La Dirección General de Comunicaciones, Redes, Contenido y Tecnología y el Departamento de Seguridad Nacional de EE.UU. cooperarán para comparar los elementos de notificación de incidentes cibernéticos.
La Dirección General de Comunicaciones, Redes, Contenido y Tecnología (DG CONNECT) de la Comisión Europea y el Departamento de Seguridad Nacional de EE. UU. (DHS) anunciaron el pasado 20 de marzo una iniciativa para comparar los elementos de notificación de incidentes cibernéticos bajo la Directiva NIS 2.
Esta colaboración transatlántica entre la UE y EE. UU. se basa en sus esfuerzos para proteger a los ciudadanos, sus infraestructuras críticas y sus empresas contra actividades cibernéticas perjudiciales.
El informe desarrollado por DG CONNECT y DHS
DG CONNECT y DHS, con el apoyo de sus respectivas agencias de ciberseguridad, la Agencia Europea para la Ciberseguridad (ENISA) y la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA), han desarrollado un informe que proporciona una descripción objetiva de las recomendaciones de la Agencia Cibernética de EE. UU. Incident Reporting Council.
El informe identifica seis áreas principales para el análisis comparativo entre el informe del DHS y la Directiva de la UE, que incluyen:
- (i) definiciones y umbrales de notificación,
- (ii) cronogramas, desencadenantes y tipos de notificación de incidentes cibernéticos,
- (iii) contenidos de los informes de incidentes cibernéticos,
- (iv) mecanismos de presentación de informes,
- (v) agregación de datos de incidentes y
- (vi) divulgación pública de información sobre incidentes cibernéticos.
La Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) estableció el Consejo de Informes de Incidentes Cibernéticos (CIRC), dirigido por el DHS para «coordinar, eliminar conflictos y armonizar los requisitos federales de informes de incidentes, incluidos los emitidos mediante reglamentos».
El CIRC esbozó una serie de recomendaciones prácticas sobre «cómo el gobierno de EE. UU. puede agilizar y armonizar la notificación de incidentes cibernéticos para proteger mejor la infraestructura crítica de la nación».
En 2023, el DHS proporcionó un informe al Congreso que incluía recomendaciones del Consejo titulado ‘Armonización de la notificación de incidentes cibernéticos al gobierno federal’.
La Directiva NIS2 releva a la anterior Directiva (UE) 2016/1148
En enero de 2023, la Directiva NIS2 entró en vigor, dando a los Estados miembros de la UE 21 meses para transponerla a la legislación nacional.
La Directiva NIS2 sigue algunos requisitos de su predecesora, la Directiva (UE) 2016/1148, en cuanto a medidas para un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión (la Directiva NIS). Además, plantea un nivel común de ambición de la UE en materia de ciberseguridad, mediante «un alcance más amplio, normas más claras y herramientas de supervisión más sólidas».
La Directiva NIS2 «armoniza, fortalece y agiliza» los requisitos de seguridad y notificación de incidentes para un mayor número de entidades. Estas son «fundamentales» para la economía y la sociedad europeas.