La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) está intensificando sus esfuerzos para perfeccionar una de las regulaciones más esperadas en el ámbito de la ciberseguridad nacional. La agencia ha anunciado una serie de reuniones comunitarias, conocidas como ‘town halls’, diseñadas específicamente para recopilar comentarios directos de los operadores de infraestructura crítica sobre el alcance y la implementación de la futura regla de reporte de incidentes cibernéticos.
Un proceso de consulta crucial
Este movimiento se enmarca en el cumplimiento de la Ley de Reporte de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA) de 2022, un mandato del Congreso estadounidense. La versión preliminar de la regla, publicada en abril de 2024, establecía que los operadores de infraestructura cubierta debían reportar incidentes cibernéticos sustanciales al gobierno en un plazo de 72 horas. Sin embargo, este borrador generó preocupación entre grupos empresariales y algunos legisladores, quienes objetaron tanto el alcance de la información requerida como la amplitud de las empresas que quedarían sujetas a la regulación.
En un comunicado reciente, CISA reconoció explícitamente el interés y la preocupación de las partes interesadas. La agencia expresó su compromiso de implementar la CIRCIA de manera que maximice su impacto en la mejora de la postura de ciberseguridad nacional, mientras minimiza la carga innecesaria para las entidades en los sectores de infraestructura crítica. El objetivo declarado es encontrar un equilibrio delicado pero esencial.
Áreas específicas de interés para los comentarios
CISA ha detallado que busca comentarios ‘específicos y accionables’ que puedan ‘aclarar o reducir’ la carga del requisito de reporte planificado, sin comprometer la calidad y cantidad de información que el gobierno necesita para comprender el panorama de amenazas cibernéticas. La agencia ha señalado un interés particular en recibir retroalimentación sobre varios aspectos clave de la regla propuesta:
- Información requerida en los reportes: Qué datos son absolutamente necesarios para que el gobierno responda eficazmente, y cuáles podrían simplificarse.
- Criterios basados en el tamaño: La utilización del tamaño de la empresa como factor para determinar qué entidades deben cumplir con la regulación.
- Proceso de citación: El mecanismo mediante el cual CISA podría obtener información de empresas que no cooperen.
- Responsabilidad de proveedores externos: Si la regla debería exigir a proveedores de servicios en la nube, proveedores de servicios gestionados (MSP) u otros operadores que reporten incidentes relacionados con código abierto que utilicen.
- Cobertura de sectores: Evaluar si las listas de entidades cubiertas, organizadas por sector, omiten categorías importantes de operadores de infraestructura.
Calendario de las reuniones comunitarias
Para facilitar este diálogo, CISA ha programado siete reuniones comunitarias. Cinco de ellas tendrán lugar en marzo y estarán segmentadas por sectores industriales, seguidas de dos sesiones generales. Este enfoque sectorial permite una discusión más enfocada y técnica.
Agenda de marzo por sectores
- 9 de marzo: Sectores químico, agua, presas, energía y nuclear.
- 12 de marzo: Instalaciones comerciales, manufactura, y alimentos y agricultura.
- 17 de marzo: Servicios de emergencia, instalaciones gubernamentales y atención médica.
- 18 de marzo: Comunicaciones, transporte y servicios financieros.
- 19 de marzo: Contratistas de defensa y empresas de tecnología de la información.
Posteriormente, se llevarán a cabo dos sesiones generales: una el 31 de marzo y otra el 2 de abril, abiertas a cualquier organización interesada. CISA espera que cada reunión dure hasta dos horas, asignando aproximadamente tres minutos a cada orador para garantizar una participación amplia. La agencia ha anunciado que grabará y transcribirá todas las sesiones, publicando posteriormente las transcripciones en el expediente oficial de la reglamentación CIRCIA.
Límites y expectativas del proceso
CISA ha sido clara en establecer los límites de estas consultas. En su anuncio, advirtió que durante las reuniones “no podrá compartir información no pública o deliberativa sobre la elaboración de la regla CIRCIA, ni podrá comprometerse a resolver problemas de política que afecten o sean afectados por la reglamentación de una manera específica”. Esto subraya que el proceso es de recolección de insumos, no de negociación en tiempo real.
Este ciclo de comentarios representa la continuación de un extenso proceso de consulta. En años anteriores, una Solicitud de Información inicial generó 130 comentarios, más de una decena de sesiones de escucha sectorial atrajeron a aproximadamente 730 personas, y el período de comentarios públicos de 90 días sobre el borrador de la regla produjo alrededor de 300 comentarios adicionales. CISA ha dedicado varios años a analizar esta montaña de aportes para definir el alcance apropiado de la regla.
El camino hacia la regla final
Si bien CISA no se comprometió a reabrir el período de comentarios públicos sobre el borrador de la regla, dejó abierta la posibilidad, indicando que “podría optar por hacerlo en el futuro si determina que está justificado”. La agencia reiteró su compromiso de trabajar dentro del proceso de reglamentación para permitir que las partes interesadas proporcionen información a medida que se finaliza la regla, con el objetivo final de lograr un equilibrio apropiado entre costos y beneficios.
La implementación efectiva de la CIRCIA es vista como un componente fundamental para fortalecer la resiliencia cibernética nacional. Al obligar al reporte de incidentes significativos, las autoridades esperan obtener una imagen más clara y rápida de las tácticas, técnicas y procedimientos de los adversarios cibernéticos, lo que permitiría una respuesta coordinada más ágil y la posibilidad de compartir inteligencia de amenazas para proteger a otros potenciales blancos. El éxito de esta regla, sin embargo, depende en gran medida de que sea percibida como justa, manejable y efectiva por parte de las empresas que deben cumplirla, de ahí la crítica importancia del proceso de consulta que CISA está llevando a cabo.
