Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
La Agencia de Seguridad de Infraestructura y Ciberseguridad quiere comentarios de los socios de infraestructura crítica sobre el alcance de su regulación de informes de incidentes cibernéticos mientras la agencia se concentra en una versión final de la regla tan esperada.
En un aviso CISA, que se publicará en el Registro Federal el viernes, anunció una serie de reuniones públicas en las que diferentes sectores podrán compartir sus opiniones sobre la norma pendiente, que el Congreso exigió en la Ley de informes de incidentes cibernéticos para infraestructuras críticas de 2022.
Una versión borrador de la regla CIRCIApublicado en abril de 2024, dio a los operadores de infraestructura cubiertos 72 horas para informar incidentes cibernéticos sustanciales al gobierno. Grupos empresariales y algunos legisladores objetaron el alcance de la información que las empresas tendrían que reportar, así como la amplitud de las empresas cubiertas por la regulación.
En su nuevo anuncio, CISA dijo que «aprecia el interés y la preocupación de las partes interesadas en que CISA implemente CIRCIA para maximizar su impacto en la mejora de la postura de ciberseguridad de nuestra nación y al mismo tiempo minimizar la carga innecesaria para las entidades en sectores de infraestructura críticos».
La agencia quiere que los operadores de infraestructura compartan “mejoras específicas y procesables” con CIRCIA que “aclaren o reduzcan” la carga del requisito de presentación de informes planificado y al mismo tiempo brinden al gobierno amplia información sobre el panorama de las amenazas cibernéticas.
CISA dijo que estaba particularmente interesada en recibir comentarios sobre ciertos aspectos de la regla, incluida la información requerida en los informes de incidentes, el uso de criterios basados en el tamaño para determinar qué compañías incluir y el proceso de citación que CISA podría usar para adquirir información de compañías recalcitrantes.
CISA también quiere saber si la norma debería exigir a los proveedores de nube, proveedores de servicios gestionados u otros operadores de infraestructura que informen de incidentes relacionados con el código fuente abierto que utilizan.
Además, la agencia dijo que quiere saber si en sus listas sectoriales de entidades cubiertas falta alguna categoría importante de operadores de infraestructura.
Cómo funcionarán las reuniones
CISA celebrará siete reuniones públicas para recopilar opiniones sobre la regla CIRCIA.
Cinco de esas reuniones tendrán lugar en marzo: una para los sectores químico, hídrico, represas, energía y nuclear (9 de marzo); uno para instalaciones comerciales, manufactura y alimentación y agricultura (12 de marzo); uno para servicios de emergencia, instalaciones gubernamentales y atención médica (17 de marzo); uno de comunicaciones, transporte y servicios financieros (18 de marzo); uno para contratistas de defensa y empresas de tecnologías de la información (19 de marzo); y una sesión general para las organizaciones interesadas (31 de marzo). Luego, la agencia celebrará una segunda sesión general el 2 de abril.
CISA espera que cada reunión pública dure hasta dos horas y limitará el tiempo de cada orador a aproximadamente tres minutos. La agencia dijo que grabará y transcribirá las reuniones y publicará las transcripciones en el expediente de reglamentación de CIRCIA.
«CISA no podrá compartir información no pública o deliberativa sobre la reglamentación de CIRCIA durante las reuniones», advertía el anuncio, «ni CISA podrá comprometerse a resolver cuestiones de políticas que afecten o se vean afectadas por la reglamentación de una manera específica».
Muchos comentarios existentes
CISA ha pasado los últimos años examinando una montaña de aportes de las partes interesadas sobre el alcance apropiado de la regla de notificación de incidentes cibernéticos. Una Solicitud de Información inicial arrojó 130 comentarios, aproximadamente 730 personas asistieron a más de una docena de sesiones de escucha de sectores específicos y un período de comentarios públicos de 90 días sobre el borrador de la regla generó aproximadamente 300 comentarios.
«CISA sigue comprometida a trabajar dentro del proceso de elaboración de reglas para permitir que las partes interesadas brinden sus opiniones mientras CISA finaliza la elaboración de reglas para lograr un equilibrio apropiado de costos y beneficios», dijo la agencia en su anuncio.
Si bien CISA no se comprometió a reabrir el período de comentarios públicos sobre el borrador de la regla, dijo que “podría optar por hacerlo en el futuro si CISA determina que está justificado”.
Fuente