UK cyber‑security bill makes data centres national security targets

• El proyecto de ley someterá a los centros de datos que superen un umbral de capacidad a nuevas obligaciones de notificación y gestión de riesgos.
• El incumplimiento podría dar lugar a fuertes multas y una supervisión más estricta por parte de los reguladores.

¿Qué sucedió? El Reino Unido somete a los grandes centros de datos a nuevas normas de ciberseguridad

El gobierno del Reino Unido ha presentado su Proyecto de Ley de Ciberseguridad y Resiliencia, que ampliará la supervisión regulatoria para incluir centros de datos, proveedores de servicios gestionados y cadenas de suministro clave. Según propuestas detalladas, los centros de datos con una capacidad de 1 MW o más —o de 10 MW o más en el caso de centros exclusivos para empresas— estarán sujetos a las nuevas normas. Estas instalaciones deberán notificar a los reguladores sobre sus operaciones, implementar medidas de gestión de riesgos “apropiadas y proporcionadas” e informar sobre incidentes significativos de ciberseguridad. La declaración de política del gobierno también prevé un régimen regulatorio más coherente, con el Departamento de Ciencia, Innovación y Tecnología y Ofcom compartiendo la supervisión. Paralelamente, las empresas estarán obligadas a informar de incidentes de ciberseguridad al Centro Nacional de Ciberseguridad (NCSC) en un plazo de 24 horas desde su detección, y proporcionar un informe más completo en un plazo de 72 horas.

Lea también: El Reino Unido acelera la planificación y el acceso a la energía para la nueva zona de IA
Lea también: Se insta a los usuarios de banda ancha del Reino Unido a reclamar compensación por cortes

Por qué es importante

La inclusión de los centros de datos en esta legislación refleja lo centrales que se han vuelto estas instalaciones para la infraestructura nacional del Reino Unido. El gobierno sostiene que los centros de datos permiten todo, desde servicios financieros hasta inteligencia artificial, y por lo tanto son críticos para la estabilidad económica y la seguridad nacional. Al imponer normas obligatorias de ciberresiliencia y notificación de incidentes, el proyecto de ley pretende reducir el riesgo de interrupciones cibernéticas significativas que podrían paralizar servicios esenciales. Además, la medida marca un cambio: los operadores de centros de datos ahora se equiparan a infraestructuras críticas tradicionales como los servicios públicos, aumentando la importancia de su seguridad. Ver también: El registro de miembros desaparecido de AfriNIC.

Sin embargo, las nuevas normas podrían resultar costosas o suponer un reto operativo para los operadores, dadas las cargas de notificación y la necesidad de implementar sistemas de gestión de riesgos más rigurosos. Para el sector en general, esto podría acelerar la inversión en seguridad, pero también remodelar la forma en que se construyen y operan los centros de datos, quizás empujando a las empresas a priorizar la resiliencia y el cumplimiento tanto como la capacidad y la eficiencia. Ver también: Desaparición del registro de miembros de AfriNIC.