12 de febrero de 2026

Autores

Por Louis Paganuzzi, asistente jurídico, Sedgwick Legal Services

Créditos adicionales de autoría: Paul Squires, socio de Sedgwick Legal Services, y Luke Moore, director de Informática Forense y Respuesta a Incidentes de Sedgwick International UK.

Una visión estratégica del régimen de ciberseguridad del Reino Unido y lo que está por venir.

Resumen ejecutivo

El proyecto de ley del Gobierno del Reino Unido sobre ciberseguridad y resiliencia (redes y sistemas de información) (el proyecto de ley) supone una actualización sustancial del régimen cibernético intersectorial del Reino Unido desde la entrada en vigor del Reglamento sobre redes y sistemas de información de 2018 (el Reglamento NIS). Para ello, amplía el alcance normativo, aumenta los requisitos de notificación de incidentes, establece mayores responsabilidades en la cadena de suministro y refuerza las facultades de ejecución. 

Forma parte de la agenda más amplia del gobierno en materia de seguridad nacional y de su esfuerzo por cerrar la brecha entre las crecientes amenazas cibernéticas y las capacidades de respuesta existentes.

Esta información explica los motivos que justifican las reformas, los principales cambios propuestos, quiénes se verán afectados y cómo deben prepararse las organizaciones.

¿Por qué se está actualizando el régimen NIS? 

El entorno de amenazas cibernéticas al que se enfrentan las organizaciones del Reino Unido se ha intensificado significativamente, en medio del rápido ritmo del desarrollo tecnológico y el aumento de los actores respaldados por el Estado. El Centro Nacional de Ciberseguridad del Reino Unido ha informado de un aumento de los incidentes cibernéticos, con incidentes cada vez más graves y de gran repercusión que afectan a servicios esenciales.

Al mismo tiempo, organismos reguladores como la ICO han destacado la necesidad de acelerar las mejoras en la resiliencia de la cadena de suministro, reconociendo que las dependencias en cadenas de suministro largas e interconectadas son una fuente importante de exposición. Esta es una de las preocupaciones recurrentes, planteadas en los debates sobre políticas gubernamentales, de que los requisitos actuales de notificación de incidentes no proporcionan suficiente visibilidad de los riesgos sistémicos a los que se enfrentan los servicios más afectados.

El proyecto de ley tiene por objeto garantizar que la normativa se modernice y refleje las realidades estructurales de la infraestructura digital actual, en la que una interrupción en un solo proveedor de servicios puede tener consecuencias intersectoriales de gran alcance.

Ámbito ampliado

El proyecto de ley amplía significativamente el alcance de las organizaciones sujetas a regulación. Además de los operadores de servicios esenciales y los proveedores de servicios digitales pertinentes existentes, el régimen presta especial atención a la seguridad de la cadena de suministro, de forma similar a la NIS2 de la UE. Por ejemplo, abarca:

  • Proveedores de servicios gestionados (MSP): proveedores medianos y grandes (designados como proveedores de servicios gestionados relevantes).
  • Proveedores de servicios de centros de datos, incluidos aquellos que superan los umbrales de capacidad definidos anteriormente.
  • Ciertos controladores de carga grande
  • Proveedores críticos designados: aquellos cuya interrupción del servicio podría afectar de manera significativa a los servicios esenciales o digitales.

El alcance será flexible, y los reguladores tendrán la autoridad para ampliar el régimen, lo que les permitirá designar a las organizaciones que consideren proveedores críticos.

Fortalecimiento de la notificación de incidentes

El proyecto de ley introduce la notificación temprana de incidentes, umbrales de notificación más amplios y un mejor intercambio de información.

Según la normativa NIS vigente, los incidentes que alcancen los umbrales de notificación deben comunicarse al regulador en un plazo de 72 horas. El nuevo proyecto de ley modificaría esta posición (en cierta medida), alineándose con los requisitos que vemos en la Directiva NIS2 de la UE, que establece una notificación inicial en un plazo de 24 horas y un seguimiento en un plazo de 72 horas.

En cuanto a las notificaciones a los clientes, según la normativa NIS vigente, el proveedor está obligado a notificar al regulador correspondiente. A continuación, dicho regulador puede proceder a notificar al público o exigir al proveedor que lo haga. El proyecto de ley propone cambiar esto, imponiendo al propio proveedor la obligación de notificar directamente a los clientes.

Mecanismos y facultades de ejecución del Secretario de Estado

El Secretario de Estado también tendrá facultades adicionales. Esto incluye la capacidad de emitir códigos de prácticas reglamentarios, así como declaraciones de prioridades estratégicas, que describen los objetivos del Gobierno para fortalecer la resiliencia y la seguridad en los servicios vitales.

Además, el proyecto de ley introduce un régimen de aplicación más estricto. Los reguladores tendrán mayores facultades de investigación, un nuevo mecanismo legal de recuperación de costes mediante sistemas de tarificación y acceso a una estructura de sanciones revisada vinculada al volumen de negocios de la organización. Las multas máximas aumentan considerablemente, y las infracciones graves pueden acarrear sanciones de hasta 17 millones de libras esterlinas o el 4 % del volumen de negocios global (lo que sea mayor), además de sanciones diarias adicionales por incumplimiento y infracciones continuadas.

