Ayer día 20, la Dirección General de Comunicaciones, Redes, Contenido y Tecnología (DG CONNECT) de la Comisión Europea y el Departamento de Seguridad Nacional de EE. UU. (DHS) anunciaron una iniciativa para comparar los elementos de notificación de incidentes cibernéticos que informarán los requisitos de notificación de incidentes cibernéticos de EE. UU. y Unión Europea (UE) bajo la Directiva NIS 2. Esta colaboración transatlántica entre la UE y EE. UU. se basa en sus esfuerzos para proteger a su gente, sus infraestructuras críticas y sus empresas contra actividades cibernéticas perjudiciales.
El informe conjunto desarrollado por DG CONNECT y DHS, con el apoyo de sus respectivas agencias de ciberseguridad, la Agencia Europea para la Ciberseguridad (ENISA) y la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA), proporciona una evaluación comparativa y una descripción objetiva de las recomendaciones de la Agencia Cibernética de EE. UU. Incident Reporting Council y el informe del DHS de 2023 sobre la armonización de la notificación de incidentes cibernéticos al gobierno federal y la Directiva 2022/2555 de la UE sobre medidas para un alto nivel de ciberseguridad en toda la Unión (Directiva NIS2) identificando las principales similitudes y divergencias. Los hallazgos de este informe ayudarán a informar el enfoque de la DG CONNECT y del DHS para evaluar los procesos de notificación de incidentes cibernéticos en el futuro. El informe identifica seis áreas principales para el análisis comparativo entre el informe del DHS y la Directiva de la UE, que incluyen: (i) definiciones y umbrales de notificación, (ii) cronogramas, desencadenantes y tipos de notificación de incidentes cibernéticos, (iii) contenidos de los informes de incidentes cibernéticos, (iv) mecanismos de presentación de informes, (v) agregación de datos de incidentes y (vi) divulgación pública de información sobre incidentes cibernéticos.
La Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA), promulgada por el presidente Biden en 2022, estableció el Consejo de Informes de Incidentes Cibernéticos (CIRC), dirigido por el DHS para “coordinar, eliminar conflictos y armonizar los requisitos federales de informes de incidentes, incluidos los emitidos mediante reglamentos”. El CIRC, que está presidido por el DHS e incluye representación de más de 30 agencias, esbozó una serie de recomendaciones prácticas sobre cómo el gobierno de EE. UU. puede agilizar y armonizar la notificación de incidentes cibernéticos para proteger mejor la infraestructura crítica de la nación. En 2023, el DHS proporcionó un informe al Congreso que incluía recomendaciones del Consejo titulado Armonización de la notificación de incidentes cibernéticos al gobierno federal .
En enero de 2023, la Directiva NIS2 entró en vigor, dando a los Estados miembros de la UE 21 meses para transponerla a la legislación nacional. La Directiva NIS2 se basa en los requisitos de su predecesora, la Directiva (UE) 2016/1148, relativa a medidas para un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión (la Directiva NIS), en vigor desde 2016, pero plantea el nivel común de ambición de la UE en materia de ciberseguridad, mediante un alcance más amplio, normas más claras y herramientas de supervisión más sólidas. La Directiva NIS2 armoniza, fortalece y agiliza los requisitos de seguridad y notificación de incidentes para un mayor número de entidades, que son fundamentales para la economía y la sociedad europeas.
