Ahir dia 20, la Direcció general de Comunicacions, Xarxes, Contingut i Tecnologia (DG CONNECT) de la Comissió Europea i el Departament de Seguretat Nacional d'EE. UU. (DHS) van anunciar una iniciativa per comparar els elements de notificació d'incidents cibernètics que informaran els requisits de notificació d'incidents cibernètics d'EE. UU. i Unió Europea (UE) sota la Directiva NIS 2. Aquesta col·laboració transatlàntica entre la UE i EE. UU. es basa en els seus esforços per protegir a la seva gent, les seves infraestructures crítiques i les seves empreses contra activitats cibernètiques perjudicials.
L'informe conjunt desenvolupat per DG CONNECT i DHS, amb el suport de les seves respectives agències de ciberseguretat, l'Agència Europea per a la Ciberseguretat (ENISA) i l'Agència de Seguretat d'Infraestructures i Ciberseguretat (CISA), proporciona una avaluació comparativa i una descripció objectiva de les recomanacions de l'Agència Cibernètica d'EE. UU. Incident Reporting Council i l'informe del DHS de 2023 sobre l'harmonització de la notificació d'incidents cibernètics al govern federal i la Directiva 2022/2555 de la UE sobre mesures per a un alt nivell de ciberseguretat en tota la Unió (Directiva NIS2) identificant les principals similituds i divergències. Les troballes d'aquest informe ajudaran a informar l'enfocament de la DG CONNECT i del DHS per avaluar els processos de notificació d'incidents cibernètics en el futur. L'informe identifica sis àrees principals per a l'anàlisi comparativa entre l'informe del DHS i la Directiva de la UE, que inclouen: (i) definicions i llindars de notificació, (ii) cronogramas, desencadenants i tipus de notificació d'incidents cibernètics, (iii) continguts dels informes d'incidents cibernètics, (iv) mecanismes de presentació d'informes, (v) agregació de dades d'incidents i (vaig veure) divulgació pública d'informació sobre incidents cibernètics.
La Llei d'Informes d'Incidents Cibernètics per a Infraestructures Crítiques (CIRCIA), promulgada pel president Biden en 2022, va establir el Consell d'Informes d'Incidents Cibernètics (CIRC), dirigit pel DHS per “coordinar, eliminar conflictes i harmonitzar els requisits federals d'informes d'incidents, inclosos els emesos mitjançant reglaments”. El CIRC, que està presidit pel DHS i inclou representació de més de 30 agències, va esbossar una sèrie de recomanacions pràctiques sobre com el govern d'EE. UU. pot agilitar i harmonitzar la notificació d'incidents cibernètics per protegir millor la infraestructura crítica de la nació. En 2023, el DHS va proporcionar un informe al Congrés que incloïa recomanacions del Consell titulat Harmonització de la notificació d'incidents cibernètics al govern federal .
Al gener de 2023, la Directiva NIS2 va entrar en vigor, donant als Estats membres de la UE 21 mesos per traslladar-la a la legislació nacional. La Directiva NIS2 es basa en els requisits de la seva predecessora, la Directiva (UE) 2016/1148, relativa a mesures per a un alt nivell comú de seguretat de les xarxes i els sistemes d'informació en tota la Unió (la Directiva NIS), en vigor des de 2016, però planteja el nivell comú d'ambició de la UE en matèria de ciberseguretat, mitjançant un abast més ampli, normes més clares i eines de supervisió més sòlides. La Directiva NIS2 harmonitza, enforteix i agilita els requisits de seguretat i notificació d'incidents per a un major nombre d'entitats, que són fonamentals per a l'economia i la societat europees.
