Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Resumen de buceo:
- Definiciones inconsistentes, demandas de información demasiado onerosas y requisitos duplicados son algunos de los problemas que enfrentan las empresas estadounidenses al abordar las regulaciones de ciberseguridad, según un informe reciente de la Oficina de Responsabilidad Gubernamental.
- Las organizaciones de infraestructura crítica quieren que las agencias federales trabajen juntas para simplificar sus reglas, según el resumen del 5 de marzo de un panel de discusión de la GAO con representantes de infraestructura.
- Las empresas recomendaron varias soluciones posibles a la expansión regulatoria, incluidas agencias que convergen en definiciones comunes de términos clave.
Información de buceo:
En respuesta a las solicitudes de los principales comités de la Cámara y el Senado que supervisan la ciberseguridad, la GAO convocó dos paneles, en mayo y septiembre de 2025, para solicitar opiniones de la industria sobre el entorno regulatorio de la ciberseguridad. El nuevo informe de la agencia resume los hallazgos de su panel del 17 de septiembre de 2025, con siete líderes de la industria que representan los sectores de comunicaciones, energía, servicios financieros, atención médica, tecnología de la información, transporte y agua.
«Los participantes de la industria identificaron los impactos principalmente negativos experimentados por sus industrias debido a las múltiples y superpuestas regulaciones de ciberseguridad y cómo esto ha resultado en trabajo redundante y conflictos», dijo la GAO en su informe.
Un problema que identificaron los participantes fue la superposición de marcos regulatorios a los que están sujetos muchos sectores. Las empresas de servicios financieros deben cumplir con las normas de los reguladores bancarios y de la Comisión de Bolsa y Valores, dijo un participante, con requisitos resultantes que son “duplicativos y excesivamente onerosos”.
Según la GAO, otro representante de la industria dijo que las regulaciones federales que exceden el nivel básico de seguridad de su industria «son duplicadas y no dan como resultado un mejor resultado».
Varias personas dijeron que las agencias a veces adoptan definiciones -o incluso requisitos específicos- que son vagas o no tienen en cuenta las peculiaridades de un sector específico. «Varios participantes afirmaron que diferentes marcos tienen controles y requisitos de presentación de informes similares, pero tienen pequeñas diferencias que pueden crear superposiciones y confusión innecesarias», observó el informe de la GAO.
Un funcionario de la industria dijo que parecía que las agencias que regulaban el mismo sector no se coordinaban entre sí mientras desarrollaban las reglas.
Los participantes también criticaron cómo el gobierno federal maneja los informes de incidentes de ciberseguridad, describiendo la red superpuesta de requisitos como a menudo duplicados o inconsistentes. Los representantes de la industria se quejaron de que las agencias reguladoras a veces solicitan diferentes cantidades de información dentro de diferentes períodos de tiempo, además de establecer diferentes estándares sobre cuándo una empresa necesita informar un incidente.
«Un participante afirmó que puede resultar difícil y técnicamente oneroso recopilar información para múltiples entidades en un corto período de tiempo para cumplir con los requisitos de presentación de informes», según el informe de la GAO.
Los líderes de la industria que se reunieron con la GAO representaban una amplia gama de roles dentro de organizaciones de infraestructura crítica, incluidos directores de TI y ciberseguridad, asesores generales y directores de información. La GAO les concedió el anonimato para animarlos a hablar con franqueza con su personal.
Según los panelistas, la red superpuesta y a veces contradictoria de regulaciones de ciberseguridad cuesta a las empresas de varias maneras. Además de los costos literales de los salarios de los empleados y los gastos en tecnología, las empresas dedican un tiempo valioso a informar información a las agencias federales, tiempo que no pueden dedicar a mejorar sus defensas cibernéticas o lidiar con intrusiones.
La experiencia necesaria para el cumplimiento también perjudica a las pequeñas empresas, dijeron los panelistas a la GAO, porque las pequeñas empresas a menudo carecen de equipos de ciberseguridad dedicados, a pesar de enfrentar muchos de los mismos requisitos que las grandes empresas.
Las agencias federales han logrado sólo avances limitados en la armonización de sus regulaciones de ciberseguridad, según líderes de la industria, que citaron varias razones para la dificultad. Uno de los impedimentos más importantes, dijo la GAO, es que la falta de definiciones coordinadas ha producido «terminologías inconsistentes que no pueden aplicarse ni reutilizarse ampliamente».
Los representantes de la industria alentaron a las agencias a convocar un grupo de trabajo u otro mecanismo de coordinación para comenzar a estandarizar la terminología, alinear los requisitos de presentación de informes y desarrollar acuerdos de reciprocidad, con el objetivo de permitir que las empresas utilicen un proceso para satisfacer las necesidades de información de múltiples agencias.
El gobierno federal ha estado trabajando en la armonización. La Oficina del Director Nacional Cibernético (ONCD) retroalimentación solicitada sobre el mejor enfoque durante la administración de Biden, y la Agencia de Seguridad de Infraestructura y Ciberseguridad borrador de la regla de la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) Prevé que CISA establezca acuerdos de reciprocidad con otros reguladores. (CISA también planea actualizar la regla CIRCIA basada en próximos comentarios de la industria.)
Durante el panel de la GAO, los líderes de la industria alentaron a la administración Trump a otorgar a la ONCD “un mandato claro para abordar las diferencias dentro de la terminología, los regímenes de presentación de informes y la orientación de las agencias federales para trabajar hacia la armonización de las regulaciones federales”.
Varios panelistas alentaron a las agencias a desarrollar métricas que cuantificaran la efectividad de sus regulaciones. Algunos incluso dijeron que un regulador debería gestionar todos los informes de incidentes para cada sector.
Fuente