Novedad
Solicitar una demo

Cómo cumplir con el Proyecto de Ley de Ciberseguridad Seguridad y Resiliencia del Reino Unido

Cumplimiento normativo
Andrew Simmonds fotoAS
Andrew Simmonds

Content Writer

Andy French fotoAF
Andy French

Director of Product Marketing

El Proyecto de Ley de Ciber Seguridad y Resiliencia es una próxima legislación del Reino Unido que ampliará las obligaciones obligatorias de ciberseguridad a un conjunto más amplio de organizaciones —incluidos los proveedores de servicios gestionados y los centros de datos— y endurece las normas para los sectores ya cubiertos por el Reglamento NIS 2018.  

Para cumplir con el Proyecto de Ley de Ciber Seguridad y Resiliencia, las organizaciones deben alinear los controles de seguridad, los procedimientos de notificación de incidentes y las capacidades de recuperación con el Marco de Evaluación de Ciberseguridad del NCSC (CAF). La adhesión a este marco está pasando de ser voluntaria a tener un carácter mucho más obligatorio. Al adoptar el marco ahora, las organizaciones pueden garantizar que, cuando se produzca un incidente cibernético, puedan detectar, notificar y recuperarse dentro de los plazos que exige la ley.  

Esta guía ofrece pasos para lograr precisamente eso. Para más información sobre la propia legislación, consulte nuestro artículo completo sobre qué es el Proyecto de Ley de Ciber Seguridad y Resiliencia y cómo afecta a las empresas. 

Conclusiones clave 

  • El Proyecto de Ley CSR se aplica a organizaciones que operan servicios esenciales y a un nuevo conjunto de proveedores de infraestructura digital —incluidos los proveedores de servicios gestionados y los centros de datos—, muchos de los cuales quedaban completamente fuera del marco NIS anterior. 
  • El Proyecto de Ley establece expectativas amplias en torno a la gobernanza, la gestión de riesgos y la resiliencia operativa. 
  • Las áreas de enfoque para lograr el cumplimiento deben incluir: controles de seguridad alineados con el CAF del NCSC, informes de incidentes presentados en 24 y 72 horas, gestión activa del riesgo de la cadena de suministro y la capacidad de mostrar a los reguladores evidencias de gestión de riesgos bajo demanda. 
  • En la práctica, los reguladores casi con total seguridad examinarán las capacidades de copia de seguridad y recuperación. Las copias de seguridad a las que un atacante puede acceder, alterar o eliminar no ofrecen una postura de recuperación conforme. 
  • La Inmutabilidad Absoluta significa acceso cero a acciones destructivas, de modo que nadie —ni siquiera el administrador con más privilegios o un atacante con compromiso total— puede modificar o eliminar los datos de copia de seguridad. Esto satisface en la práctica elementos clave de los requisitos del Objetivo D del CAF. 
  • Object First ofrece almacenamiento de copias de seguridad seguro, sencillo y potente, absolutamente inmutable y diseñado específicamente para Veeam, garantizando la alineación con el Proyecto de Ley CSR. 

¿Quién debe cumplir con el Proyecto de Ley de Ciber Seguridad y Resiliencia? 

El Proyecto de Ley mantiene todos los sectores cubiertos por el Reglamento NIS 2018 y añade varias categorías que anteriormente quedaban fuera del marco: 

Operadores de Servicios Esenciales (se mantienen del NIS 2018) 

  • Energía: generadores y distribuidores de electricidad, operadores de petróleo y gas, y operadores de redes energéticas. Los proveedores de servicios públicos se incluyen en esta categoría. 
  • Transporte: operadores aéreos, ferroviarios, por carretera y marítimos cuyos servicios son críticos para la infraestructura nacional. 
  • Salud: trusts del NHS, proveedores sanitarios privados y otras organizaciones sanitarias. La protección de las copias de seguridad en el sector sanitario y la recuperación de datos es un foco particular dada la exposición del sector al ransomware. 
  • Agua potable: operadores de suministro y distribución de agua. 
  • Infraestructura digital: puntos de intercambio de internet, proveedores del sistema de nombres de dominio, registros de dominios de nivel superior y, de forma más amplia, operadores de infraestructura digital. 
  • Proveedores de Servicios Digitales Relevantes (RDSP): mercados en línea, motores de búsqueda en línea y servicios de computación en la nube ya regulados bajo el NIS 2018. Los grandes proveedores de SaaS y de software empresarial que cumplan los umbrales pertinentes también se incluyen en esta categoría. 

