El nuevo gobierno británico ha dado el primer paso en sus esfuerzos por mejorar la ciberresiliencia del país, con un nuevo proyecto de ley citado en el discurso del Rey de ayer. El proyecto de ley de ciberseguridad y resiliencia tiene como objetivo «reforzar nuestras defensas y garantizar que se protejan más servicios digitales esenciales que nunca», dijo el gobierno en notas de antecedentes publicadas ayer. Lo hará basándose en el Reglamento NIS de 2018, que a su vez es el resultado de una directiva de la UE. Si bien la UE está introduciendo un NIS 2, los esfuerzos del Reino Unido por actualizar el reglamento se habían estancado. «Parte del trabajo para reformar el régimen NIS del Reino Unido ya lo ha hecho el gobierno anterior del Reino Unido, que llevó a cabo su propia revisión del Reglamento NIS de 2018 y luego consultó sobre posibles reformas», explicó el socio de Pinsent Masons, Stuart Davey. “Las reformas propuestas se centraron en ampliar el alcance del NIS a otros tipos de proveedores de servicios digitales y enfatizar la importancia de la gestión cibernética de la cadena de suministro, pero ha habido silencio en este frente durante 18 meses desde que el gobierno publicó su documento de respuesta en noviembre de 2022, hasta ahora”. Enfoque en la infraestructura crítica El nuevo proyecto de ley se centrará en los proveedores de infraestructura crítica, ampliando el alcance del actual régimen NIS “para proteger más servicios digitales y cadenas de suministro”. Introducirá la notificación obligatoria de ransomware para ayudar a las autoridades a comprender mejor la escala de la amenaza y “alertarnos de posibles ataques ampliando el tipo y la naturaleza de los incidentes que las entidades reguladas deben informar”. La legislación propuesta también otorgará nuevos poderes a los reguladores y ampliará el alcance de las regulaciones existentes. “El gobierno ha identificado la amenaza cibernética aumentada y en evolución a la que se enfrentan las organizaciones, citando los recientes ciberataques de alto perfil que afectaron al NHS y al Ministerio de Defensa, y sus planes de presentar este nuevo proyecto de ley también llegan inmediatamente después de las advertencias públicas del Centro Nacional de Seguridad Cibernética del Reino Unido sobre las capacidades cibernéticas de China y Rusia en particular”, dijo Davey. EspañolTambién se produce semanas después de un importante ataque de ransomware a un proveedor del NHS que ha provocado la cancelación de miles de citas y operaciones. “Según nuestros propios datos, hubo 69 ataques de extorsión cibernética a empresas de atención médica durante el primer trimestre de este año, un aumento de más del 100% con respecto al primer trimestre de 2023. Para combatir esto, las organizaciones deben optimizar el acceso a las habilidades, la adopción de procesos apropiados y el uso correcto de la tecnología para lograr la ciberresiliencia”, explicó el director de estrategia y alianzas de Orange Cyberdefense, Dominic Trott. “Es gratificante ver que el proyecto de ley actualizará el marco regulatorio heredado al ampliar el alcance de la regulación para proteger las cadenas de suministro, que son un vector de amenaza cada vez más importante para los atacantes”. Impulsar el crecimiento a través de la ciberresiliencia Martin Greenfield, director ejecutivo de Quod Orbis, agregó que el proyecto de ley ayudaría al gobierno laborista a cumplir su promesa de impulsar el crecimiento económico. “La realidad es que múltiples interrupciones pueden afectar a una empresa en cualquier momento. Sin estrategias de ciberseguridad proactivas y cohesivas, las empresas tendrán dificultades para lograr un crecimiento económico sostenido”, dijo. “Las iniciativas anunciadas en el Discurso del Rey son un impulso necesario y oportuno hacia una economía digital más segura y próspera”. Un proyecto de ley independiente sobre información digital y datos inteligentes incorporará muchas de las medidas legislativas incluidas en el proyecto de ley sobre protección de datos e información digital, una actualización propuesta del RGPD del Reino Unido que no logró aprobarse a tiempo en la última legislatura. Sin embargo, en el Discurso del Rey no se mencionó ninguna ley prevista sobre inteligencia artificial. Lea más sobre la legislación en materia de ciberseguridad: Reemplazo del RGPD en el Reino Unido: evaluación de las disposiciones sobre inteligencia artificial e investigación