El gobierno australiano ha presentado al Parlamento la primera ley independiente de ciberseguridad del país. La nueva legislación tiene como objetivo proteger mejor a los ciudadanos y las organizaciones contra un entorno de amenazas geopolíticas y cibernéticas intensificadas. El proyecto de ley de seguridad cibernética de 2024 cubre una variedad de áreas, incluida la exigencia de estándares mínimos de ciberseguridad para dispositivos de IoT y informes obligatorios de ransomware para organizaciones de infraestructura crítica. Además, la legislación establecerá una Junta de Revisión de Incidentes Cibernéticos para realizar revisiones posteriores a los incidentes importantes de ciberseguridad y una obligación de «uso limitado» que restringe cómo la información del incidente proporcionada al Coordinador Nacional de Seguridad Cibernética puede usarse y compartirse con otras agencias gubernamentales. El paquete también avanzará e implementará reformas bajo la Ley de Seguridad de Infraestructura Crítica (SOCI) de Australia de 2018. Esto incluye disposiciones para simplificar el intercambio de información entre la industria y el gobierno y mejorar las medidas de asistencia gubernamental para gestionar mejor los impactos de todos los incidentes peligrosos en la infraestructura crítica. Lea ahora: El gobierno del Reino Unido se prepara para introducir un nuevo proyecto de ley de ciberseguridad y resiliencia con estándares mínimos para dispositivos inteligentes Actualmente, los dispositivos inteligentes no están sujetos a estándares obligatorios de ciberseguridad en Australia, y el gobierno describió el enfoque voluntario como “fragmentado e insuficiente”. El proyecto de ley de seguridad cibernética de 2024 establecerá un nivel básico de seguridad para dispositivos conectados a Internet, como timbres y relojes inteligentes, incluidas configuraciones predeterminadas seguras, contraseñas únicas de dispositivos y actualizaciones de seguridad periódicas. El Ministro correspondiente también tendrá poderes para imponer estándares de seguridad como reglas ministeriales para dispositivos inteligentes. Este poder permitirá a Australia actualizar rápidamente los estándares para alinearlos con los estándares internacionales existentes, siguiendo el enfoque de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) del Reino Unido. Se podrá emitir un aviso de cumplimiento, un aviso de suspensión y un aviso de retirada por incumplimiento. Obligación de informar pagos de ransomware La nueva ley también introducirá la obligación de informar obligatoriamente para que ciertas empresas australianas informen incidentes de ciberseguridad que resultaron en un pago de ransomware. Los requisitos se aplican a las organizaciones del sector privado responsables de activos de infraestructura críticos en Australia. No cubren organizaciones del sector público. Cualquier empresa de esta naturaleza que realice un pago de ransomware debe informarlo a la Dirección de Señales de Australia (ASD) y al Departamento del Interior dentro de las 72 horas posteriores a realizar el pago o tener conocimiento de que se ha realizado el pago de ransomware. El incumplimiento de estas obligaciones de presentación de informes puede dar lugar a una sanción civil. Abordar las cuestiones de ciberseguridad de “toda la economía” Al presentar el proyecto de ley al Parlamento de Australia el 9 de octubre, Tony Burke, Ministro del Interior de Australia, dijo que la legislación proporciona un marco claro que aborda las cuestiones de ciberseguridad de toda la economía, posicionando el país para responder a amenazas nuevas y emergentes. “Necesitamos un marco que permita a las personas confiar en los productos que utilizan todos los días. Necesitamos un marco que mejore nuestra capacidad para contrarrestar el ransomware y la ciberextorsión. Necesitamos un marco que mejore la protección de las víctimas de incidentes cibernéticos y las aliente a colaborar con el gobierno, y necesitamos un marco que nos permita aprender lecciones de incidentes importantes de ciberseguridad para que podamos estar mejor preparados en el futuro”, afirmó Burke. Añadió que la ley implementará iniciativas clave en el marco de la Estrategia Australiana de Seguridad Cibernética 2023-2030. Crédito de la imagen: EQRoy/Shutterstock.com