Ahir dia 20, la Direcció general de Comunicacions, Xarxes, Contenido i Tecnología (DG CONNECT) de la Comissió Europea i el Departament de Seguretat Nacional d'EE. UU. (DHS) van anunciar una iniciativa per comparar els elements de notificació d'incidents cibernètics que informaran els requisits de notificació d'incidents cibernètics d'EE. UU. i Unió Europea (UE) sota la Directiva NIS 2. Aquesta col·laboració transatlàntica entre la UE i EE. UU. es basa en els seus esforços per protegir a la seva gent, les seves infraestructures crítiques i les seves empreses contra activitats cibernètiques perjudicials.
L'informe conjunt desenvolupat per DG CONNECT i DHS, amb el suport de les seves respectives agències de ciberseguretat, l'Agència Europea per a la Ciberseguretat (ENISA) i l'Agència de Seguretat d'Infraestructures i Ciberseguretat (CISA), proporciona una avaluació comparativa i una descripció objectiva de les recomanacions de l'Agència Cibernètica d'EE. UU. Incident Reporting Council i l'informe del DHS de 2023 sobre l'harmonització de la notificació d'incidents cibernètics al govern federal i la Directiva 2022/2555 de la UE sobre mesures per a un alt nivell de ciberseguretat en tota la Unió (Directiva NIS2) identificant les principals similituds i divergències. Les troballes d'aquest informe ajudaran a informar l'enfocament de la DG CONNECT i del DHS per avaluar els processos de notificació d'incidents cibernètics en el futur. L'informe identifica sis àrees principals per a l'anàlisi comparativa entre l'informe del DHS i la Directiva de la UE, que inclouen: (i) definicions i llindars de notificació, (ii) cronogramas, desencadenants i tipus de notificació d'incidents cibernètics, (iii) continguts dels informes d'incidents cibernètics, (iv) mecanismes de presentació d'informes, (v) agregació de dades d'incidents i (vaig veure) divulgació pública d'informació sobre incidents cibernètics.
La Llei d'Informes d'Incidents Cibernètics per a Infraestructures Crítiques (CIRCIA), promulgada pel president Biden en 2022, va establir el Consell d'Informes d'Incidents Cibernètics (CIRC), dirigit pel DHS per “coordinar, eliminar conflictes i harmonitzar els requisits federals d'informes d'incidents, inclosos els emesos mitjançant reglaments”. El CIRC, que està presidit pel DHS i inclou representació de més de 30 agències, va esbossar una sèrie de recomanacions pràctiques sobre com el govern d'EE. UU. pot agilitar i harmonitzar la notificació d'incidents cibernètics per protegir millor la infraestructura crítica de la nació. En 2023, el DHS va proporcionar un informe al Congrés que incloïa recomanacions del Consell titulat Harmonització de la notificació d'incidents cibernètics al govern federal .
En enero de 2023, la Directiva NIS2 entró en vigor, dando a los Estados miembros de la UE 21 meses para transponerla a la legislación nacional. La Directiva NIS2 se basa en los requisitos de su predecesora, la Directiva (UE) 2016/1148, relativa a medidas para un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión (la Directiva NIS), en vigor desde 2016, pero plantea el nivel común de ambición de la UE en materia de ciberseguridad, mediante un alcance más amplio, normas más claras y herramientas de supervisión más sólidas. La Directiva NIS2 armoniza, fortalece y agiliza los requisitos de seguridad y notificación de incidentes para un mayor número de entidades, que son fundamentales para la economía y la sociedad europeas.
