La ley de notificación de incidentes cibernéticos del Reino Unido avanzará en 2025
El nuevo gobierno del Reino Unido ha adelantado más detalles de su propuesta. Proyecto de ley de ciberseguridad y resilienciaconfirmando que contendrá una cláusula que exige la notificación centralizada de incidentes, incluso en caso de ataques cibernéticos que involucren ransomware.
La administración entrante de Keir Starmer planteó por primera vez la posibilidad de una ley de presentación de informes obligatorios. en el discurso del rey en julio de 2024y los dos objetivos principales del proyecto de ley (ampliar el alcance de la regulación actual y pintar una imagen más precisa del panorama de amenazas) fueron recibidos calurosamente por los expertos en ese momento.
En la actualización, publicada el miércoles 30 de octubre con poca fanfarria, Westminster dijo que planeaba presentar el proyecto de ley en 2025 y que se está planificando una consulta pública.
Dijo que los acontecimientos recientes, como los ataques de ransomware a proveedores del NHS y actores estatales hostiles atrapados al acecho en las redes del Ministerio de Defensa, mostraron que los impactos de los incidentes cibernéticos podrían ser graves y que las leyes del Reino Unido no habían seguido el ritmo del cambio tecnológico. por lo tanto, la acción para fortalecer las defensas del país y proteger la infraestructura nacional crítica (CNI) y los servicios digitales era una prioridad.
Además, dijo, las regulaciones existentes reflejan la ley heredada de Bruselas después del Brexit, y como ahora se están rápidamente superado en la Unión Europea (UE), se necesita un cambio aún más urgente para garantizar que el Reino Unido no se destaque como un objetivo fácil en Europa y para ayudar a las empresas británicas a mantenerse a la par de sus competidores y pares a lo largo del Canal de la Mancha.
Actualizaciones cruciales
El proyecto de ley realizará “actualizaciones cruciales” a este marco heredado al, en primer lugar, ampliar su mandato para proteger más sectores, llenar vacíos en las defensas y, con suerte, prevenir más ataques, como el del socio de servicios de laboratorio del NHS, Synnovis. que interrumpió la atención al paciente en todo el sur de Londres durante el verano.
En segundo lugar, el gobierno espera poner a los reguladores – como la Oficina del Comisionado de Información (ICO) – sobre una base más sólida para garantizar que se implementen medidas de seguridad adecuadas, incluyendo potencialmente mecanismos de recuperación de costos para dotar mejor a estos organismos y mejorando sus poderes para investigar de manera proactiva. vulnerabilidades por sí solos. Se espera que, en última instancia, un total de 12 organismos reguladores asuman y se beneficien de estas responsabilidades.
Finalmente, espera que los informes de incidentes obligatorios le proporcionen mejores datos sobre incidentes de seguridad y ataques de ransomware, lo que ayudará a mejorar la comprensión general del panorama de amenazas e incluso brindará una alerta temprana de posibles ataques.
En la etapa actual de planificación, las regulaciones cubrirán los sectores de transporte, energía, agua potable, salud e infraestructura digital, y servicios digitales, incluidos mercados en línea, motores de búsqueda y servicios de computación en la nube.