Las propuestas incluyen la obligación de informar sobre ciberataques a infraestructuras críticas en un plazo de tiempo específico, lo que permitiría una respuesta más rápida y eficaz ante estas amenazas. Además, se busca establecer criterios claros para la clasificación de la gravedad de los ciberataques, lo que facilitaría la toma de decisiones y la asignación de recursos para proteger estas infraestructuras. Estas normas también pretenden fomentar la colaboración entre entidades públicas y privadas en la lucha contra los ciberataques, promoviendo un enfoque conjunto para fortalecer la ciberseguridad en las infraestructuras críticas.
La implementación de las nuevas normas de reporte de ciberataques para operadores de infraestructura crítica en Estados Unidos se aproxima, tras la publicación de un aviso de propuesta de reglamentación por parte del gobierno federal para la Ley de Reporte de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA, por sus siglas en inglés).
El Presidente Joe Biden firmó CIRCIA en marzo de 2022, iniciando un plazo de dos años para que la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) propusiera una normativa. Según la propuesta de 447 páginas, las organizaciones que pertenecen a cualquiera de los 16 sectores de infraestructura crítica de Estados Unidos deberán reportar «incidentes cibernéticos sustanciales» dentro de las 72 horas posteriores a su descubrimiento. Esto incluye cualquier intrusión digital que cause un daño sustancial, represente una amenaza significativa para la capacidad de funcionamiento de la organización, o ponga en riesgo la seguridad nacional, la salud pública o la seguridad.
Además, estas organizaciones tendrán que reportar los pagos por rescate dentro de las 24 horas. Estos informes permitirán una respuesta rápida, el despliegue de recursos y asistencia a las víctimas, el análisis de informes entre sectores para identificar tendencias y la rápida distribución de esa información a defensores de redes para advertir a otras posibles víctimas.
Los informes no serán divulgados públicamente, con el fin de fomentar el cumplimiento y proteger a quienes proveen servicios críticos al público. Sin embargo, se compartirá «información clave» sobre un ciberataque, anonimizando a la víctima específica, con los sectores industriales relevantes para ayudarles a protegerse contra problemas subsiguientes.
La normativa propone una excepción para organizaciones de infraestructura crítica que caigan bajo el estándar de tamaño de pequeña empresa de la Administración de Pequeñas Empresas de EE.UU., basado en el número de empleados o ingresos anuales. Esto significa que algunos pequeños sistemas de agua y aguas residuales, o cooperativas energéticas, por ejemplo, no tendrán que cumplir con los requisitos de reporte.
Estos incidentes cibernéticos se reportarán a CISA a través de un sitio web, que se lanzará junto con la regla final. Hasta entonces, CISA desarrollará guías detalladas para el reporte, incluyendo los procedimientos específicos e información requerida, y trabajará con otras agencias gubernamentales para simplificar los requisitos de reporte para las organizaciones críticas.
La información requerida será técnica, incluyendo indicadores de compromiso, una lista de vulnerabilidades que podrían haberse utilizado en el ataque cibernético, y el impacto del incidente en los sistemas y operaciones.
La propuesta se publicará en el Registro Federal el 4 de abril, y desde entonces el público tendrá 60 días para enviar comentarios escritos antes de que las regulaciones se conviertan en ley. CISA espera publicar la regla final dentro de 18 meses después de que cierre el período de comentarios públicos.
