En marzo de 2022, el Presidente Biden firmó la Ley de Información sobre Incidentes Cibernéticos en Infraestructuras Críticas de 2022 (CIRCIA) en Estados Unidos. Su promulgación exige a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) que elabore y aplique una normativa que exija a las entidades afectadas a informar a la CISA de los ciberincidentes y de los pagos por ransomware, en un plazo de 24 meses desde la aprobación de la ley. La nueva ley otorga a la CISA sus primeros poderes de ejecución.
Se espera que la CISA publique una Notificación de Propuesta de Normativa (NPRM) a principios de 2024 que destacará los requisitos de información propuestos, que se espera que estén disponibles para recibir comentarios antes de su publicación definitiva en 2025. Para obtener orientaciones actualizadas y oportunidades de recibir comentarios, las organizaciones pueden visitar https://www.cisa.gov/CIRCIA.
¿A quién afectará esta legislación?
La legislación aplica la normativa sobre las “Entidades Afectadas” de Estados Unidos en el sector de las infraestructuras críticas, según la definición de la Directiva Política Presidencial 211. Las entidades afectadas son organizaciones de sectores industriales considerados “infraestructuras críticas”, que se enumeran en la tabla siguiente. Los sectores y sus Agencias Específicas Sectoriales (AES) incluyen, entre otros:
Cabe señalar que la Educación se considera un subsector del Sector de Instalaciones Gubernamentales2 y el Subsector de Instalaciones Educativas abarca desde la educación preescolar hasta el 12º grado, así como las instalaciones de educación postsecundaria pública, privada y privada.
¿Cuáles son los requisitos de la legislación?
No es obligatorio presentar informes hasta que entre en vigor la Norma Final de CISA por la que se aplican los requisitos de información de CIRCIA, lo que está previsto para 2025. Hasta entonces, se recomienda encarecidamente a las organizaciones que compartan voluntariamente información sobre incidentes cibernéticos con CISA, y se puede contactar con ellos 24/7 en report@cisa.gov, o en el (888) 282-08703, o en su portal en línea https://www.cisa.gov/report. Puedes encontrar más información sobre la normativa final y la notificación voluntaria aquí4.
Sin embargo, una vez que la Normativa Final entre en vigor, es probable que exija a las “Entidades Afectadas”:
-
Informar de un ciberincidente cubierto en un plazo de 72 horas
-
Informar de un pago por ransomware en el plazo de 24 horas desde la realización de la transacción
-
Actualizar un informe enviado previamente si se dispone de nueva información o si se ha efectuado un pago por ransomware después de enviar un informe
-
Conservar los datos relativos al incidente o al pago del rescate de acuerdo con los procedimientos que se describirán en la legislación final
Si una “Entidad Afectada” es víctima de un ciberincidente y efectúa un pago por el rescate antes de que se cumpla el requisito de notificación de 72 horas, es probable que se le permita presentar un único informe; sin embargo, los procedimientos definitivos de notificación están aún por determinar.
¿Qué constituye un ciberincidente cubierto?
Todavía no se ha propuesto la definición final; sin embargo, es probable que incluya, como mínimo:
-
Pérdida sustancial de la confidencialidad, integridad o disponibilidad de dicho sistema o red de información, o un impacto grave en la seguridad y resistencia de los sistemas y procesos operativos.
-
Interrupción de las operaciones empresariales o industriales, incluso debido a un ataque de denegación de servicio, un ataque de ransomware o la explotación de una vulnerabilidad de día cero, contra:
-
un sistema o red de información
-
un sistema o proceso tecnológico operativo
-
-
Acceso no autorizado o interrupción de las operaciones empresariales o industriales debido a la pérdida de servicio facilitada a través de, o causada por, un compromiso de un proveedor de servicios en la nube, proveedor de servicios gestionados u otro proveedor de alojamiento de datos de terceros o por un compromiso de la cadena de suministro.
