Onte día 20, a Dirección Xeral de Comunicacións, Redes, Contido e Tecnoloxía (DX CONNECT) da Comisión Europea e o Departamento de Seguridade Nacional de EE. UU. (DHS) anunciaron unha iniciativa para comparar os elementos de notificación de incidentes cibernéticos que informarán os requisitos de notificación de incidentes cibernéticos de EE. UU. e Unión Europea (UE) baixo a Directiva NIS 2. Esta colaboración transatlántica entre a UE e EE. UU. baséase nos seus esforzos para protexer á súa xente, as súas infraestruturas críticas e as súas empresas contra actividades cibernéticas prexudiciais.
O informe conxunto desenvolvido por DX CONNECT e DHS, co apoio das súas respectivas axencias de ciberseguridade, a Axencia Europea para a Ciberseguridade (ENISA) e a Axencia de Seguridade de Infraestruturas e Ciberseguridade (CISA), proporciona unha avaliación comparativa e unha descrición obxectiva das recomendacións da Axencia Cibernética de EE. UU. Incident Reporting Council e o informe do DHS de 2023 sobre a armonización da notificación de incidentes cibernéticos ao goberno federal e a Directiva 2022/2555 da UE sobre medidas para un alto nivel de ciberseguridade en toda a Unión (Directiva NIS2) identificando as principais similitudes e diverxencias. Os achados deste informe axudarán a informar o enfoque da DX CONNECT e do DHS para avaliar os procesos de notificación de incidentes cibernéticos no futuro. O informe identifica seis áreas principais para a análise comparativa entre o informe do DHS e a Directiva da UE, que inclúen: (i) definicións e limiares de notificación, (ii) cronogramas, desencadenamentos e tipos de notificación de incidentes cibernéticos, (iii) contidos dos informes de incidentes cibernéticos, (iv) mecanismos de presentación de informes, (v) agregación de datos de incidentes e (vin) divulgación pública de información sobre incidentes cibernéticos.
A Lei de Informes de Incidentes Cibernéticos para Infraestruturas Críticas (CIRCIA), promulgada polo presidente Biden en 2022, estableceu o Consello de Informes de Incidentes Cibernéticos (CIRC), dirixido polo DHS para “coordinar, eliminar conflitos e harmonizar os requisitos federais de informes de incidentes, incluídos os emitidos mediante regulamentos”. O CIRC, que está presidido polo DHS e inclúe representación de máis de 30 axencias, esbozou unha serie de recomendacións prácticas sobre como o goberno de EE. UU. pode axilizar e harmonizar a notificación de incidentes cibernéticos para protexer mellor a infraestrutura crítica da nación. En 2023, o DHS proporcionou un informe ao Congreso que incluía recomendacións do Consello titulado Armonización da notificación de incidentes cibernéticos ao goberno federal .
En xaneiro de 2023, a Directiva NIS2 entrou en vigor, dando aos Estados membros da UE 21 meses para traspola á lexislación nacional. A Directiva NIS2 baséase nos requisitos da súa predecesora, a Directiva (UE) 2016/1148, relativa a medidas para un alto nivel común de seguridade das redes e os sistemas de información en toda a Unión (a Directiva NIS), en vigor desde 2016, pero expón o nivel común de ambición da UE en materia de ciberseguridade, mediante un alcance máis amplo, normas máis claras e ferramentas de supervisión máis sólidas. A Directiva NIS2 harmoniza, fortalece e axiliza os requisitos de seguridade e notificación de incidentes para un maior número de entidades, que son fundamentais para a economía e a sociedade europeas.
