12 de febrero de 2026

Autores

Por Louis Paganuzzi, asistente jurídico, Sedgwick Legal Services

Otros autores: Paul Squires – Socio de Sedgwick Legal Services, y Luke Moore – Director de Informática Forense y Respuesta a Incidentes de Sedgwick International UK

Una visión estratégica del marco de ciberseguridad del Reino Unido y de lo que está por venir.

Resumen ejecutivo

El proyecto de ley del Gobierno del Reino Unido sobre ciberseguridad y resiliencia (redes y sistemas de información) (en adelante, «el proyecto de ley») supone una actualización sustancial del régimen cibernético intersectorial del Reino Unido desde la entrada en vigor del Reglamento sobre redes y sistemas de información de 2018 (en adelante, «el Reglamento NIS»). Para ello, amplía el ámbito de aplicación de la normativa, refuerza los requisitos de notificación de incidentes, establece mayores responsabilidades en la cadena de suministro y refuerza las facultades de ejecución. 

Forma parte de la agenda general de seguridad nacional del Gobierno y de su esfuerzo por reducir la brecha entre las crecientes amenazas cibernéticas y las capacidades de respuesta existentes.

Este análisis explica los motivos que subyacen a las reformas, los principales cambios propuestos, a quiénes afectarán y cómo deben prepararse las organizaciones.

¿Por qué se está actualizando el régimen del NIS? 

El panorama de amenazas cibernéticas al que se enfrentan las organizaciones del Reino Unido se ha agravado considerablemente, en un contexto de rápido avance tecnológico y de aumento de los actores respaldados por Estados. El Centro Nacional de Ciberseguridad del Reino Unido ha informado de un aumento de los incidentes cibernéticos, con casos cada vez más graves y de gran repercusión que afectan a servicios esenciales.

Al mismo tiempo, organismos reguladores como la ICO han destacado la necesidad de acelerar las mejoras en la resiliencia de la cadena de suministro, reconociendo que las dependencias en cadenas de suministro largas e interconectadas constituyen una fuente importante de vulnerabilidad. Esta es una de las preocupaciones recurrentes que se plantean en los debates sobre políticas gubernamentales: que los actuales requisitos de notificación de incidentes no proporcionan suficiente visibilidad sobre los riesgos sistémicos a los que se enfrentan los servicios más afectados.

El proyecto de ley tiene por objeto garantizar que la normativa se modernice y refleje las realidades estructurales de la infraestructura digital actual, en la que una interrupción en un solo proveedor de servicios puede tener repercusiones en cadena de gran alcance en todos los sectores.

Ampliación del ámbito de aplicación

El proyecto de ley amplía considerablemente el ámbito de aplicación de las organizaciones sujetas a la normativa. Además de los operadores de servicios esenciales y los proveedores de servicios digitales pertinentes ya existentes, el régimen presta especial atención a la seguridad de la cadena de suministro, de forma similar a la Directiva NIS2 de la UE. Por ejemplo, abarca:

  • Proveedores de servicios gestionados (MSP): proveedores medianos y grandes (denominados «proveedores de servicios gestionados relevantes»)
  • Proveedores de servicios de centros de datos, incluidos aquellos que superan los umbrales de capacidad mencionados anteriormente
  • Determinados controladores de cargas pesadas
  • Proveedores designados como críticos: aquellos cuya interrupción del servicio podría afectar de manera significativa a los servicios esenciales o digitales

El ámbito de aplicación será flexible, y los organismos reguladores tendrán la facultad de ampliar el régimen, lo que les permitirá designar a las organizaciones que consideren proveedores esenciales.

Mejorar la notificación de incidentes

El proyecto de ley introduce la notificación más temprana de incidentes, umbrales de notificación más amplios y un intercambio de información mejorado.

Según la normativa vigente sobre la Directiva NIS, los incidentes que alcancen los umbrales de notificación deben comunicarse al organismo regulador en un plazo de 72 horas. El nuevo proyecto de ley modificaría esta disposición (en cierta medida), ajustándose a los requisitos establecidos en la Directiva NIS 2 de la UE, que prevé una notificación inicial en un plazo de 24 horas y un informe de seguimiento en un plazo de 72 horas.

En cuanto a las notificaciones a los clientes, según la normativa vigente sobre seguridad de las redes y de la información, el proveedor está obligado a notificarlo al organismo regulador competente. A continuación, dicho organismo puede proceder a informar al público o exigir al proveedor que lo haga. El proyecto de ley propone modificar esta disposición, imponiendo al propio proveedor la obligación de notificarlo directamente a los clientes.

Mecanismos y competencias del Secretario de Estado en materia de cumplimiento

El secretario de Estado también contará con competencias adicionales. Entre ellas se incluye la facultad de promulgar códigos de prácticas reglamentarios, así como declaraciones de prioridades estratégicas, en los que se definan los objetivos del Gobierno para reforzar la resiliencia y la seguridad en todos los servicios esenciales.

