- El proyecto de ley propone incluir a los proveedores de servicios gestionados (MSP) y a los operadores de centros de datos bajo la ley de ciberseguridad, con estrictas obligaciones de notificación y posibles multas por incumplimiento.
- Amplía la notificación obligatoria de incidentes para cubrir amenazas a la confidencialidad, integridad o disponibilidad —no solo interrupciones del servicio—, con notificaciones que deben realizarse en un plazo de 24 horas.
Lo que sucedió: el gobierno del Reino Unido amplía las obligaciones de ciberseguridad en toda la cadena de suministro
Elgobierno del Reino Unidoha presentado elCyber Security and Resilience Bill, que actualiza el marco de 2018 para sistemas de redes e información. La nueva legislación amplía significativamente su alcance: los proveedores de servicios gestionados (MSP), los operadores de centros de datos y otros proveedores de TIC podrían ahora estar sujetos a regulación si apoyan infraestructuras críticas como el transporte, la salud, la energía o los servicios públicos.
Según el proyecto de ley, las empresas designadas como “proveedores críticos” deberán cumplir con estándares de ciberseguridad definidos, realizar evaluaciones de riesgo periódicas y cumplir con obligaciones vinculantes de notificación de incidentes. Uno de los cambios más importantes es un plazo de notificación más estricto: las empresas deben notificar primero a los reguladores y a la agencia nacional de ciberseguridad del Reino Unido en un plazo de 24 horas tras detectar una amenaza cibernética significativa, incluso si no se ha producido una interrupción visible.
Las autoridades también obtendrán la capacidad de emitir directivas que exijan medidas rápidas contra vulnerabilidades identificadas o riesgos en la cadena de suministro.
El proyecto de ley fue presentado formalmente al Parlamento en noviembre de 2025. Según documentos del gobierno, las reformas reflejan las lecciones aprendidas de incidentes cibernéticos recientes de alto perfil que afectaron a servicios de salud, sistemas de agua y otros servicios esenciales.
Lea también:Telecomunicaciones del Reino Unido: escrutinio gubernamental por aumentos a mitad de contrato
Lea también:Nokia y Telefónica Alemania amplían acuerdo de red 5G
Por qué es importante
Este impulso legislativo marca un cambio sustancial en la forma en que el Reino Unido aborda el riesgo cibernético, ampliando la responsabilidad de los operadores de infraestructuras críticas a toda la cadena de suministro que los respalda. Para los MSP, los proveedores de servicios en la nube, los operadores de centros de datos y otros proveedores de TIC, el cumplimiento pronto será obligatorio en lugar de voluntario.
El cambio podría provocar un aumento en la demanda de prácticas sólidas de ciberseguridad: controles de acceso más fuertes, auditorías de la cadena de suministro, gestión obligatoria de vulnerabilidades y una supervisión más estricta de los proveedores. Las empresas que actualmente prestan servicios a proveedores de servicios públicos pueden enfrentar importantes cargas de cumplimiento, pero también una oportunidad para diferenciarse en resiliencia y confianza.
Desde el punto de vista de la seguridad nacional, el proyecto de ley busca fortalecer la columna vertebral digital que respalda servicios esenciales como la salud, el transporte y los servicios públicos. Al poner a más proveedores bajo supervisión regulatoria, el gobierno pretende reducir la vulnerabilidad a ataques de ransomware, malware en la cadena de suministro y otras amenazas que explotan los eslabones débiles.
Para las empresas de la economía digital, esto significa que la ciberseguridad ya no es opcional: será un requisito de cumplimiento inherente. Las empresas mejor preparadas para esto bien podrían convertirse en la base de confianza del futuro digital del Reino Unido.

