La decisión del gobierno británico de excluirse del alcance de su propia ley cibernética debilita la confianza

 (theregister.com)
1 puntos por GN⁺ 2026-01-12 | 1 comentarios | Compartir por WhatsApp
  • El proyecto de ley británico de ‘Cyber Security and Resilience (CSR)’ incluye bajo regulación a la infraestructura crítica nacional y a los proveedores de servicios gestionados, pero excluye al gobierno central y a los gobiernos locales
  • En su lugar, el gobierno dijo que aplicará voluntariamente los mismos estándares de seguridad a través del ‘Government Cyber Action Plan’, pero sin obligación legal
  • Varios legisladores y expertos critican que, aunque el sector público es un objetivo principal de ataques, haya quedado fuera del alcance de la ley, y señalan que los estándares voluntarios sin fuerza legal generan falta de confianza
  • Según un informe de la National Audit Office (NAO), las fallas de seguridad y los retrasos en las mejoras dentro de los sistemas gubernamentales son graves, lo que genera preocupación de que el plan actual no sea suficiente
  • La decisión de excluir al sector público despierta dudas sobre la voluntad del gobierno en materia de ciberseguridad, y aumenta la necesidad de reforzar la legislación en el futuro

Alcance del proyecto de ley CSR y la autoexención del gobierno

  • El proyecto de ley CSR busca modernizar el marco de ciberseguridad del Reino Unido reemplazando la regulación NIS de 2018
    • Incluye a proveedores de servicios gestionados y centros de datos, pero excluye al gobierno central y a los gobiernos locales
    • A diferencia de la directiva NIS2 de la UE, deja a los organismos públicos fuera del alcance regulatorio
  • Sir Oliver Dowden criticó en la Cámara de los Comunes que el gobierno se haya excluido a sí mismo de la aplicación de la ley
    • Sostuvo que deberían imponerse requisitos más estrictos al sector público
    • Subrayó que debe existir una obligación legal para que los ministros traten la ciberseguridad como una prioridad

Respuesta del gobierno y el ‘Cyber Action Plan’

  • El ministro Ian Murray respondió que aceptaría la propuesta de Dowden y mencionó el Government Cyber Action Plan
    • Este plan aplica a los departamentos gubernamentales estándares de seguridad equivalentes a los del proyecto de ley CSR, pero sin fuerza legal vinculante
    • Los críticos lo ven como una medida para esquivar críticas y cuestionan si realmente fortalecerá la seguridad
  • Neil Brown (Decoded.legal) señaló que “si el gobierno va a seguir estándares al nivel del proyecto de ley, no hay razón para evitar quedar sujeto a la ley”
    • Evaluó la exclusión del proyecto como una decisión que no inspira confianza

La realidad de la seguridad en el sector público y las críticas

  • Según un informe del NCSC, entre septiembre de 2020 y agosto de 2021, el 40% de los ataques gestionados tuvo como objetivo al sector público
    • Se espera que esta proporción siga aumentando
  • El informe de 2025 de la National Audit Office (NAO) revisó 58 de los 72 sistemas críticos del gobierno y confirmó numerosas fallas de seguridad y una lenta velocidad de mejora
    • Esto muestra que el sector público sigue siendo vulnerable a ciberataques regulares
  • En este contexto, la exclusión del sector público del proyecto de ley CSR ha sido criticada como una falta de coherencia en la política pública

Próxima dirección legislativa y debate

  • El diputado laborista Matt Western comentó que el proyecto de ley CSR no es una solución completa y que después vendrá legislación adicional y más específica
    • Mencionó la posibilidad de que el gobierno prepare por separado una ley de ciberseguridad dedicada al sector público
  • Neil Brown valoró que “un enfoque de aprobar con frecuencia leyes pequeñas y claras es más sensato”
    • Explicó que, como ocurrió con la Telecommunications (Security) Act 2021 y la Product Security and Telecommunications Infrastructure Act 2022, una legislación separada por sectores puede ser más efectiva

Confianza y repercusiones políticas

  • Cada vez que organismos públicos, concejos locales o el NHS sufran ataques, la decisión del gobierno de excluirse del proyecto de ley se convertirá en material de ataque para la oposición
    • También se señaló el precedente de haber dejado sin aplicar durante más de dos años recomendaciones de mejora de seguridad propuestas en 2022, bajo el gobierno conservador
  • Mientras el gobierno mantenga esta autoexención, es probable que continúe la falta de confianza en su voluntad de mejorar la ciberseguridad
    • Para que el proyecto de ley CSR se consolide como eje central del marco nacional de seguridad, la inclusión o no del sector público seguirá siendo un tema clave en adelante

