Hong Kong endurece las reglas cibernéticas: multa de hasta 5 millones por vulnerabilidades

En Hong Kong se aprobó una ley que refuerza la ciberseguridad de los sistemas de infraestructura crítica. La ley prevé multas de hasta 5 millones de dólares hongkoneses por medidas de protección insuficientes contra ciberataques. El nuevo acto normativo está dirigido a establecer requisitos legales para los operadores de instalaciones consideradas críticas, y abarca tanto a entidades gubernamentales como privadas que operan en sectores prioritarios.

Según la declaración del jefe de la Oficina de Seguridad, Chris Tang, la regulación afectará a sistemas en los sectores de energía, tecnologías de la información, banca y finanzas, así como transporte terrestre, aéreo y marítimo. Además, la ley se aplicará a sistemas de comunicación y radiodifusión, así como a la infraestructura de TI en el ámbito sanitario.

Se presta especial atención a instalaciones que proporcionan funciones públicas y económicas importantes. Entre ellas se encuentran estadios deportivos, salas de conciertos y parques tecnológicos. Para todas estas categorías se establecen obligaciones de evaluación periódica de riesgos y respuesta rápida ante incidentes.

La ley también otorga a las autoridades facultades para instalar software o conectarse a sistemas de infraestructura crítica en caso de que el operador no pueda eliminar la amenaza por sí mismo. Estas acciones requieren una orden judicial, aunque han generado preocupación entre organizaciones internacionales tecnológicas y de derechos humanos.

Por ejemplo, la Coalición Asiática de Internet y la Cámara de Comercio Estadounidense en Hong Kong advirtieron previamente que tales facultades podrían ahuyentar a los inversores y afectar negativamente el desarrollo del sector tecnológico. El grupo británico de derechos humanos Article 19 calificó la ley de “excesiva” en cuanto a la posibilidad de solicitar cualquier información en caso de sospecha de infracción.

A pesar de las críticas, las autoridades de Hong Kong y el Consejo Legislativo afirmaron que normas similares están en vigor en EE. UU., el Reino Unido y países de la UE. Según Tang, los datos personales y los secretos comerciales no están sujetos a regulación, al igual que las agencias gubernamentales.

Entre tanto, precisamente las agencias y las instituciones relacionadas —incluyendo el Departamento de Bomberos, la Oficina de Registro de Electores y la empresa Cyberport— han sido recientemente víctimas de filtraciones de datos. Sin embargo, las nuevas medidas están dirigidas únicamente a grandes organizaciones, y no a instituciones individuales o ciudadanos.

También se aclara que los nuevos requisitos se aplican tanto a los equipos internos como externos de TI que prestan servicios a la infraestructura crítica. La ley no tiene efecto extraterritorial, pero puede aplicarse a servidores ubicados en el extranjero si están vinculados a operadores de Hong Kong.

Entre las obligaciones de los operadores se incluye la presentación anual de un informe de evaluación de riesgos y la notificación obligatoria a las autoridades sobre un ciberincidente en un plazo de 12 horas tras su detección. La lista de organizaciones sujetas a la ley no será publicada por razones de seguridad. Según el Secretario Permanente de Seguridad, Patrick Li, más de un centenar de organizaciones estarán sujetas a regulación.

El proyecto de ley fue propuesto el verano pasado en medio de una oleada de ciberataques que afectaron a universidades, organizaciones sin fines de lucro y hospitales. Según datos de la Oficina para la Protección de Datos Personales, alrededor del 70% de las empresas en Hong Kong enfrentaron amenazas cibernéticas durante el último año, lo que impulsó aún más la adopción de las nuevas normas.