El presidente de los Estados Unidos, Joe Biden, promulgó nuevos mandatos de informes de incidentes de seguridad cibernética como ley el martes 15 de marzo, lo que convierte en un requisito legal para los operadores de infraestructura nacional crítica (CNI) divulgar los ataques cibernéticos al gobierno.
Habiendo pasado por la legislatura de EE. UU. el viernes 11 de marzo, la Ley de Fortalecimiento de la Ciberseguridad Estadounidense, debatida durante mucho tiempo, tiene sus raíces en las propuestas presentadas por primera vez por el senador demócrata Gary Peters y el senador republicano Rob Portman a raíz del incidente del Oleoducto Colonial de 2021.
En esencia, requerirá que los propietarios de CNI dentro de los EE. UU. informen ataques cibernéticos sustanciales a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro de las 72 horas, y cualquier pago de ransomware realizado dentro de las 24 horas. Permite a CISA citar a las organizaciones que no lo hagan, con la amenaza de remitirlas al Departamento de Justicia de los EE. UU. (DoJ) por incumplimiento.
Además, la ley también ordena a CISA que establezca un nuevo programa para advertir a las organizaciones sobre las nuevas vulnerabilidades que utilizan los operadores de ransomware, y un grupo de trabajo conjunto de ransomware para coordinar los esfuerzos federales y de la industria para interrumpir su trabajo.
“CISA utilizará estos informes de nuestros socios del sector privado para construir un entendimiento común de cómo nuestros adversarios están apuntando a las redes e infraestructuras críticas de EE. UU. Esta información llenará los vacíos de información críticos y nos permitirá desplegar recursos rápidamente y brindar asistencia a las víctimas que sufren ataques, analizar los informes entrantes en todos los sectores para detectar tendencias y compartir rápidamente esa información con los defensores de la red para advertir a otras víctimas potenciales”, dijo el director de CISA, Jen. Del este.
“CISA se compromete a trabajar en colaboración y de manera transparente con nuestra industria y los socios del gobierno federal para mejorar la seguridad y la resiliencia de las redes e infraestructura crítica de nuestra nación. En pocas palabras, esta legislación es un cambio de juego”, dijo.
El Senador Portman dijo que dada la guerra de Rusia contra Ucrania, la amenaza de posibles ataques cibernéticos contra la infraestructura crítica dentro de los EE. UU. aún era elevada, por lo que es aún más importante que los gobiernos puedan coordinar las respuestas adecuadas.
“Ahora que nuestra legislación bipartidista se ha convertido en ley, le dará al Director Nacional Cibernético, CISA y otras agencias apropiadas una amplia visibilidad de los ataques cibernéticos que tienen lugar en nuestra nación a diario para permitir una respuesta de todo el gobierno. , mitigación y advertencia a infraestructura crítica y otros de ataques en curso e inminentes”, dijo.
“La legislación logra un equilibrio entre obtener información rápidamente y permitir que las víctimas respondan a un ataque sin imponer requisitos onerosos”.
El senador Peters agregó: “Ante las importantes amenazas a la seguridad cibernética de nuestro país, incluidos los posibles ataques cibernéticos de represalia de Rusia por nuestro apoyo en Ucrania, debemos asegurarnos de que nuestra nación esté preparada para defender nuestras redes más esenciales.
“Esta nueva ley histórica hará actualizaciones importantes a nuestra política de seguridad cibernética para garantizar que, por primera vez en la historia, todos los propietarios y operadores de infraestructuras críticas en Estados Unidos informen ataques cibernéticos y pagos de ransomware al gobierno federal”.
La aprobación de la nueva legislación se produce días después de que el regulador financiero de EE. UU., la SEC, dijera que estaba considerando propuestas para exigir divulgaciones de seguridad cibernética por parte de las empresas públicas, un acto que probablemente tendría repercusiones más profundas para la comunidad empresarial mundial.
La SEC dijo que había estado exigiendo la divulgación de información importante de las empresas que cotizan en bolsa durante casi un siglo, con el objetivo final de permitir a los inversores hacer juicios sólidos sobre dónde poner su dinero. Este régimen ha evolucionado significativamente desde los días de la Gran Depresión y ahora debe volver a hacerlo para reflejar el riesgo siempre presente de los ataques cibernéticos.
El presidente de la SEC, Gary Gensler, ex banquero de inversiones de Goldman Sachs, dijo que las propuestas de la SEC requerirían divulgaciones obligatorias y continuas sobre gobernanza, gestión de riesgos y estrategia con respecto al riesgo cibernético.
La información en el alcance incluiría potencialmente los roles de administración y sala de juntas y la supervisión del riesgo, ya sea que las organizaciones tengan o no políticas y procedimientos cibernéticos implementados, y cómo es probable que los riesgos e incidentes cibernéticos afecten las finanzas de las organizaciones.
Es probable que también haya informes obligatorios de incidentes de seguridad cibernética. Gensler dijo: “Esto es fundamental porque tales incidentes materiales de seguridad cibernética podrían afectar la toma de decisiones de los inversores.
“Cuando las empresas tienen la obligación de revelar información importante a los inversores, deben ser completas y precisas. Sus revelaciones deben ser oportunas. La propuesta de hoy especificaría cuándo y qué información sobre incidentes de seguridad cibernética las empresas deben divulgar en un informe actual… También requeriría actualizaciones en informes periódicos para brindar a los inversores información más completa sobre incidentes de seguridad cibernética materiales previamente divulgados”.