Además, el proyecto de ley introduce un régimen de aplicación más estricto. Las autoridades reguladoras contarán con mayores facultades de investigación, un nuevo mecanismo legal de recuperación de costes mediante sistemas de tasas y acceso a una estructura sancionadora revisada vinculada al volumen de negocio de la organización. Las multas máximas aumentan considerablemente: las infracciones graves se sancionarán con multas de hasta 17 millones de libras esterlinas o el 4 % del volumen de negocio global (lo que sea mayor), además de sanciones diarias adicionales por el incumplimiento continuado y las infracciones.

Implicaciones prácticas

Las organizaciones que ya están reguladas por el marco de la Directiva sobre la seguridad de las redes y de la información (NIS) deberían evaluar cómo el proyecto de ley podría modificar sus obligaciones operativas, de gobernanza y de presentación de informes, en particular en lo que respecta a los servicios prestados a través de proveedores de servicios gestionados. 

Luke Moore, director de Servicios de Análisis Forense Digital y Respuesta a Incidentes de Sedgwick, señala que «la nueva legislación reafirma que la ciberseguridad es ahora, más que nunca, en última instancia, una responsabilidad que recae en el consejo de administración. El cumplimiento de estos requisitos comienza por tener una visión clara de la infraestructura y los datos que se poseen, ya que no es posible cumplir con la normativa sin saber qué se gestiona y qué se protege. El proyecto de ley pone de relieve un cambio hacia la actuación temprana, una supervisión más rigurosa y unas capacidades de respuesta probadas».

«Estamos colaborando con nuestros clientes para tomar medidas desde ahora mismo, con el fin de verificar sus controles y comprender sus infraestructuras y sus riesgos operativos, de modo que se encuentren en una posición mucho más sólida cuando entren en vigor las nuevas obligaciones normativas».

Por supuesto, el proyecto de ley se encuentra solo al inicio de su tramitación parlamentaria, habiéndose completado su segunda lectura a principios de enero de 2026. El proyecto de ley pasará ahora a la fase de comisión, donde se llevará a cabo un examen detallado artículo por artículo. Animamos a las organizaciones a que sigan de cerca la evolución del proyecto de ley a medida que avanza en el Parlamento, asegurándose de estar preparadas para las reformas propuestas y para el entorno normativo más riguroso que se avecina.

Cómo podemos ayudarte

Sedgwick aconseja a las organizaciones que aborden el proyecto de ley no solo como un obstáculo para el cumplimiento normativo, sino como una oportunidad estratégica para reforzar la resiliencia, la gobernanza y la confianza ante los riesgos emergentes. Nuestros equipos especializados en informática forense y asuntos jurídicos prestan asistencia en:

  • Auditorías de resiliencia de los marcos de gobernanza cibernética y de presentación de informes
  • Revisiones contractuales de las cláusulas de seguridad de la cadena de suministro y los mecanismos de escalamiento
  • Elaboración de manuales de actuación ante incidentes y protocolos de información para el consejo de administración
  • Interpretación de las obligaciones y los umbrales específicos de cada sector

Además, ofrecemos servicios integrados de asesoramiento jurídico y cumplimiento normativo que permiten a las empresas:

  • Cumplir de forma proactiva con los requisitos normativos
  • Comunicar la preparación a los clientes, los consejos de administración y las partes interesadas
  • Adaptar las inversiones en tecnología a las nuevas obligaciones legales
  • Mejorar la resiliencia en las operaciones, la tecnología y las cadenas de suministro

Además del apoyo jurídico y normativo que ofrece Sedgwick Legal Services, puede reforzar su posición adoptando medidas operativas complementarias que le ayuden a demostrar su capacidad en la práctica a través de los servicios de análisis forense digital y respuesta ante incidentes de Sedgwick:

  • Auditorías independientes de evaluación cibernética que validan la eficacia de los controles e identifican las deficiencias 
  • Pruebas proactivas y supervisión continua para demostrar la capacidad de resistencia frente a las amenazas emergentes 
  • Evaluaciones específicas de minería de datos para identificar los datos que posee, dónde se encuentran y dónde pueden existir riesgos de exposición 
  • Mejora de los informes internos para que los hallazgos técnicos se traduzcan en información clara y útil para la gobernanza

La ciberresiliencia es hoy en día un requisito empresarial. El proyecto de ley marca un cambio de un cumplimiento pasivo a una capacidad activa. Las organizaciones que combinen una sólida orientación jurídica con un conocimiento operativo basado en datos estarán mejor posicionadas para liderar en materia de confianza, continuidad y control.

Para más información, póngase en contacto con:

Etiquetas: cibern delitos cibernéticos resiliencia cibernética Riesgo cibernético ciberseguridad

Más artículos como este

Solución de problemas en la financiación de vehículos: por qué la ejecución es ahora más importante que la intención Perspectivas

Solución de problemas en la financiación de vehículos: por qué la ejecución es ahora más importante que la intención

Péptidos chinos: innovación, riesgo y los límites de la autoexperimentación Perspectivas

Péptidos chinos: innovación, riesgo y los límites de la autoexperimentación

La disrupción global se enfrenta a la realidad local en el sector de las reparaciones de seguros en el Reino Unido Perspectivas

La disrupción global se enfrenta a la realidad local en el sector de las reparaciones de seguros en el Reino Unido

Idiomas