Es probable que la legislación final también tenga en cuenta la sofisticación o novedad de las tácticas utilizadas para perpetrar un incidente cibernético, así como:
-
El tipo, volumen y sensibilidad de los datos en cuestión.
-
El número de personas directa o indirectamente afectadas o potencialmente afectadas por un incidente cibernético.
-
El impacto potencial en los sistemas de control industrial, como los sistemas de control de supervisión y adquisición de datos, los sistemas de control distribuido y los controladores lógicos programables.
¿Qué debe incluir el informe?
El contenido final requerido del informe puede variar y estará disponible tras su publicación, pero como prácticas recomendadas en la gestión de la respuesta a incidentes, las Entidades Afectadas deben estar preparadas para informar:
-
Fecha y hora del incidente
-
Lugar del incidente
-
Tipo de actividad observada
-
Narración detallada del suceso
-
Número de personas o sistemas afectados
-
Nombre de la empresa/organización
-
Datos del punto de contacto
-
Gravedad del suceso
-
Sector de infraestructuras críticas, si se conoce
-
Cualquier otra persona que haya sido informada
Otra información que puede ser necesaria podría incluir
-
El impacto en las operaciones de la entidad afectada
-
Una descripción de las vulnerabilidades explotadas, si procede, y las TTP (tácticas, técnicas y procedimientos) del actor utilizadas para perpetrar el ciberincidente
-
Categorías de información a la que se cree que se ha accedido
-
Cualquier información identificativa o de contacto relacionada con el atacante si está disponible, por ejemplo, en el caso de un evento de ransomware
-
Información de contacto de una entidad que pueda haber efectuado el pago del rescate en nombre de la organización afectada
-
Las instrucciones del rescate, la demanda y el tipo de moneda utilizada
¿Qué terceros pueden informar en nombre del afectado?
Las entidades consideradas infraestructuras críticas que deban notificar un ciberincidente o el pago de un rescate pueden recurrir a un tercero para que presente el informe en su nombre. Las directrices definitivas sobre cómo utilizar a un tercero estarán disponibles con la normativa final, pero se espera que la lista de terceros incluya probablemente:
-
Empresas de respuesta a incidentes
-
Proveedores de seguros
-
Proveedores de servicios
-
Organizaciones de Análisis e Intercambio de Información (ISAO)
-
Despachos de abogados
¿Qué ocurre si una entidad afectada incumple la obligación de informar?
Si una organización afectada incumple el plazo de 72 horas, el Director de la CISA puede emitir una citación para obligar a revelar la información que se considere necesaria. La normativa final definirá plenamente los métodos de aplicación y lo que cabe esperar.
¿Qué protecciones tienen los denunciantes?
Se espera que los informes CIRCIA se consideren información comercial, financiera y de propiedad de la entidad cubierta y probablemente estén exentos de divulgación en virtud del artículo 552(b)(3) del título 5 del Código de Estados Unidos (comúnmente conocido como “Ley de Libertad de Información”), así como de cualquier disposición de la ley de libertad de información estatal, tribal o local, ley de gobierno abierto, ley de reuniones abiertas, ley de registros abiertos, ley de transparencia o ley similar que exija la divulgación de información o registros. Es probable que dicha exención exija que la entidad declarante haga valer sus derechos por escrito en virtud de esta sección.
1 https://www.cisa.gov/sites/default/files/2023-01/ppd-21-critical-infrastructure-and-resilience-508_0.pdf
2 https://www.dhs.gov/xlibrary/assets/nppd/nppd-ip-education-facilities-snapshot-2011.pdf
3 https://www.cisa.gov/sites/default/files/2022-11/Sharing_Cyber_Event_Information_Fact_Sheet_FINAL_v4.pdf
4 https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-criticalinfrastructure-act-2022-circia
Este documento no constituye ningún tipo de asesoramiento jurídico ni refleja las opiniones de Sophos ni de sus empleados. Las empresas deben consultar a sus propios asesores para obtener orientación legal sobre cualquier ley o normativa.