El senado estadounidense aprobó la semana pasada una ley que obligará a las empresas de infraestructuras críticas a declarar cuando hayan sufrido un ciberataque.
Su objetivo es mejorar la capacidad del país para combatir las continuas amenazas de ciberseguridad contra las infraestructuras críticas, exigiendo a los operadores que informen a la Comisión de Seguridad Informática (CISA) en un plazo de 72 horas si sufren un ciberataque importante, y en un plazo de 24 horas si se produce un pago por ransomware.
También confiere a la CISA la autoridad para citar a las entidades que no informen de los incidentes de ciberseguridad o de los pagos por ransomware. Las organizaciones que no cumplan con la citación pueden ser referidas al Departamento de Justicia.
La disposición también exige a la CISA que ponga en marcha un programa que advierta a las organizaciones de las vulnerabilidades que explotan los actores del ransomware. También ordena a la directora de la CISA que establezca un grupo de trabajo conjunto sobre ransomware para coordinar los esfuerzos federales, en consulta con la industria, para prevenir e interrumpir los ataques de ransomware.
“Esta disposición creará el primer requisito holístico para que los operadores de infraestructuras críticas informen de los incidentes cibernéticos para que el gobierno federal pueda advertir a otros de la amenaza, prepararse para los impactos generalizados y ayudar a que los sistemas más esenciales de nuestra nación vuelvan a estar en línea para que puedan seguir proporcionando servicios inestimables al pueblo estadounidense. Nuestra disposición también garantizará que la CISA -nuestra principal agencia de ciberseguridad- disponga de las herramientas y los recursos necesarios para ayudar a reducir el impacto que estas brechas digitales pueden tener en las operaciones de infraestructuras críticas”, dijo el senador Gary Peters, presidente de la Comisión de Seguridad Nacional y Asuntos Gubernamentales del Senado estadounidense.
CISA aplaude la aprobación de la legislación sobre notificación de incidentes cibernéticos, afirmando que ahora dispondrá de los datos y la visibilidad que necesita para ayudar a proteger mejor las infraestructuras críticas y las empresas de todo el país frente a los ciberataques.