La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha presentado un nuevo borrador de reglas actualizadas sobre informes cibernéticos para organizaciones de infraestructura crítica. En un esfuerzo por actualizar su Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas (CIRCIA) de 2022, CISA publicó el primer borrador de las nuevas reglas propuestas, que se publicarán en el Registro Federal el 4 de abril. Estas reglas se aplicarán a todos los contratistas de defensa de EE. UU. considerado para operar infraestructura crítica bajo la cláusula DFARS 252.204-7012. Todas las organizaciones que se encuentran dentro de los 16 sectores de infraestructura crítica, según lo define CISA, estarán obligadas a informar los incidentes cibernéticos a la agencia dentro de las 72 horas posteriores a que ocurrieron según la legislación. Además, los pagos de rescate realizados en respuesta a un ataque de ransomware deben informarse dentro de las 24 horas posteriores a la realización del rescate. Los contratistas de defensa de EE. UU. informarán dos veces tanto a CISA como a DoD El nuevo documento de 447 páginas describe los pasos que las “entidades cubiertas” deben tomar cuando experimentan un incidente cibernético o una solicitud de rescate. Estos incluyen informar a CISA cuando se encuentre en cualquiera de las cuatro situaciones siguientes: Pérdida sustancial de confidencialidad, integridad o disponibilidad. Impacto grave en la seguridad y resiliencia de los sistemas y procesos operativos. Interrupción de la capacidad para participar en operaciones comerciales o industriales. Acceso no autorizado facilitado o causado. por un compromiso de la cadena de suministro o el compromiso de un proveedor de servicios en la nube (CSP), un proveedor de servicios gestionados (MSP) u otro proveedor de alojamiento de datos externo. En el documento, CISA sugirió acciones coercitivas por informes falsos o incumplimiento, como la capacidad de citar a la entidad o informarla al Departamento de Justicia de EE. UU. (DoJ). Aunque CISA reconoció que la mayoría, si no todas, las entidades cubiertas ya tienen que informar los mismos incidentes al Departamento de Defensa de EE. UU. (DoD), la agencia “propone, sin embargo, incluirlos dentro de la sección de Aplicabilidad de CIRCIA”. “Esto garantizará que el gobierno federal reciba la información necesaria para identificar amenazas cibernéticas, vulnerabilidades explotadas y técnicas, tácticas y procedimientos (TTP) que afectan a las entidades de esta comunidad y en otros sectores de infraestructura crítica interdependientes, incluso si se realizan cambios en lo que debe ser reportados de conformidad con el reglamento DFARS, sobre el cual CISA no tiene autoridad”, se lee en el borrador. Las entidades cubiertas tienen 60 días para enviar comentarios a CISA sobre las nuevas reglas propuestas.

Source link