Otros sectores que, en la práctica, encajan en las definiciones de OES y RDSP incluyen los servicios financieros y las plataformas fintech (cuando operan infraestructura digital crítica), los proveedores de telecomunicaciones y los proveedores de servicios de internet, las universidades e instituciones de investigación que manejan datos sensibles y los servicios públicos que operan sistemas de red y de información. 

Nuevas categorías añadidas por el Proyecto de Ley CSR 

  • Proveedores de Servicios Gestionados (MSP): cualquier organización que proporcione gestión, soporte, mantenimiento o monitorización de TI continuos bajo contrato, cuando se conecte a la red de un cliente o acceda a ella. Los MSP estarán regulados por la Information Commissioner's Office (ICO). Las pequeñas y microempresas están actualmente exentas, aunque las empresas que crezcan por encima de esos umbrales pasarán a estar dentro del alcance. 
  • Centros de datos: instalaciones compartidas o multiinquilino con capacidad igual o superior a 1 MW, e instalaciones empresariales de inquilino único con capacidad igual o superior a 10 MW. Ofcom y DSIT actuarán como reguladores conjuntos. Los umbrales están diseñados para abarcar instalaciones lo suficientemente grandes como para que su fallo cause una disrupción económica u operativa significativa. 
  • Controladores de grandes cargas: organizaciones que gestionan de forma remota cargas eléctricas sustanciales (300 MW o más) dentro de la red eléctrica y, por tanto, pueden influir en la estabilidad de la red. Ofgem es el regulador competente. 
  • Proveedores Críticos Designados (DCS): los reguladores obtienen la facultad de incluir directamente a proveedores individuales dentro del alcance, con independencia de si encajan en las categorías sectoriales anteriores. Los criterios de designación: suministrar bienes o servicios a una organización regulada, que un fallo del proveedor cause una disrupción significativa de un servicio esencial, que la operación del proveedor dependa de sistemas de red y de información, y que no exista ya una regulación cibernética equivalente aplicable. Las pequeñas empresas no están automáticamente exentas: una microempresa que ocupe una posición crítica en una cadena de suministro aún puede ser designada. 

El Secretario de Estado también tiene derecho a ampliar la población regulada mediante legislación secundaria, sin necesidad de nueva legislación primaria. 

Para aún más detalles, descargue nuestra guía completa del Proyecto de Ley CSR

Requisitos clave del Proyecto de Ley CSR del Reino Unido para las empresas 

El Proyecto de Ley CSR impone las siguientes cuatro obligaciones principales a las organizaciones dentro del alcance: 

  1. Alinearse con el Marco de Evaluación de Ciberseguridad del NCSC

    El CAF es el estándar técnico con el que los reguladores pretenden evaluar el cumplimiento, pasando de un carácter voluntario a una base legal para las organizaciones reguladas. El CAF se organiza en torno a cuatro objetivos: gestionar el riesgo de seguridad, proteger frente a ciberataques, detectar eventos de ciberseguridad y minimizar el impacto de los incidentes. Se espera que las organizaciones dentro del alcance demuestren avances en los cuatro.

  2. Notificar incidentes en 24 y 72 horas 

    Un incidente significativo debe notificarse al regulador competente y al National Cyber Seguridad Centre en un plazo de 24 horas desde que se tenga conocimiento de él. Un informe escrito completo, incluida una evaluación de impacto, debe presentarse en un plazo de 72 horas. Lo que activa la notificación es más amplio que bajo el NIS 2018: el ransomware ahora está cubierto explícitamente, al igual que la actividad de preposicionamiento, en la que un atacante ha obtenido acceso pero aún no ha causado una disrupción visible. Los MSP y los RDSP también deben notificar a los clientes afectados tan pronto como sea razonablemente posible después de presentar el informe al regulador. 

  3. Gestionar el riesgo de la cadena de suministro

    Las organizaciones OES y RDSP deben identificar y gestionar activamente los riesgos cibernéticos planteados por sus proveedores. Esto incluye mapear dependencias, reforzar las protecciones contractuales y verificar que los datos en poder de terceros o gestionados por ellos cumplan los mismos estándares de resiliencia que los datos mantenidos internamente.

  4. Preparar evidencias de gestión continua del riesgo

    Los reguladores han ampliado sus facultades de inspección y recopilación de información. Pueden solicitar evidencias de cómo se gestiona el riesgo de forma continua, inspeccionar instalaciones, examinar documentación, probar sistemas y entrevistar al personal. 

