La regulación propuesta en el NPRM se aplica a todas las organizaciones que no se consideran “pequeñas empresas” según lo define la Administración de Pequeñas Empresas de EE. UU., excepto las pequeñas empresas que se consideran de “alto riesgo”, como hospitales de acceso crítico en áreas rurales, propietarios y operadores de instalaciones nucleares y distritos escolares centrales.
En su NPRM de 450 páginas, CISA detalla una serie de reglas complejas que probablemente perfeccionará aún más antes de que se publique la regulación final y busca comentarios de todas las partes interesadas. Las siguientes secciones resaltan las piedras angulares de las reglas propuestas por CISA, destilando algunas de las características esenciales.
Qué incidentes reportar y cuándo
CISA propone definir un incidente cibernético como “un suceso que realmente pone en peligro, sin autoridad legal, la integridad, confidencialidad o disponibilidad de la información en un sistema de información, o que realmente pone en peligro, sin autoridad legal, un sistema de información”.
CISA propone definir un incidente cibernético cubierto, es decir, uno que debe informarse según las nuevas reglas, como aquel que cumple cualquiera de los siguientes umbrales de sustancialidad:
- Una pérdida sustancial de confidencialidad, integridad o disponibilidad del sistema o red de información de una entidad cubierta.
- Un impacto grave en la seguridad y resiliencia de los sistemas y procesos operativos de una entidad cubierta.
- Una interrupción de la capacidad de una entidad cubierta para participar en operaciones comerciales o industriales, o entregar bienes o servicios.
- Acceso no autorizado al sistema o red de información de una entidad cubierta, o cualquier información no pública contenida en ellos, que sea facilitado o causado por un compromiso de un proveedor de servicios en la nube, un proveedor de servicios administrados, otro proveedor de alojamiento de datos externo o una cadena de suministro. compromiso.
CISA señala que estas condiciones se aplican independientemente de la causa del incidente, que podría incluir el compromiso de un proveedor de servicios en la nube, un proveedor de servicios administrados u otro proveedor de alojamiento de datos externo, un compromiso de la cadena de suministro, un ataque de denegación de servicio. , un ataque de ransomware o la explotación de una vulnerabilidad de día cero.
Es importante tener en cuenta que un incidente debe cumplir solo uno de los cuatro aspectos, no los cuatro, para que califique como un incidente cibernético sustancial. Además, CISA propone incluir todo tipo de sistemas, redes o tecnologías, no solo aquellos considerados críticos, para determinar si ha ocurrido un incidente sustancial.