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-12
Comentarios en Hacker News

  • Le eché un vistazo rápido a este proyecto de ley y creo que se está interpretando de forma demasiado cínica
    La idea principal es designar a proveedores y prestadores de servicios clave y definir sus obligaciones de seguridad
    El gobierno central normalmente no actúa como proveedor directo, sino como cliente que utiliza varios proveedores externos
    Por eso no me parece raro que al inicio el gobierno haya quedado fuera del alcance de la ley. Creo que el orden correcto es primero poner en orden a los proveedores de primer nivel y luego preparar una regulación para el conjunto de las funciones del gobierno

    • Según la lógica que mencionas, el gobierno quedaría naturalmente fuera del alcance de la ley aunque no hiciera falta especificar una exención
      Pero el hecho de que esta vez hayan incluido explícitamente una exención puede verse como una prueba de que, en principio, el gobierno sí estaba contemplado dentro del alcance de la ley
    • El problema es que este enfoque ya fue uno de los defectos fatales de intentos anteriores
      Si fuera el primer intento estaría de acuerdo, pero ya es una fórmula que ha fracasado varias veces
    • Creo que la premisa de que “el gobierno central es un cliente” es incorrecta
      El gobierno colabora con muchísimos proveedores, pero al mismo tiempo también actúa directamente como prestador de servicios a través de la agencia nacional de ciberseguridad u organismos de soporte de TI
      Por ejemplo, opera SOC, hace consultoría de seguridad y comparte información, entre muchas otras funciones, así que excluir al gobierno solo parece una medida para ahorrar presupuesto

  • Creo que si las agencias del gobierno británico adoptan gradualmente la divulgación coordinada de vulnerabilidades (Coordinated Vulnerability Disclosure), podría lograrse una mejora real en seguridad
    Eso también coincide con el artículo, que plantea este proyecto de ley UK CSR como un primer paso para evolucionar hacia una legislación de seguridad más adaptada
    Yo trabajo en ingeniería de software relacionada con información médica, así que este tema me toca de manera especialmente profesional
    El material relacionado puede verse en GitHub enlace

  • Parece la típica actitud de “hagan lo que decimos, no lo que hacemos”, con los ingenieros que diseñan el cambio sentados cómodamente al fondo

  • Es parecido a lo que pasa en Texas y otros lugares, donde las agencias del gobierno estatal no tienen que cumplir los códigos de construcción
    Yo vi casos así cuando trabajé en la obra de un centro de datos estatal — era algo como “¿asbesto? ¿qué es eso?”

  • Estas exenciones tienen sus motivos
    Por ejemplo, evitar tener que presentarse informes a sí mismos o divulgar información sensible
    Pero el enfoque correcto es crear un marco legal base y luego, en la normativa de implementación, especificar algo como “la agencia XXX aplicará NIS2 con las siguientes excepciones”
    Así se evita una exención excesiva y se impide que cada organismo invente sus propias reglas
    En la industria nuclear y militar esto también es habitual. Declarar una exención amplia desde el principio es un enfoque equivocado

  • No entiendo por qué el Reino Unido adopta una postura tan autoritaria en temas de ciberseguridad
    Se ven seguido leyes del tipo “estas son reglas para ustedes, no para nosotros”

    • Esto trata sobre el Cyber Security and Resilience Bill
      El objetivo es reforzar la seguridad de activos clave y fortalecer la obligación de reportar incidentes, así que me llama la atención que a medidas así se les diga “autoritarias”
      Me gustaría saber qué es lo que te hace verlo de esa manera
    • Las leyes británicas relacionadas con computación sí son autoritarias, pero no son muy distintas de las de otros países occidentales
    • El Reino Unido necesita tener normas parecidas a la regulación de la UE (NIS2) para mantener el reconocimiento mutuo con la UE y no obstaculizar el comercio
      Pero al mismo tiempo no quiere admitir que está “siguiendo a la UE”
      Así que están reescribiendo la ley para que empresas británicas de ingeniería y consultoras puedan redactar los documentos regulatorios y mantener un monopolio de compliance
    • No es un problema exclusivo de la ciberseguridad. En otras áreas se ve una actitud parecida

  • Como británico, cuando el gobierno dice que “no tendrá una obligación legal, pero mantendrá un estándar equivalente a través del Cyber Action Plan”, al final eso equivale a decir “confíen en nuestro PDF”
    Creo que ya deberíamos pasar rápido a la era de la no repudio (non-repudiation)

  • (Respuesta a un comentario anterior)
    Me dan ganas de preguntar si acaso ya olvidaron quién creó la primera computadora y quién creó la World Wide Web