Ahir dia 20, la Direcció general de Comunicacions, Xarxes, Contingut i Tecnologia (DG CONNECT) de la Comissió Europea i el Departament de Seguretat Nacional d'EE. UU. (DHS) van anunciar una iniciativa per a comparar els elements de notificació d'incidents cibernètics que informaran els requisits de notificació d'incidents cibernètics d'EE. UU. i Unió Europea (UE) baix la Directiva NIS 2. Esta col·laboració transatlàntica entre la UE i EE. UU. es basa en els seus esforços per a protegir a la seua gent, les seues infraestructures crítiques i les seues empreses contra activitats cibernètiques perjudicials.
L'informe conjunt desenvolupat per DG CONNECT i DHS, amb el suport de les seues respectives agències de ciberseguretat, l'Agència Europea per a la Ciberseguretat (ENISA) i l'Agència de Seguretat d'Infraestructures i Ciberseguretat (CISA), proporciona una avaluació comparativa i una descripció objectiva de les recomanacions de l'Agència Cibernètica d'EE. UU. Incident Reporting Council i l'informe del DHS de 2023 sobre l'harmonització de la notificació d'incidents cibernètics al govern federal i la Directiva 2022/2555 de la UE sobre mesures per a un alt nivell de ciberseguretat en tota la Unió (Directiva NIS2) identificant les principals similituds i divergències. Les troballes d'este informe ajudaran a informar l'enfocament de la DG CONNECT i del DHS per a avaluar els processos de notificació d'incidents cibernètics en el futur. L'informe identifica sis àrees principals per a l'anàlisi comparativa entre l'informe del DHS i la Directiva de la UE, que inclouen: (i) definicions i llindars de notificació, (ii) cronogramas, desencadenants i tipus de notificació d'incidents cibernètics, (iii) continguts dels informes d'incidents cibernètics, (iv) mecanismes de presentació d'informes, (v) agregació de dades d'incidents i (vaig veure) divulgació pública d'informació sobre incidents cibernètics.
La Llei d'Informes d'Incidents Cibernètics per a Infraestructures Crítiques (CIRCIA), promulgada pel president Biden en 2022, va establir el Consell d'Informes d'Incidents Cibernètics (CIRC), dirigit pel DHS per a “coordinar, eliminar conflictes i harmonitzar els requisits federals d'informes d'incidents, inclosos els emesos mitjançant reglaments”. El CIRC, que està presidit pel DHS i inclou representació de més de 30 agències, va esbossar una sèrie de recomanacions pràctiques sobre com el govern d'EE. UU. pot agilitzar i harmonitzar la notificació d'incidents cibernètics per a protegir millor la infraestructura crítica de la nació. En 2023, el DHS va proporcionar un informe al Congrés que incloïa recomanacions del Consell titulat Harmonització de la notificació d'incidents cibernètics al govern federal .
Al gener de 2023, la Directiva NIS2 va entrar en vigor, donant als Estats membres de la UE 21 mesos per a traslladar-la a la legislació nacional. La Directiva NIS2 es basa en els requisits de la seua predecessora, la Directiva (UE) 2016/1148, relativa a mesures per a un alt nivell comú de seguretat de les xarxes i els sistemes d'informació en tota la Unió (la Directiva NIS), en vigor des de 2016, però planteja el nivell comú d'ambició de la UE en matèria de ciberseguretat, mitjançant un abast més ampli, normes més clares i ferramentes de supervisió més sòlides. La Directiva NIS2 harmonitza, enfortix i agilitza els requisits de seguretat i notificació d'incidents per a un major nombre d'entitats, que són fonamentals per a l'economia i la societat europees.
