El Departamento de Digital, Cultura, Medios y Deporte (DCMS) abrió hoy una consulta sobre nuevas regulaciones y un borrador de código de práctica que supuestamente ayudará a los proveedores de servicios de comunicaciones (CSP) a cumplir con las obligaciones legales que les imponen las Telecomunicaciones ( Security) que se convirtió en ley en noviembre de 2021.
La Ley se concibió inicialmente como reacción a las protestas por los supuestos riesgos de seguridad cibernética asociados con el uso de equipos de telecomunicaciones de Huawei en las redes nacionales críticas del Reino Unido (prohibidas desde julio de 2020), pero también sirve para mejorar los estándares generales de seguridad de las telecomunicaciones y proteger a los ciudadanos y organizaciones de ataques cibernéticos, ya sea por parte de ciberdelincuentes o estados nacionales. El gobierno cree que esta es una necesidad aún más apremiante dada la aceptación de los servicios de banda ancha móvil y de fibra completa 5G.
Entre otras cosas, la Ley impone un deber legal más fuerte a los CSP de defender sus redes de ataques que podrían causar fallas en sus redes o provocar la pérdida de datos confidenciales.
La consulta cubre una gama de medidas y orientación que se ha desarrollado junto con el Centro Nacional de Seguridad Cibernética (NCSC), en última instancia, con el objetivo de incorporar las mejores prácticas cibernéticas tanto en las decisiones de inversión a largo plazo tomadas por los CSP como en el día a día. día hábil de ejecutar un servicio de red de comunicaciones.
“Las redes móviles y de banda ancha son cruciales para la vida en Gran Bretaña y eso las convierte en un objetivo principal para los ciberdelincuentes”, dijo la ministra de infraestructura digital, Julia López. “Nuestras propuestas incorporarán los más altos estándares de seguridad en nuestra industria de telecomunicaciones con fuertes multas para cualquier empresa que no cumpla con sus deberes”.
Ian Levy, director técnico del NCSC, agregó: “Las redes de telecomunicaciones modernas ya no son solo una infraestructura nacional crítica. [CNI], son fundamentales para nuestras vidas y nuestra economía. A medida que crece nuestra dependencia de ellos, necesitamos confianza en su seguridad y confiabilidad, por lo que doy la bienvenida a estas regulaciones propuestas para cambiar fundamentalmente la línea de base de la seguridad de las telecomunicaciones.
“El NCSC ha trabajado en estrecha colaboración con DCMS y la industria para proponer y asesorar sobre las medidas más efectivas que los operadores de telecomunicaciones pueden tomar para garantizar la resiliencia de las redes móviles y de banda ancha del Reino Unido, ahora y en el futuro”.
Entre otras cosas, el proyecto de reglamento impondrá las siguientes obligaciones clave a los CSP:
- Que protejan los datos almacenados en sus redes y servicios y aseguren las funciones críticas que permiten su operación y gestión.
- Que protejan las herramientas que utilizan para el monitoreo y análisis de redes contra estados nacionales hostiles.
- Que monitoreen las redes públicas para detectar actividades potencialmente dañinas o peligrosas, y tengan un conocimiento profundo de sus riesgos cibernéticos, informando a las juntas internas de manera regular.
- Que tengan en cuenta el riesgo de la cadena de suministro y comprendan y controlen quién puede acceder y realizar cambios en el funcionamiento de sus redes y servicios.
DCMS y el NCSC también buscan opiniones sobre una propuesta para agrupar a los CSP en tres niveles según el código de práctica, según su escala y su importancia para el panorama general de conectividad del Reino Unido. que en una red alternativa rural, por ejemplo. El gobierno espera que, al hacerlo, garantice que los pasos que se deben tomar en virtud del código se apliquen de manera proporcional y no ate a los operadores más pequeños con trámites burocráticos.
También establece una propuesta para fortalecer los deberes legales generales de los CSP como una forma de hacer que sea más atractivo adoptar las mejores prácticas cibernéticas, sobre la base de que, hasta ahora, los CSP han tenido pocos incentivos para hacerlo.
En última instancia, aquellos que no cumplan con las regulaciones podrían enfrentar multas que alcanzan el 10% de su facturación o £100,000 por día si la infracción continúa. Ofcom, como regulador nacional, se encargará de supervisar y evaluar la seguridad de la CSP.
La consulta estará abierta hasta el 10 de mayo de 2022, luego, luego de la revisión y las enmiendas, se establecerá en el Parlamento un conjunto final de regulaciones y el código de práctica según lo exige la Ley de Comunicaciones de 2003 (modificada por la Ley de Telecomunicaciones (Seguridad)), que se presentará más adelante en el año.