Sanciones 

El Proyecto de Ley sustituye el régimen existente de sanciones de tres niveles por una estructura más clara de dos tramos escalada según la facturación. Las infracciones graves —no cumplir las obligaciones de seguridad o no notificar incidentes— conllevan una multa máxima de 17 millones de libras o el 4% de la facturación mundial, lo que sea mayor. Las infracciones menos graves, como los fallos de registro, conllevan un máximo de 10 millones de libras o el 2% de la facturación mundial. Se aplican sanciones diarias de hasta 50.000 libras por infracciones continuadas. Los reguladores también pueden tener en cuenta factores atenuantes, incluido si la organización realizó intentos genuinos de subsanar una infracción y su historial previo de cumplimiento. 

 

Los controles de copia de seguridad, restauración y recuperación que satisfacen el Proyecto de Ley 

El cumplimiento en todos los Objetivos del CAF será importante, pero cuando un incidente real desencadene una investigación, los reguladores se centrarán sin duda en si la organización puede recuperarse de verdad. Aquí hay algunos aspectos a tener en cuenta: 

¿Qué es el Objetivo D del CAF? 

El Objetivo D del CAF, “Minimizar el impacto de los incidentes de ciberseguridad”, es el estándar pertinente aquí. Este objetivo examina la capacidad de una organización para responder a incidentes y restaurar funciones esenciales. Se estructura en torno a dos principios:  

  • D1: Planificación de respuesta y recuperación 
  • D2: Lecciones aprendidas 

Cumplir el Objetivo D requiere más que un plan de recuperación documentado. En una auditoría posterior a un incidente, se esperarán evidencias de tres cosas: copias de seguridad a las que un atacante no pudiera acceder ni alterar, prueba de que esas copias de seguridad no han sido corrompidas y registros de restauración probados que muestren con qué rapidez la organización puede devolver los sistemas críticos a operación. 

¿Por qué les importan las copias de seguridad a los reguladores? 

La razón por la que a los reguladores les preocupa de forma tan específica la integridad de las copias de seguridad es que los ataques modernos de ransomware apuntan cada vez más directamente a los repositorios de copias de seguridad, corrompiendo datos, eliminando puntos de recuperación o alterando silenciosamente la configuración de retención. Una organización cuyas copias de seguridad han sido comprometidas ha perdido, en la práctica, su capacidad de recuperación.  

El énfasis del Proyecto de Ley en la recuperabilidad refleja directamente esta amenaza. En virtud de la Cláusula 10 del borrador actual, los Proveedores de Servicios Gestionados Relevantes deben "identificar y adoptar medidas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de los sistemas de red y de información de los que depende"—medidas que deben "garantizar un nivel de seguridad de los sistemas de red y de información adecuado al riesgo planteado, y prevenir y minimizar el impacto de los incidentes."  

Cómo contribuye la Inmutabilidad Absoluta al cumplimiento del Proyecto de Ley CSR

La inmutabilidad es el control técnico que aborda los elementos planteados anteriormente. Cuando los datos de copia de seguridad se escriben en almacenamiento inmutable, no pueden modificarse ni eliminarse durante el periodo de retención, ya sea por un atacante que haya obtenido acceso a la red o por un administrador actuando bajo coacción. 

Sin embargo, algunos sistemas que afirman ofrecer copias de seguridad “inmutables” tienen excepciones y lagunas ocultas. La Inmutabilidad Absoluta significa que ni siquiera el administrador con más privilegios o un atacante con acceso al almacenamiento de copias de seguridad puede modificar o eliminar datos. Esto solo puede lograrse utilizando un sistema de almacenamiento de copias de seguridad “seguro por diseño”, con Acceso Cero para ejecutar acciones destructivas, y este Acceso Cero debe ser verificable mediante pruebas de terceros. 

La restauración rápida importa tanto como la integridad de lo almacenado. El enfoque del Proyecto de Ley CSR en la resiliencia operativa reconoce que las interrupciones prolongadas en servicios esenciales conllevan consecuencias económicas y sociales; los datos limpios solo son útiles si pueden restaurarse con rapidez. 

