Las autoridades del Reino Unido introdujeron el miércoles una legislación muy esperada que crearía estándares mínimos de ciberseguridad para industrias críticas, establecería plazos para informar incidentes y regularía ciertos servicios de TI que han sido el nexo de una reciente ola de ataques de ingeniería social.
El Proyecto de ley de ciberseguridad y resiliencia permitiría designar como esenciales a los proveedores de sectores críticos como la sanidad, el agua, el transporte o la energía. Luego tendrían que cumplir estándares mínimos de ciberseguridad para ayudar a evitar mayores interrupciones en la cadena de suministro.
El plan también regularía a las empresas que brindan servicios de TI, ciberseguridad y soporte de mesa de ayuda de TI para que tengan planes de seguridad sólidos e informen rápidamente incidentes de seguridad importantes al gobierno.
Si se promulga, la ley crear sanciones más durasincluidas sanciones basadas en la facturación, en casos de infracciones cibernéticas importantes. El proyecto de ley permitiría sanciones de hasta 22,4 millones de dólares (17 millones de libras), o el 4% de la facturación mundial de una organización regulada. Los ataques menos importantes darían lugar a una sanción menor, del 2% del volumen de negocios anual.
El Secretario de Tecnología del Reino Unido recibiría nuevos poderes para obligar a los reguladores a tomar medidas específicas para impulsar la preparación cibernética en casos de seguridad nacional.
La legislación llega un mes después de que las autoridades del Reino Unido emitió un análisis sombrío de la postura cibernética de la nación. El país experimentó un récord de 204 ataques de importancia nacional y 18 que se consideraron incidentes de gran importancia.
Una ola de ataques ha tenido impactos catastróficos en la economía del Reino Unido. Un ciberataque de finales de verano contra Jaguar Land Rover Le costó a la economía del país unos 2.500 millones de dólares.y el gobierno acordó un paquete de préstamos masivo que ayudaría a proteger la extensa cadena de suministro del fabricante de automóviles del colapso.
«El nuevo proyecto de ley de ciberseguridad y resiliencia del Reino Unido introduce sanciones basadas en la facturación y poderes gubernamentales de emergencia significativamente más estrictos en comparación con los marcos NIS2 y GDPR existentes, sentando un precedente para una aplicación más estricta de la ciberseguridad», dijo Madelein van der Hout, analista senior de Forrester, a Cybersecurity Dive.
En septiembre, Richard Horne, director ejecutivo del Centro Nacional de Seguridad Cibernética, pidió un cambio enfocados hacia la continuidad del negociodurante un discurso en la Cumbre de Ciberseguridad de Billington en Washington, DC
El Reino Unido ha visto a grandes empresas pasar semanas de perturbaciones relacionadas con ataques cibernéticos, incluidos cadena de grandes almacenes Marks & Spencerque sufrió un impacto de 400 millones de dólares por un ataque de ingeniería social en abril.
El presidente de M&S pidió a las autoridades del Reino Unido que desarrollen un requisito de presentación de informes obligatorios en caso de ataques importantes.
Fuente