La colaboración entre los distintos organismos y administraciones tanto públicas como privadas es fundamental a la hora de poder hacer un mundo más ciberseguro. En este escenario, la reciente iniciativa de colaboración entre la Dirección General de Comunicaciones, Redes, Contenido y Tecnología (DG CONNECT) de la Comisión Europea y el Departamento de Seguridad Nacional de Estados Unidos (DHS) marca un paso más en los esfuerzos conjuntos por crear un frente unido ante las crecientes amenazas cibernéticas. Así, Estados Unidos y la UE se unen para armonizar la notificación de incidentes de ciberseguridad.
Uniendo fuerzas en ciberseguridad
La iniciativa surge en respuesta a la creciente necesidad de estandarizar los procesos de notificación de incidentes cibernéticos entre Estados Unidos y la UE La colaboración entre DG CONNECT y DHS apunta a comparar y armonizar los elementos de notificación bajo la Directiva NIS 2 de la UE y las directrices estadounidenses, representando un paso significativo para proteger a la población, las infraestructuras críticas y las empresas de actividades cibernéticas malintencionadas.
Un informe conjunto desarrollado por ambas entidades, con el respaldo de la Agencia Europea para la Ciberseguridad (ENISA) y la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) de EE. UU., ofrece una evaluación comparativa y una visión objetiva de las recomendaciones para informar los futuros requisitos de notificación.
En este informe se identifican seis áreas clave para el análisis comparativo, incluyendo definiciones, umbrales, cronogramas, contenidos de informes, mecanismos de presentación y divulgación pública de datos sobre incidentes.
Desafíos y perspectivas de la armonización de incidentes de ciberseguridad
La armonización de los requisitos de notificación aunque es un paso muy importante no está libre de desafíos, incluidas las diferencias legislativas y operativas entre jurisdicciones. Sin embargo, la iniciativa conjunta busca minimizar estas dificultades al comparar requisitos relevantes y buscar formas de reducir la carga administrativa para las entidades notificantes.
Esta colaboración se alinea con la declaración conjunta de 2024 entre el Secretario de Seguridad Nacional de EE. UU., Alejandro N. Mayorkas, y el Comisionado Europeo para el Mercado Interno, Thierry Breton, marcando el comienzo de un proceso de alineación en la notificación de incidentes cibernéticos transatlánticos.
Más allá de la evaluación comparativa, EE. UU y la UE planean continuar su cooperación a nivel técnico, además de este paso en la notificación de incidentes, abordando elementos como taxonomías de incidentes cibernéticos, plantillas de informes y contenido de estos. Este enfoque técnico es decisivo para adaptarse al dinámico panorama de amenazas cibernéticas y garantizar que tanto las autoridades gubernamentales como las organizaciones privadas puedan responder de manera efectiva y coordinada a los incidentes cibernéticos.
Legislación actual de EE. UU y la UE
La Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) de EE. UU., promulgada en 2022, y la Directiva NIS2 de la UE, efectiva desde enero de 2023, sientan las bases legislativas para esta iniciativa. Mientras CIRCIA establece el marco para coordinar y armonizar los requisitos federales de notificación de incidentes en EE. UU., la Directiva NIS2 amplía y fortalece los requisitos de seguridad y notificación de incidentes en la UE, marcando un avance significativo en la ambición común europea en materia de ciberseguridad.
“Los incidentes cibernéticos no reconocen fronteras y, a menudo, se requiere que las empresas multinacionales informen sobre incidentes en numerosas jurisdicciones. Estamos comprometidos con armonizar las reglas de notificación de incidentes tanto a nivel doméstico como con socios afines como la Unión Europea, siempre que sea factible. Nuestro enfoque permitirá a las autoridades gubernamentales obtener la información que necesitan para proporcionar defensa cibernética, al mismo tiempo que simplifica el proceso para las organizaciones víctimas”, afirmó Robert Silvers, Subsecretario de Política del DHS y presidente del Consejo de Notificación de Incidentes Cibernéticos.
Por su parte, Roberto Viola, director general de Redes de Comunicaciones, Contenido y Tecnología de la Comisión Europea añadió que “Atravesando el Atlántico, buscamos trabajar juntos para comparar los requisitos de informes relevantes, incluyendo la forma o el formato de la información solicitada, buscando maneras de minimizar la carga administrativa sobre las entidades que reportan”.