Explicación del Proyecto de Ley de Ciberseguridad Seguridad y Resiliencia del Reino Unido

La legislación británica en materia de ciberseguridad está a punto de cambiar de forma significativa. El Proyecto de Ley de Ciber Seguridad y Resiliencia —presentado ante el Parlamento en noviembre de 2025— es la reforma más importante del marco regulatorio de ciberseguridad del Reino Unido en casi una década. Para una amplia gama de organizaciones, cambiará lo que se les exige legalmente, quién las supervisa y qué ocurre si no cumplen. 

Tanto si has oído hablar del Proyecto de Ley y quieres saber más como si estás evaluando activamente cómo se aplica a tu empresa, este blog analiza qué es el Proyecto de Ley CSR, por qué se introduce, y a quién afecta. 

¿Qué es el Proyecto de Ley de Ciber Seguridad y Resiliencia? 

El Proyecto de Ley de Ciber Seguridad y Resiliencia —conocido comúnmente como el Proyecto de Ley CSR— es legislación primaria del Reino Unido que moderniza y amplía el Reglamento de Redes y Sistemas de Información (NIS) de 2018. Mientras que el marco NIS original establecía una base de ciberseguridad para los servicios esenciales, el Proyecto de Ley CSR eleva considerablemente ese listón y lo extiende a un conjunto más amplio de organizaciones. 

En resumen, el Proyecto de Ley CSR es la respuesta del gobierno del Reino Unido a un panorama de amenazas que ha cambiado drásticamente desde 2018. Ataques de ransomware de alto perfil, grandes interrupciones en centros de datos y compromisos de la cadena de suministro dirigidos a proveedores de servicios gestionados han puesto de manifiesto lagunas en los marcos existentes. El Proyecto de Ley está diseñado para cerrarlas. 

El enfoque del Reino Unido difiere de la Directiva NIS2 de la UE, que incorpora requisitos técnicos detallados directamente en la legislación. En su lugar, el Proyecto de Ley CSR crea un marco flexible, y gran parte del detalle granular —umbrales sectoriales, criterios de notificación, códigos de práctica— se desarrollará mediante legislación secundaria y directrices regulatorias. Esto permite al gobierno adaptar los requisitos a medida que evolucionan las amenazas, sin necesidad de aprobar nueva legislación primaria cada vez. 

¿Por qué el Reino Unido ha introducido esta legislación ahora? 

El Reglamento NIS de 2018 fue un avance significativo en su momento, pero se redactó para una época diferente. Desde entonces, el entorno de amenazas se ha intensificado de forma notable, y varias debilidades estructurales del marco existente se han vuelto evidentes. 

Los servicios críticos dependen ahora en gran medida de proveedores de servicios gestionados y de infraestructura digital de terceros que nunca quedaron bajo regulación directa. La definición de lo que cuenta como incidente notificable ha sido demasiado estrecha, lo que significa que ataques graves a menudo no se notificaban a los reguladores. Y la estructura de sanciones vigente ha resultado difícil de aplicar de forma eficaz por parte de los reguladores: demasiado compleja para hacerla cumplir de manera consistente, y con multas máximas que no disuadían de forma significativa a las organizaciones más grandes. 

El Proyecto de Ley CSR aborda cada uno de estos problemas de forma directa. También reconoce la lección aprendida de GDPR y NIS2: que la resiliencia cibernética sistémica no puede lograrse regulando solo a las organizaciones más visibles. Las cadenas de suministro, los proveedores de servicios y la infraestructura digital deben formar parte del marco. 

¿A quién afecta el Proyecto de Ley CSR? 

El Proyecto de Ley mantiene todos los sectores cubiertos por NIS 2018 —energía, transporte, salud, agua potable y proveedores de servicios digitales relevantes— pero amplía de forma significativa el alcance de quién queda regulado. Las nuevas categorías más destacadas incluyen proveedores de servicios gestionados (MSP), centros de datos por encima de determinados umbrales de capacidad y organizaciones que controlan cargas sustanciales dentro de la red eléctrica. 

Más allá de estas categorías definidas, los reguladores obtendrán la facultad de designar a proveedores individuales como «críticos» e incorporarlos directamente al ámbito de aplicación, incluso si no encajan claramente en las definiciones sectoriales existentes. El Proyecto de Ley también otorga al Secretario de Estado la autoridad para ampliar aún más la población regulada mediante legislación secundaria, lo que significa que el alcance de quién queda cubierto puede cambiar con relativa rapidez. 

Podrías verte afectado por los nuevos requisitos de resiliencia cibernética del Reino Unido si se cumple cualquiera de lo siguiente: 

• Operas en un sector cubierto por el Reglamento NIS original —energía, transporte, salud, agua o servicios digitales— 
• Proporcionas servicios de TI gestionados a otras organizaciones, operas un centro de datos o gestionas cargas eléctricas significativas 
• Eres un proveedor clave de cualquiera de los anteriores, incluso si no encajas claramente en un sector regulado por ti mismo 

¿Qué cambia el Proyecto de Ley CSR? 

A grandes rasgos, el Proyecto de Ley introduce tres cambios principales para las organizaciones dentro del ámbito de aplicación. 

• Notificación de incidentes más rápida y más amplia. Los plazos para notificar incidentes cibernéticos significativos se acortan considerablemente, y se amplía la definición de lo que debe notificarse, capturando explícitamente el ransomware y cierta actividad previa al ataque que las normas actuales en gran medida no contemplan. 
• Mayores facultades regulatorias. Los reguladores obtienen derechos más amplios de inspección y recopilación de información, junto con la capacidad de recuperar los costes asociados a las acciones de cumplimiento. 
• Sanciones más altas y más claras. La estructura de sanciones existente de tres tramos se sustituye por un sistema más simple de dos tramos, con multas máximas escaladas según la facturación mundial, lo que convierte el incumplimiento en un riesgo financiero material para organizaciones de todos los tamaños. 

Puedes conocer qué significa cada uno de estos cambios para tu organización —y cómo cumplir los requisitos— en nuestra guía completa. 

Las organizaciones deberían empezar a prepararse ya 

El Proyecto de Ley aún no ha recibido la Sanción Real, pero eso no es motivo para aplazarlo. Una reforma regulatoria de este tipo no llega con mucho margen entre su entrada en vigor y la aplicación activa. Las organizaciones que empiecen a alinear ahora su gobierno, su respuesta a incidentes y sus capacidades de resiliencia están en una posición significativamente más sólida que aquellas que esperan a una fecha definitiva. 

Para las organizaciones que ya están trabajando hacia el cumplimiento de NIS2, la buena noticia es que gran parte del trabajo previo es reutilizable. Las prioridades estratégicas —gestión de riesgos, supervisión de la cadena de suministro, respuesta a incidentes, continuidad del negocio— son coherentes en ambos marcos. Lo que queda es adaptar esos esfuerzos al panorama regulatorio específico del Reino Unido. 

Para las organizaciones que se enfrentan a estos requisitos por primera vez, el enfoque por fases del Proyecto de Ley —con requisitos detallados que surgirán mediante legislación secundaria y códigos de práctica— significa que la ventana para prepararse está abierta. La dirección, sin embargo, es clara. 

¿Listo para profundizar? Nuestra guía completa cubre el Proyecto de Ley CSR en detalle, incluyendo quién está dentro del ámbito de aplicación, qué significan en la práctica los nuevos requisitos y cómo construir la resiliencia cibernética que tu organización necesitará.