El proyecto de ley británico sobre ciberseguridad y resiliencia pretende endurecer las normas del sector tecnológico

El Reino Unido ha avanzado para ampliar su red de seguridad digital con la presentación formal del proyecto de ley de Ciberseguridad y Resiliencia en el Parlamento.

La propuesta llega en un momento en que los ataques a redes empresariales, servicios públicos e infraestructuras críticas siguen aumentando, lo que impulsa al gobierno a ampliar el alcance de la regulación.

El proyecto de ley se centra en reforzar la protección en un conjunto más amplio de proveedores de servicios tecnológicos, cerrando brechas que se han hecho más visibles a medida que las organizaciones dependen de servicios externos de TI.

También detalla nuevos poderes, obligaciones de informes y medidas preventivas destinadas a limitar los daños causados por las amenazas a la seguridad nacional y los riesgos emergentes relacionados con la inteligencia artificial, especialmente a medida que más sectores integran herramientas digitales avanzadas.

Funciones de seguridad más amplias

El proyecto de ley ampliaría las normas existentes sobre Redes y Sistemas de Información a más empresas tecnológicas.

Las empresas de gestión de TI, los proveedores de soporte técnico y las empresas de servicios de ciberseguridad estarían sometidos a los mismos requisitos ya impuestos a los operadores de servicios esenciales.

La legislación establece que las sanciones por incumplimiento podrían estar vinculadas a la rotación anual, creando incentivos más fuertes para que las empresas cumplan con los estándares regulatorios.

El objetivo es garantizar que los proveedores que mantienen los sistemas digitales clave cumplan con una línea base unificada de seguridad, reduciendo los eslabones débiles dentro de las cadenas de suministro y mejorando la resiliencia general de las redes interconectadas.

Nuevos poderes gubernamentales

La legislación propone otorgar al secretario de tecnología la autoridad para instruir a reguladores y organizaciones a tomar medidas preventivas cuando se considere que las amenazas suponen riesgos para la seguridad nacional.

Estas directrices se aplicarían a incidentes que involucren infraestructuras críticas y actividad cibernética de alto impacto.

La medida refleja las crecientes preocupaciones sobre las operaciones vinculadas a los estados dirigidas a redes occidentales.

Funcionarios gubernamentales afirman que el proyecto de ley está diseñado para acercar al Reino Unido a los estándares de la Unión Europea y fortalecer la resiliencia frente a actores asociados con China, Irán y Corea del Norte, todos ellos vinculados a actividades disruptivas.

Riesgos financieros y operativos

Una investigación encargada por el Departamento de Ciencia, Innovación y Tecnología estima que el coste medio de un ciberataque grave en el Reino Unido es de £190,000 por incidente, lo que suma unos £14.7 mil millones cada año.

Estas cifras ponen de manifiesto la magnitud de la interrupción a la que se enfrentan las empresas cuando los atacantes explotan vulnerabilidades en redes y servicios digitales.

Las normas ampliadas tienen como objetivo mejorar los procesos de reporte y los tiempos de respuesta, ayudando a las organizaciones a limitar las pérdidas y recuperarse más rápido tras brechas, al tiempo que fomentan una mayor transparencia entre los sectores afectados.

Combatiendo el mal uso de la inteligencia artificial

El proyecto de ley también cubre riesgos emergentes relacionados con la IA. Incluye disposiciones para prevenir la creación de material de abuso sexual infantil mediante sistemas de inteligencia artificial.

Para lograrlo, la legislación permitiría a organizaciones de confianza como desarrolladores de IA y organizaciones benéficas realizar pruebas controladas sobre modelos de IA.

El objetivo es identificar y corregir vulnerabilidades antes de que se produzca contenido dañino, añadiendo una capa de protección a medida que las herramientas de IA se vuelven más avanzadas y ampliamente utilizadas en empresas, escuelas y servicios públicos.