El Proyecto de Ley de Información Digital y Datos Inteligentes representa un enfoque proactivo para aprovechar los datos en beneficio de la economía y la sociedad. Al modernizar las estructuras regulatorias, mejorar los servicios públicos y apoyar la investigación científica, el gobierno pretende posicionar al Reino Unido a la vanguardia de la economía digital manteniendo al mismo tiempo altos estándares de seguridad y protección de datos.  

Principales conclusiones de la factura de información digital y datos inteligentes  

1. Cambios estructurales y de gobernanza de la ICO: El proyecto de ley reestructura la ICO para proporcionarle un nuevo marco de gobernanza y mayores poderes. Estos cambios tienen como objetivo mejorar la capacidad de la ICO para hacer cumplir las regulaciones de protección de datos y supervisar los servicios de verificación digital.
2. Desarrollo de Productos de Identidad Digital Segura: El proyecto de ley apoya la creación y adopción de productos y servicios de identidad digital seguros. Estos productos facilitarán transacciones seguras en diversos contextos, como mudanzas, controles previos al empleo y compra de bienes y servicios con restricción de edad.
3. Soporte para esquemas de datos inteligentes: La legislación promueve el desarrollo de esquemas de datos inteligentes, que permiten compartir la información de los clientes con proveedores autorizados. Esta iniciativa tiene como objetivo fomentar la innovación y mejorar la prestación de servicios en los sectores financiero, energético y de telecomunicaciones.
4. Reformas a las Leyes de Datos: El proyecto de ley introduce reformas específicas a las leyes de datos para equilibrar la protección con la innovación. Estas reformas tienen como objetivo aclarar las regulaciones existentes, eliminar barreras al desarrollo de nuevas tecnologías y mantener altos estándares de protección de datos. 

¿Qué pasa con la regulación de la IA en el Reino Unido? 

A pesar de las expectativas, el gobierno del Reino Unido no presentó un proyecto de ley específico sobre IA en el discurso del Rey. Sin embargo, las consideraciones sobre la IA están integradas en el Proyecto de Ley de Resiliencia y Seguridad Cibernética y en las medidas de seguridad de los productos, lo que indica el reconocimiento por parte del gobierno de la creciente importancia y los riesgos potenciales de las tecnologías de IA. 

A pesar de la ausencia de un proyecto de ley independiente sobre IA, el gobierno expresó su compromiso de “tratar de establecer la legislación adecuada para imponer requisitos a quienes trabajan en el desarrollo de los modelos de inteligencia artificial más potentes”.

Este compromiso destaca un esfuerzo continuo para garantizar que el desarrollo y la implementación de la IA se lleven a cabo dentro de un marco que priorice la seguridad y los estándares éticos. 

Y aunque no parece probable que el Reino Unido regule inmediatamente la IA, la Ley de IA de la UE ya se ha convertido en ley. Se aplica a cualquier empresa que comercie u opere en o con empresas y consumidores de la UE, por lo que las empresas deben prepararse para esto ahora y para la probabilidad de futuras regulaciones específicas de IA en el Reino Unido.  

Preparándose: cómo su empresa puede adelantarse a las regulaciones entrantes 

Ante la inminente legislación sobre ciberseguridad, ISO 27001 es un activo crucial para las organizaciones que buscan fortalecer sus defensas digitales. Este estándar reconocido internacionalmente se alinea estrechamente con muchos de los requisitos propuestos en el proyecto de ley de resiliencia y seguridad cibernética y en el proyecto de ley de información digital y datos inteligentes. El enfoque basado en riesgos de ISO 27001 para la gestión de la seguridad de la información refleja el enfoque legislativo en la evaluación integral de riesgos y estrategias de mitigación. 

Beneficios de ISO 27001 para el Cumplimiento 

• Gestión sistemática de riesgos: ISO 27001 requiere que las empresas identifiquen, evalúen y traten sistemáticamente los riesgos de seguridad de la información, alineándose con el nuevo enfoque regulatorio en la gestión de riesgos y las evaluaciones proactivas de vulnerabilidad.
• Informes estructurados de incidentes: El estándar exige procedimientos para detectar, informar y responder a incidentes de seguridad, respaldando los mayores requisitos de notificación de incidentes de la nueva legislación.
• Controles de seguridad integrales: ISO 27001 exige una amplia gama de controles de seguridad, lo que ayuda a las empresas a cumplir con las medidas de seguridad mejoradas requeridas por las nuevas regulaciones.
• Mejora continua: ISO 27001 promueve una cultura de mejora continua en la seguridad de la información, garantizando que las empresas se adapten a nuevas amenazas y cambios regulatorios. 

Para las empresas con una sólida base ISO 27001, el cumplimiento de las próximas regulaciones de ciberseguridad será más sencillo, llevará menos tiempo y será más rentable. Aprovechar los marcos existentes puede reducir la carga de trabajo y los recursos necesarios para satisfacer las nuevas demandas legislativas hasta en un 50-70%.

Esta ventaja se traduce en ahorros sustanciales de costos y permite a las empresas asignar recursos de manera más estratégica, centrándose en ajustar la seguridad en lugar de crear marcos de cumplimiento desde cero.  

¿Qué pueden hacer las empresas para prepararse para la regulación de la IA? 

A medida que nos acercamos a regulaciones de IA más estrictas, ISO 42001 ofrece un enfoque proactivo para el cumplimiento.. Las organizaciones que adoptan este estándar ahora no sólo se están preparando para futuras regulaciones; se están posicionando como líderes en el uso responsable de la IA. Los beneficios potenciales son sustanciales: una postura de seguridad mejorada, una mayor confianza de las partes interesadas y una ventaja competitiva en un mercado cada vez más impulsado por la IA. 

La belleza de ISO 42001 radica en su adaptabilidad y sinergia con los marcos de ciberseguridad existentes. Las organizaciones que ya están familiarizadas con estándares como ISO 27001 para seguridad de la información encontrarán en ISO 42001 una extensión natural de su postura de seguridad. Las mejores prácticas para integrar los marcos de IA con las medidas de seguridad existentes comienzan con un enfoque holístico. Esto implica mapear los sistemas de IA con los controles de seguridad actuales, identificar brechas e implementar salvaguardias específicas de IA cuando sea necesario. 

Mirando hacia el futuro 

Al integrar procesos sólidos de seguridad de la información y seguridad de la IA, como se describe en las normas ISO 27001 e ISO 42001, las empresas pueden gestionar de manera eficiente los cambios regulatorios, mejorar la resiliencia y mantener una ventaja competitiva. Este enfoque holístico garantiza que su organización cumpla con las normas y esté bien preparada para enfrentar futuros desafíos de ciberseguridad.