Implicaciones prácticas

Las organizaciones que ya están reguladas por el marco NIS deben evaluar cómo el proyecto de ley puede alterar sus obligaciones operativas, de gobernanza y de presentación de informes, en particular los servicios prestados a través de proveedores de servicios gestionados. 

Luke Moore, director de Servicios de Investigación Forense Digital y Respuesta a Incidentes de Sedgwick, comenta que «la nueva legislación refuerza que la ciberseguridad es ahora, más que nunca, una responsabilidad que recae en última instancia en la dirección. El cumplimiento de estos requisitos comienza por tener claridad sobre la infraestructura y los datos que se poseen, ya que no es posible cumplir sin saber qué se gestiona y qué se protege. El proyecto de ley destaca un cambio hacia la acción temprana, una supervisión más estricta y unas capacidades de respuesta probadas».

Estamos trabajando con nuestros clientes para tomar medidas ahora, verificar sus controles y comprender sus infraestructuras y riesgos operativos, de modo que se encuentren en una posición mucho más sólida cuando entren en vigor las nuevas obligaciones reglamentarias.

Por supuesto, el proyecto de ley solo se encuentra al inicio de su tramitación parlamentaria, habiéndose completado su segunda lectura a principios de enero de 2026. El proyecto de ley pasará ahora a la fase de comisión, en la que se llevará a cabo un examen detallado cláusula por cláusula. Animamos a las organizaciones a que sigan de cerca la evolución del proyecto de ley a medida que avanza en el Parlamento, asegurándose de que están preparadas para las reformas propuestas y para un entorno de cumplimiento más riguroso en el futuro.

Cómo podemos ayudar

Sedgwick aconseja a las organizaciones que no consideren el proyecto de ley simplemente como un obstáculo para el cumplimiento normativo, sino como una oportunidad estratégica para reforzar la resiliencia, la gobernanza y la confianza ante los riesgos emergentes. Nuestros equipos especializados en informática forense y asuntos legales prestan asistencia en los siguientes ámbitos:

  • Auditorías de resiliencia de la gobernanza cibernética y los marcos de información
  • Revisiones contractuales de las cláusulas de seguridad de la cadena de suministro y los factores desencadenantes de la escalada.
  • Desarrollo de manuales de procedimientos para incidentes y protocolos de notificación a la junta directiva.
  • Interpretación de las obligaciones y los umbrales específicos del sector

Además, ofrecemos servicios integrados de asesoramiento jurídico y cumplimiento normativo que permiten a las empresas:

  • Cumplir de forma proactiva con las expectativas normativas.
  • Comunicar la preparación a los clientes, juntas directivas y partes interesadas.
  • Alinear las inversiones en tecnología con las obligaciones legales emergentes.
  • Mejorar la resiliencia en las operaciones, la tecnología y las cadenas de suministro.

Además del apoyo legal y normativo que brinda Sedgwick Legal Services, puede fortalecer su posición adoptando medidas operativas complementarias que ayuden a demostrar su capacidad en el mundo real a través de Sedgwick Digital Forensics & Incident Response Services:

  • Auditorías independientes de evaluación cibernética que validan la eficacia de los controles e identifican las debilidades. 
  • Pruebas proactivas y supervisión continua para demostrar la resiliencia frente a amenazas emergentes. 
  • Evaluaciones específicas de minería de datos para mapear los datos que posee, dónde se encuentran y dónde puede existir exposición. 
  • Mejora de los informes internos para que los hallazgos técnicos se traduzcan en información clara y útil para la gobernanza.

La resiliencia cibernética es ahora un requisito empresarial. El proyecto de ley marca un cambio de la conformidad pasiva a la capacidad activa. Las organizaciones que combinen una sólida orientación jurídica con conocimientos operativos basados en pruebas estarán en mejores condiciones para liderar con confianza, continuidad y control.

Para obtener más información, póngase en contacto con:

Etiquetas: cibernético delitos cibernéticos Resiliencia cibernética Riesgo cibernético ciberseguridad

Más artículos como este

La disrupción global se enfrenta a la realidad local en el sector de las reparaciones de seguros en el Reino Unido Información clave

La disrupción global se enfrenta a la realidad local en el sector de las reparaciones de seguros en el Reino Unido

VistaClaim: un enfoque conectado para los siniestros por daños materiales en automóviles Información clave

VistaClaim: un enfoque conectado para los siniestros por daños materiales en automóviles

La recuperación del sector de la aviación tras la COVID-19: cómo los fabricantes y las empresas de mantenimiento, reparación y revisión (MRO) están impulsando la reactivación mundial Información clave

La recuperación del sector de la aviación tras la COVID-19: cómo los fabricantes y las empresas de mantenimiento, reparación y revisión (MRO) están impulsando la reactivación mundial

Idiomas