Hoy, la Dirección General de Comunicaciones, Redes, Contenido y Tecnología (DG CONNECT) de la Comisión Europea y el Departamento de Seguridad Nacional de los Estados Unidos (DHS) han anunciado una iniciativa para comparar los elementos de notificación de incidentes cibernéticos que informarán los requisitos de notificación de incidentes cibernéticos por parte de los Estados Unidos y la Unión Europea (UE) en virtud de la Directiva NIS 2. Esta colaboración transatlántica entre la UE y los EE.UU. se basa en sus esfuerzos para proteger a sus ciudadanos, infraestructuras críticas y empresas contra actividades cibernéticas perjudiciales.
El informe conjunto elaborado por la DG CONNECT y el DHS, con el apoyo de sus respectivas agencias de ciberseguridad, la Agencia Europea de Ciberseguridad (ENISA) y la Agencia de Seguridad de la Ciberseguridad y las Infraestructuras (CISA), ofrece una evaluación comparativa y una visión objetiva de las recomendaciones del Consejo de Información sobre Incidentes Cibernéticos de los Estados Unidos y el informe DHS de 2023 sobre la armonización de la notificación de incidentes cibernéticos al Gobierno Federal y la Directiva 2022/2555 de la UE sobre medidas para un alto nivel de ciberseguridad en toda la Unión (Directiva NIS2) mediante la identificación de las principales similitudes y divergencias. Los resultados de este informe ayudarán a informar a la DG CONNECT y el enfoque del DHS para evaluar los procesos de notificación de incidentes cibernéticos en el futuro. El informe identifica seis áreas principales para el análisis comparativo entre el informe del DHS y la Directiva de la UE, incluyendo: I) definiciones y umbrales de notificación, ii) plazos, desencadenantes y tipos de notificación de ciberincidentes, iii) contenido de informes de ciberincidentes, iv) mecanismos de notificación, v) agregación de datos de incidentes informáticos y vi) divulgación pública de información sobre incidentes cibernéticos.
Los incidentes cibernéticos no reconocen fronteras y las empresas multinacionales a menudo están obligadas a reportar incidentes en numerosas jurisdicciones. Estamos comprometidos a armonizar las normas de notificación de incidentes a nivel nacional y con socios afines como la Unión Europea siempre que sea posible. Nuestro enfoque permitirá a las autoridades gubernamentales obtener la información que necesitan para proporcionar defensa cibernética mientras racionaliza el proceso para las organizaciones víctimas.
dijo Robert Silvers, Subsecretario de Política del DHS y Presidente del Consejo de Informes de Incidentes Cibernéticos.
Al otro lado del Atlántico, buscamos trabajar juntos para comparar los requisitos de información pertinentes, incluida la forma o el formato de la información solicitada buscando formas de minimizar la carga administrativa para las entidades informantes,
Roberto Viola, Director General de Redes de Comunicación, Contenido y Tecnología de la CE
Esta iniciativa, que se ajusta a la Declaración conjunta de 2024 entre el secretario de Seguridad Nacional Alejandro N. Mayorkas y el comisario europeo de Mercado Interior, Thierry Breton, marca el comienzo de un proceso para alinear la notificación de ciberincidentes transatlánticos cuando sea posible. DHS y DG CONNECT invitan a la industria tanto de los EE.UU. como de la UE a compartir sus aportaciones y reacciones a nuestra colaboración conjunta y enfoque para evaluar los procesos de notificación de incidentes cibernéticos.
Este dominio es fundamental, ya que las autoridades gubernamentales pertinentes deben tener acceso a información sobre incidentes cibernéticos que afecten a sus ciudadanos o que de otro modo planteen problemas de seguridad. Además, reconocemos que en los próximos meses, tanto los Estados Unidos como la Unión Europea continuarán trabajando para poner en vigor regímenes de notificación obligatorios, incluso mediante la aplicación de disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y los plazos. Es importante mantenerse conectado en estos temas y alinearse siempre que sea posible.
añade Lorena Boix Alonso, directora de la CE para Sociedad Digital, Confianza y Ciberseguridad
Durante el próximo año, nuestros equipos planean continuar nuestra cooperación a un nivel más técnico, incluso mapeando elementos como taxonomías de incidentes de ciberseguridad, plantillas de informes y el contenido de informes y formatos. Llevaremos a cabo un cruce de peatones en profundidad del formulario de informes modelo desarrollado por el DHS contra el contenido requerido de los informes NIS 2 para identificar dónde hay superposición y disparidades en los tipos de datos que se solicitan. A medida que continuamos estos esfuerzos avanzando, debemos seguir siendo ágiles y adaptarnos al panorama de amenazas cibernéticas en rápida evolución, ya que nada permanece estático en nuestro mundo digital durante mucho tiempo.
dijo Iranga Kahangama, Secretaria Adjunta del DHS para Ciber, Infraestructura, Riesgo y Resiliencia.
La Ley de Informes de Incidentes Cibernéticos para la Infraestructura Crítica (Circia), firmada por el presidente Biden en 2022, estableció el Consejo de Informes de Incidentes Cibernéticos (CIRC), dirigido por el DHS para «coordinar, desconflictar y armonizar los requisitos federales de notificación de incidentes, incluidos los emitidos a través de regulaciones». El CIRC, que está presidido por el DHS e incluye representación de más de 30 agencias, delineó una serie de recomendaciones prácticas sobre cómo el gobierno de los Estados Unidos puede racionalizar y armonizar la notificación de incidentes cibernéticos para proteger mejor la infraestructura crítica de la nación. En 2023, el DHS proporcionó un informe al Congreso que incluía recomendaciones del Consejo titulada Armonización de Informes de Incidentes Cibernéticos al Gobierno Federal.
En enero de 2023, la Directiva SRI2 entró en vigor, dando a los Estados miembros de la UE veintiún meses para transponerla al Derecho nacional. La Directiva SRI2 se basa en los requisitos de su predecesora, la Directiva (UE) 2016/1148, relativa a medidas para un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión (Directiva SRI), en vigor desde 2016, pero eleva el nivel común de ambición de la UE en materia de ciberseguridad, a través de un ámbito de aplicación más amplio, normas más claras y herramientas de supervisión más sólidas. La Directiva NIS2 armoniza, refuerza y racionaliza los requisitos de información en materia de seguridad e incidentes para un mayor número de entidades, que son fundamentales para la economía y la sociedad europeas.
Related content
Policy and legislation | 20 marzo 2024
Para informar de la aplicación en curso de la Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 y de la Directiva de la UE sobre un alto nivel de ciberseguridad en toda la Unión (Directiva SRI 2) por parte de las autoridades respectivas y para apoyar a las entidades activas en múltiples jurisdicciones en sus esfuerzos por responder a los ciberincidentes, el Departamento de Seguridad Nacional (DHS) y la DG CONNECT de la Comisión Europea publican el presente informe conjunto que identifica las principales similitudes y divergencias.