COMENTARIO
La regulación es la acción de ciberseguridad más compleja y políticamente sensible jamás emprendida por el gobierno de Estados Unidos.
La acción más importante que puede tomar la Casa Blanca es lanzar una estrategia de ciberregulación y crear una nueva oficina dentro de la Oficina del Director Nacional Cibernético (ONCD) para impulsar una regulación y armonización inteligentes.
Regular la ciberseguridad: se necesita una estrategia
Los mandatos gubernamentales, especialmente aquellos destinados a regular un área relacionada con el discurso, atacan el corazón del papel del gobierno en una sociedad libre. Son mucho más inherentemente políticas que la mayoría de las otras iniciativas de ciberseguridad, como la creación de una fuerza laboral cibernética, un tema para el cual La ONCD ya ha creado una estrategia específica.
La ciberregulación también es extremadamente compleja. Para mejorar la ciberseguridad, el gobierno podría imponer controles mínimos de ciberseguridad de referencia para la infraestructura crítica (para todo, desde carril tiene información del cliente en poder de los bancos), acusar a las empresas de fraude bajo la Ley de Reclamaciones Falsas, utilizar las leyes de valores para cargos penales contra gerentes de seguridad corporativa, imponer requisitos de etiquetado para dispositivos inteligentes, o regular Ciberseguridad para el acceso a Internet de alta velocidad..
El gobierno de Estados Unidos no hace todas estas cosas y más a la vez.
Algunas de estas iniciativas son más consistentes con la estrategia y las prioridades del presidente que otras; Es mejor hacer algunos primero y otros después; algunos podrían ser impugnados ante los tribunales, como lo hizo Chevron; y algunos impondrán costos más altos, por ganancias menores, que otros que persiguen el mismo objetivo.
Todo esto creará ganadores y perdedores. A diferencia de los esfuerzos por mejorar la ciberseguridad, algunos podrían incluso afectar el resultado de las elecciones.
Por lo tanto, la ONCD debe desarrollar una nueva estrategia (o al menos una hoja de ruta menos formal) para regular el ciberespacio, definiendo las principales opciones y compensaciones, cronogramas y medidas de éxito. Quienes toman las decisiones finales deben ser los líderes políticos del país en el Consejo de Seguridad Nacional y el Consejo Económico Nacional.
También se necesita una nueva oficina en la Casa Blanca
Para garantizar el éxito de la estrategia de fuerza laboral cibernética, la ONCD ha creado un equipo dedicado, dirigido por un director cibernético nacional adjunto. La ONCD necesita crear otra oficina especial similar para centrarse en el tema mucho más delicado y complejo de la regulación.
La oficina de la ONCD no sólo se esforzaría por “crear un sistema regulatorio coherente y armonizar los requisitos de ciberseguridad”, como recomendado por la Cámara de Comercio Americanao supervisar un comité de armonización, de conformidad con un reciente proyecto de ley del Senado. Redactaría la estrategia, desarrollaría un plan de implementación y monitorearía su finalización, desarrollaría marcos para armonizar las regulaciones, abogaría por el reconocimiento mutuo y ayudaría a verificar si las regulaciones están funcionando y a un costo razonable.
Esta oficina trabajaría con otros ministerios y agencias, en particular el Foro de Ciberseguridad para Reguladores Ejecutivos e Independientes y la Agencia de Seguridad de Infraestructura y Ciberseguridad. cargado recientemente armonizar la normativa sobre infraestructuras críticas.
Y muchas regulaciones requieren coordinación. Sólo en los últimos meses no sólo ha habido Ley de notificación de incidentes cibernéticos de infraestructura crítica (CIRCIA), pero también:
1. Ciberseguridad en el sistema de transporte marítimo“establecer requisitos mínimos de ciberseguridad para embarcaciones con bandera de EE. UU.” (de la Guardia Costera)
2. Requisitos para informar sobre violaciones de datos para proveedores de telecomunicaciones (la Comisión Federal de Comunicaciones)
3. Etiquetado de ciberseguridad para el Internet de las Cosas (IoT) (FCC)
4. Certificación del Modelo de Madurez en Ciberseguridad para Emprendedores (Ministerio de defensa)
5. Requisitos importantes para informar incidentes de ciberseguridad para prestamistas hipotecarios aprobados por el gobierno federal (Departamento de Vivienda y Desarrollo Urbano)
6. Nuevos requisitos para proveedores de infraestructura como servicio (IaaS) de EE. UU. (Departamento de Comercio)
Mientras tanto, el Agencia de Protección Ambiental es “aumentar las inspecciones y el cumplimiento” de los sistemas de agua comunitarios y “la Centros de Servicios de Medicare y Medicaid (CMS) escribirá nuevas reglas» para los hospitales.
Los esfuerzos de armonización de la ONCD han sido sólidos, encabezados por Nick Leiserson, Brian Scott y Elizabeth Irwin, entre otros. Pero este equipo también trabaja en una amplia gama de otras políticas y programas, como incluir la ciberseguridad en las subvenciones federales a los estados. Las regulaciones, complejas y políticamente complicadas, merecen un equipo y un liderazgo dedicados.
¡Pero estamos cerca de unas elecciones!
La próxima administración presidencial puede estar menos dispuesta a regular que ésta, pero aún necesitará un plan regulatorio para coordinar y armonizar las agencias independientes y colaborar con los estados y la Unión Europea.
La ONCD está integrada no sólo por personas designadas políticas y altos funcionarios –como es el caso del Consejo de Seguridad Nacional, el corazón tradicional de la formulación de políticas cibernéticas de la Casa Blanca– sino también por personal permanente. Comenzar a trabajar en un documento de este tipo ahora puede ayudar a que las políticas más inteligentes sobrevivan entre administraciones y mejoren la previsibilidad para las empresas reguladas.
Esta es la mejor oportunidad que tiene la Casa Blanca, quizás en una generación, para tener éxito, mejorar la seguridad, proteger a los estadounidenses en un mundo cada vez más peligroso, reducir costos y mejorar la previsibilidad para las empresas que construyen nuestra economía digital.
Si la Casa Blanca no aborda otras cuestiones cibernéticas importantes, las administraciones futuras tendrán otras oportunidades. Los críticos que se oponen a las regulaciones no serán tan indulgentes.