Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
En este blog, ofrecemos una vista preliminar y reducida del artículo escrito por Alberto Palomar Olmeda, profesor titular (acreditado) de Derecho Administrativo; magistrado de lo contencioso-administrativo (EV); Abogado y Socio de Broseta, para el décimo número de nuestra Revista Digital «ELEX INSIGHT».
Para leer el nuevo número de la revista de forma gratuita, haz clic aquí. En la misma, seis expertos del ámbito jurídico analizan en detalle las últimas novedades del sistema legal en España y como las nuevas tecnologías emergentes funcionan a través de ellos.
Introducción
El Reglamento de Sistemas de Red e Información 2018 (The Network and Information Systems Regulations 2018) marcó un punto de inflexión en la protección de la ciberseguridad en el Reino Unido. Aprobado como trasposición de la Directiva NIS 1 de la Unión Europea, estableció un marco de obligaciones para operadores de servicios esenciales y proveedores digitales.
Tras el Brexit, este reglamento sigue siendo la referencia normativa, aunque con la necesidad de adaptación a los cambios tecnológicos y a la entrada en vigor de la Directiva NIS 2 en la Unión Europea (octubre de 2024). En este contexto, el Cyber Security and Resilience Bill busca actualizar y reforzar la regulación británica.
Contexto y objetivos del Reglamento de 2018
El reglamento entró en vigor el 10 de mayo de 2018 con el propósito de elevar el nivel de seguridad de los sistemas de información. Entre sus principales objetivos destacan:
- Obligar a la notificación de incidentes graves.
- Requerir medidas de gestión de riesgos y protección técnica.
- Establecer autoridades competentes para supervisar sectores clave.
- Aplicar sanciones económicas en caso de incumplimiento, que pueden llegar hasta 17 millones de libras.
El reglamento también obligó al gobierno británico a publicar una estrategia nacional de ciberseguridad, revisable periódicamente y alineada con los estándares europeos.
Régimen jurídico de operadores y proveedores
La normativa distingue dos categorías principales:
- Operadores de servicios esenciales (OES): sectores como energía, salud, agua potable, transporte e infraestructuras digitales.
- Proveedores de servicios digitales (RDSP): plataformas en línea, motores de búsqueda y servicios en la nube.
Ambos deben garantizar medidas de seguridad proporcionales al riesgo y notificar los incidentes a las autoridades. Además, la ley prevé mecanismos de inspección, coerción y sanciones, con posibilidad de recurso ante tribunales.
Ejecución, sanciones y control público
El régimen sancionador refuerza el papel de la administración en la seguridad pública, superando la visión inicial de la ciberseguridad como un tema meramente técnico. Las multas buscan ser proporcionales a la gravedad y duración del incumplimiento, considerando también la capacidad económica del infractor.
Otro aspecto relevante es la publicidad de sanciones, salvo en casos que afecten a la seguridad nacional o a intereses comerciales críticos.
La propuesta de reforma: Cyber Security and Resilience Bill
El proyecto de ley de ciberseguridad y resiliencia actualmente en tramitación representa la evolución natural del marco normativo británico. Sus ejes principales son:
1. Ampliación del ámbito de aplicación
Incluye no solo a los OES y RDSP ya regulados, sino también a proveedores críticos designados (DCS) dentro de la cadena de suministro. Esto responde a la necesidad de prevenir vulnerabilidades en proveedores cuyo fallo pueda comprometer servicios esenciales.
2. Refuerzo en la notificación de incidentes
Introduce una notificación en dos fases:
- Comunicación inicial a las 24 horas.
- Informe detallado posterior.
Con ello se busca mayor transparencia y capacidad de reacción.
3. Facultades de supervisión y coerción
El ICO (Information Commissioner’s Office) y el NCSC (National Cyber Security Centre) tendrán mayores poderes para investigar, requerir información y sancionar.
4. Otros elementos clave
- Ampliación de sectores cubiertos, en línea con NIS 2.
- Incremento de sanciones, aunque no se fijan importes máximos tan altos como en la UE.
- Inclusión explícita de riesgos en la cadena de suministro.
Resumen de los puntos clave
- El Reglamento de 2018 implementó la Directiva NIS 1 en Reino Unido.
- Define obligaciones de seguridad y notificación para OES y RDSP.
- Establece un régimen sancionador con multas de hasta 17 millones de libras.
- Refuerza la idea de ciberseguridad como parte de la seguridad pública.
- El Cyber Security and Resilience Bill pretende actualizar el marco, ampliando sectores y obligaciones, alineándose con la Directiva NIS 2.
Conclusiones
El Reglamento de 2018 fue una herramienta clave para alinear al Reino Unido con la política europea de ciberseguridad en un momento crítico, justo antes del Brexit. No obstante, los avances tecnológicos y el incremento de ciberataques exigen una adaptación normativa.
El Cyber Security and Resilience Bill refuerza la supervisión, amplía la cobertura regulatoria y actualiza los requisitos de notificación de incidentes, garantizando que Reino Unido no quede rezagado frente a la Unión Europea en materia de ciberseguridad.
En definitiva, la reforma confirma que la protección de la infraestructura digital y los servicios esenciales es ya un componente central de la seguridad nacional y de la confianza ciudadana en el entorno digital.
Disfruta de más contenido sobre tecnología aplicada al Sector Legal
Este blog solo recoge una muestra resumida del contenido que puedes encontrar en el sexto número de la Revista Digital «ELEX INSIGHT«. Para acceder a todos los números de forma gratuita, visita el siguiente enlace:
Revista Digital ABRIL 2025
🡡 Haz clic para leer 🡡
Si deseas descubrir cómo la inteligencia artificial de ELEX puede transformar tu práctica legal, solicita ahora una DEMO a través de este enlace o programa una reunión con nuestros expertos para aclarar cualquier duda que puedas tener al respecto.