Site icon Sophos News

Guía de Sophos sobre CIRCIA

En marzo de 2022, el Presidente Biden firmó la Ley de Información sobre Incidentes Cibernéticos en Infraestructuras Críticas de 2022 (CIRCIA) en Estados Unidos. Su promulgación exige a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) que elabore y aplique una normativa que exija a las entidades afectadas a informar a la CISA de los ciberincidentes y de los pagos por ransomware, en un plazo de 24 meses desde la aprobación de la ley. La nueva ley otorga a la CISA sus primeros poderes de ejecución.

Se espera que la CISA publique una Notificación de Propuesta de Normativa (NPRM) a principios de 2024 que destacará los requisitos de información propuestos, que se espera que estén disponibles para recibir comentarios antes de su publicación definitiva en 2025. Para obtener orientaciones actualizadas y oportunidades de recibir comentarios, las organizaciones pueden visitar https://www.cisa.gov/CIRCIA.

¿A quién afectará esta legislación?

La legislación aplica la normativa sobre las “Entidades Afectadas” de Estados Unidos en el sector de las infraestructuras críticas, según la definición de la Directiva Política Presidencial 211. Las entidades afectadas son organizaciones de sectores industriales considerados “infraestructuras críticas”, que se enumeran en la tabla siguiente. Los sectores y sus Agencias Específicas Sectoriales (AES) incluyen, entre otros:

Cabe señalar que la Educación se considera un subsector del Sector de Instalaciones Gubernamentales2 y el Subsector de Instalaciones Educativas abarca desde la educación preescolar hasta el 12º grado, así como las instalaciones de educación postsecundaria pública, privada y privada.

¿Cuáles son los requisitos de la legislación?

No es obligatorio presentar informes hasta que entre en vigor la Norma Final de CISA por la que se aplican los requisitos de información de CIRCIA, lo que está previsto para 2025. Hasta entonces, se recomienda encarecidamente a las organizaciones que compartan voluntariamente información sobre incidentes cibernéticos con CISA, y se puede contactar con ellos 24/7 en report@cisa.gov, o en el (888) 282-08703, o en su portal en línea https://www.cisa.gov/report. Puedes encontrar más información sobre la normativa final y la notificación voluntaria aquí4.

Sin embargo, una vez que la Normativa Final entre en vigor, es probable que exija a las “Entidades Afectadas”:

Si una “Entidad Afectada” es víctima de un ciberincidente y efectúa un pago por el rescate antes de que se cumpla el requisito de notificación de 72 horas, es probable que se le permita presentar un único informe; sin embargo, los procedimientos definitivos de notificación están aún por determinar.

¿Qué constituye un ciberincidente cubierto?

Todavía no se ha propuesto la definición final; sin embargo, es probable que incluya, como mínimo:

Es probable que la legislación final también tenga en cuenta la sofisticación o novedad de las tácticas utilizadas para perpetrar un incidente cibernético, así como:

¿Qué debe incluir el informe?

El contenido final requerido del informe puede variar y estará disponible tras su publicación, pero como prácticas recomendadas en la gestión de la respuesta a incidentes, las Entidades Afectadas deben estar preparadas para informar:

  1. Fecha y hora del incidente

  2. Lugar del incidente

  3. Tipo de actividad observada

  4. Narración detallada del suceso

  5. Número de personas o sistemas afectados

  6. Nombre de la empresa/organización

  7. Datos del punto de contacto

  8. Gravedad del suceso

  9. Sector de infraestructuras críticas, si se conoce

  10. Cualquier otra persona que haya sido informada

Otra información que puede ser necesaria podría incluir

¿Qué terceros pueden informar en nombre del afectado?

Las entidades consideradas infraestructuras críticas que deban notificar un ciberincidente o el pago de un rescate pueden recurrir a un tercero para que presente el informe en su nombre. Las directrices definitivas sobre cómo utilizar a un tercero estarán disponibles con la normativa final, pero se espera que la lista de terceros incluya probablemente:

¿Qué ocurre si una entidad afectada incumple la obligación de informar?

Si una organización afectada incumple el plazo de 72 horas, el Director de la CISA puede emitir una citación para obligar a revelar la información que se considere necesaria. La normativa final definirá plenamente los métodos de aplicación y lo que cabe esperar.

¿Qué protecciones tienen los denunciantes?

Se espera que los informes CIRCIA se consideren información comercial, financiera y de propiedad de la entidad cubierta y probablemente estén exentos de divulgación en virtud del artículo 552(b)(3) del título 5 del Código de Estados Unidos (comúnmente conocido como “Ley de Libertad de Información”), así como de cualquier disposición de la ley de libertad de información estatal, tribal o local, ley de gobierno abierto, ley de reuniones abiertas, ley de registros abiertos, ley de transparencia o ley similar que exija la divulgación de información o registros. Es probable que dicha exención exija que la entidad declarante haga valer sus derechos por escrito en virtud de esta sección.

1 https://www.cisa.gov/sites/default/files/2023-01/ppd-21-critical-infrastructure-and-resilience-508_0.pdf

2 https://www.dhs.gov/xlibrary/assets/nppd/nppd-ip-education-facilities-snapshot-2011.pdf

3 https://www.cisa.gov/sites/default/files/2022-11/Sharing_Cyber_Event_Information_Fact_Sheet_FINAL_v4.pdf

4 https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-criticalinfrastructure-act-2022-circia

Este documento no constituye ningún tipo de asesoramiento jurídico ni refleja las opiniones de Sophos ni de sus empleados. Las empresas deben consultar a sus propios asesores para obtener orientación legal sobre cualquier ley o normativa.

Exit mobile version