Lista de verificación de cumplimiento del Proyecto de Ley de Ciber Seguridad y Resiliencia 

El cumplimiento demostrable requiere avanzar a través de cinco pasos clave:  

  1. Confirmar si su organización está dentro del alcance 
  2. Identificar a sus propios proveedores críticos 
  3. Monitorizar las próximas directrices regulatorias 
  4. Revisar la preparación de la respuesta a incidentes 
  5. Validar que su esquema de gestión de riesgos y recuperación 

Para una guía completa sobre cómo lograr cada uno de estos pasos, descargue nuestra Lista de verificación de cumplimiento del Proyecto de Ley CSR

Cómo Object First respalda el cumplimiento del CSR Bill 

Cuando—no si—el ransomware golpea, tu futuro depende de la ciberresiliencia. Object First es tu defensa definitiva: almacenamiento de copias de seguridad con Inmutabilidad Absoluta, diseñado específicamente para Veeam y orientado directamente a los controles del Objetivo D que los reguladores examinan con mayor rigor. Basado en Zero Trust y probado y verificado por terceros, Object First no requiere conocimientos de seguridad y escala con tu negocio. Cuando el almacenamiento de copias de seguridad es así de seguro, simple y potente, tú y tu organización sois Simplemente Resilientes. 

 

Resumen 

Cumplir con el Cyber Seguridad and Resilience Bill implica satisfacer cuatro obligaciones: alinearse con el NCSC CAF, notificar incidentes en un plazo de 24 y 72 horas, gestionar el riesgo de la cadena de suministro y demostrar resiliencia continua ante los reguladores bajo demanda.  

Las organizaciones deben confirmar ahora su estado de alcance, pero mantenerse vigilantes: el mecanismo de legislación secundaria del Bill significa que incluso quienes queden fuera de las definiciones actuales pueden verse incluidos a medida que el marco evolucione.  

De las obligaciones mencionadas, la integridad de las copias de seguridad y la velocidad de recuperación son lo que los reguladores examinan con mayor rigor tras un incidente real. El dispositivo de almacenamiento de copias de seguridad de Object First, seguro, simple y potente, garantiza copias de seguridad resilientes y un rendimiento de restauración rápido, cumpliendo los requisitos del Objetivo D y proporcionando una vía rápida y robusta para la recuperación en caso de un ataque de ransomware u otra pérdida de datos.

Preguntas frecuentes 

¿Es el CSR Bill lo mismo que NIS? 

No. El CSR Bill actualiza y amplía el Reglamento NIS 2018 en lugar de sustituirlo por completo. Las principales diferencias son el alcance, la notificación, la aplicación y la flexibilidad.  

  • En cuanto al alcance: se incorporan por primera vez los MSP, los grandes centros de datos y los grandes controladores de carga, y los reguladores pueden designar directamente a proveedores críticos individuales.  
  • En cuanto a la notificación: el plazo de 24/72 horas sustituye a un régimen más laxo, y el abanico de incidentes que deben notificarse es más amplio: el ransomware y la actividad de preposicionamiento pasan a estar dentro del alcance, cuando no habrían activado obligaciones bajo NIS 2018.  
  • En cuanto a la aplicación: la antigua estructura de sanciones de tres niveles da paso a un modelo de dos bandas basado en la facturación, eliminando los límites máximos fijos que ofrecían una disuasión limitada para las organizaciones más grandes.  
  • En cuanto a la flexibilidad: en lugar de incorporar el detalle técnico en la legislación primaria, el Bill crea un marco que la legislación secundaria y los códigos de práctica regulatorios irán completando con el tiempo.

¿Qué evidencias solicitará un regulador tras un incidente cibernético? 

Es probable que un regulador solicite: 

  • La notificación inicial en 24 horas y el informe completo en 72 horas
  • Un plan de respuesta a incidentes documentado que muestre los procesos que estaban vigentes antes del ataque
  • Evidencia de la integridad de las copias de seguridad—en concreto, registros que demuestren que los datos de copia de seguridad se almacenaron en un formato que no pudiera modificarse ni eliminarse
  • Registros de pruebas de restauración que demuestren que la organización había verificado previamente los tiempos y procedimientos de recuperación
  • Un análisis posterior al incidente que aborde la causa raíz y las lecciones aplicadas.  

Cuando el riesgo de la cadena de suministro sea un factor contribuyente, también será relevante la documentación de las evaluaciones de seguridad de los proveedores.

¿Exigirá el CSR Bill cambios en mi configuración actual de copias de seguridad? 

Depende de lo que tengas hoy. Las organizaciones con soluciones de copia de seguridad que almacenan los datos en un formato que puede sobrescribirse, eliminarse por un usuario con privilegios o accederse mediante una puerta trasera de administración probablemente tendrán que corregir esas brechas.  

Añadir un dispositivo de almacenamiento backup inmutable como Object First es la forma más directa de cerrar esa exposición sin reconstruir toda la pila de copias de seguridad. Funciona como un objetivo endurecido para los datos de copia de seguridad, manteniendo intactas las herramientas y los flujos de trabajo existentes.  

Guías relacionadas

Ver todos