No hay refugios seguros en un mundo en línea: La nueva propuesta de ley de ciberseguridad de Jersey entra en sus etapas finales

Como una jurisdicción independiente, Jersey enfrenta una mezcla única de riesgos. Administra su propia infraestructura crítica (energía, suministro de agua y atención médica), y la economía de la isla depende en gran medida de industrias profesionales que manejan información sensible, lo que la convierte en un posible objetivo de ataques cibernéticos con consecuencias de largo alcance.

El regulador financiero de Jersey (la Comisión de Servicios Financieros de Jersey) fue recordado abruptamente de esto en enero de 2024, cuando descubrió que un error había comprometido su sistema de registro en línea. El error había estado en el sistema durante tres años, es decir, desde que se instaló el sistema en enero de 2021.

Como resultado, los usuarios del portal de búsqueda del registro podían ver los nombres y direcciones de 67,000 beneficiarios reales, controladores, directores, miembros, personas designadas y secretarios de empresa que no debían hacerse públicos. Aún no se sabe si los actores amenazantes han utilizado esta información.

Enfrentando los desafíos

El Gobierno de Jersey estableció el Centro de Ciberseguridad de Jersey (JCSC) en 2021 como parte del Departamento de Economía. El JCSC trabaja para prevenir, proteger y defender a la isla contra amenazas cibernéticas. Ahora Jersey está estableciendo un marco legal para apoyar los objetivos del JCSC sin imponer "cargas indebidas a la industria" - la Ley de Ciberseguridad (Jersey) (CSJL).

Consultas y estándares de informes

La ley introduce estándares de informes para los operadores de servicios esenciales (OES), es decir, las organizaciones críticas obligadas a mejorar la ciberseguridad y notificar prontamente al JCSC y a los clientes sobre incidentes cibernéticos significativos.

Para garantizar una amplia participación de los interesados, el Gobierno y el JCSC están llevando a cabo consultas, con un enfoque específico en los requisitos de los OES. La retroalimentación de estas consultas informará la versión final de la CSJL, que se pretende sea el producto de un esfuerzo colaborativo.

La segunda ronda de consulta sobre la CSJL propuesta cerró a fines de abril de 2024. Esa consulta buscaba retroalimentación de los OES, y la próxima fase de consulta (programada para el tercer trimestre de 2024) se centrará en cómo los OES van a implementar los requisitos de la Parte 4, Parte 5 y el Anexo 3 de la CSJL.

La legislación en borrador define el papel y la responsabilidad del JCSC como un cuerpo operativamente independiente, facultado para colaborar con las organizaciones de manera confidencial en caso de incidentes cibernéticos. Además, establece un Consejo Asesor Técnico (TAC) para brindar orientación experta y exige informes regulares para garantizar la transparencia.

¿Quiénes son los OES y quiénes se verán más afectados? A los efectos de la CSJL, un OES se define como "cualquier servicio que sea esencial para la infraestructura de Jersey o el mantenimiento de actividades críticas para la sociedad o la economía en Jersey".

Esto incluye servicios como agua y energía, y servicios de infraestructura como transporte y comunicación. Crucialmente, también abarca los servicios financieros.

La lista se extiende a todos los establecimientos de servicios financieros que se dedican a empresas fiduciarias, actividades de inversión, servicios monetarios, servicios de fondos y mediación de seguros generales, junto con los bancos. Todos deben incorporar las medidas contra el cibercrimen delineadas en la CSJL para sus sistemas de red e información.