La Ley Nacional de Ciberseguridad y Protección de Infraestructura Crítica de 2013 (HR 3696) es un proyecto de ley que modificaría la Ley de Seguridad Nacional de 2002 para exigir que el Secretario del Departamento de Seguridad Nacional (DHS) lleve a cabo actividades de ciberseguridad en nombre del gobierno federal y codificaría el papel del DHS en la prevención y respuesta a incidentes de ciberseguridad que involucran los sistemas de tecnología de la información (TI) de agencias civiles federales y la infraestructura crítica en los Estados Unidos. [1]
El proyecto de ley fue presentado en la Cámara de Representantes de los Estados Unidos durante el 113º Congreso de los Estados Unidos .
Este resumen se basa en gran medida en el resumen proporcionado por el Servicio de Investigación del Congreso , una fuente de dominio público . [2]
La Ley Nacional de Ciberseguridad y Protección de Infraestructuras Críticas de 2013 enmendaría la Ley de Seguridad Nacional de 2002 para exigir que el Secretario de Seguridad Nacional de los Estados Unidos lleve a cabo actividades de seguridad cibernética , incluida la provisión de conciencia situacional compartida entre entidades federales para permitir el acceso en tiempo real, integrado, y acciones operativas para proteger, prevenir, mitigar, responder y recuperarse de incidentes cibernéticos. [2]
El proyecto de ley definiría "incidente cibernético" como un incidente que resulta en, o un intento de causar, un incidente que, de tener éxito,: (1) pondría en peligro la seguridad, integridad, confidencialidad o disponibilidad de un sistema o red de información o cualquier información almacenado, procesado o transitado por dicho sistema; (2) violar leyes o procedimientos relacionados con la seguridad del sistema, políticas de uso aceptable o actos de terrorismo contra un sistema o red de información; o (3) negar el acceso o degradar, interrumpir o destruir un sistema o red de información o anular las operaciones o el control técnico de dicho sistema o red. [2]
El proyecto de ley ordenaría al Secretario coordinar con los gobiernos federal, estatal y local, los propietarios y operadores de infraestructura crítica y otras entidades de coordinación intersectorial para: (1) facilitar un esfuerzo nacional para fortalecer y mantener la infraestructura crítica frente a amenazas cibernéticas; (2) garantizar que las políticas y procedimientos del Departamento de Seguridad Nacional (DHS) de los Estados Unidos permitan a los propietarios y operadores de infraestructuras críticas recibir información adecuada y oportuna sobre amenazas cibernéticas; (3) buscar experiencia específica del sector industrial para desarrollar estrategias voluntarias de seguridad y resiliencia y garantizar que la asignación de recursos federales sea rentable y reduzca las cargas para los propietarios y operadores de infraestructura crítica; (4) previa solicitud, brindar asistencia en gestión de riesgos a entidades y educación a propietarios y operadores de infraestructura crítica; y (5) coordinar una estrategia de investigación y desarrollo de tecnologías de ciberseguridad. [2]
El proyecto de ley ordenaría al Secretario: (1) gestionar los esfuerzos federales para proteger los sistemas de información civil federal (excluyendo los sistemas de seguridad nacional, el Departamento de Defensa de los Estados Unidos (DOD), los militares y los sistemas comunitarios de inteligencia ) y, previa solicitud, apoyar los esfuerzos de propietarios y operadores de infraestructuras críticas para protegerse contra las amenazas cibernéticas; (2) ordenar a una entidad del DHS que actúe como entidad civil federal por y entre gobiernos federales, estatales y locales, entidades privadas y sectores de infraestructura crítica para compartir información sobre amenazas cibernéticas; (3) promover la conciencia nacional y educar al público sobre la seguridad de los sistemas de información; (4) previa solicitud, para facilitar la respuesta a incidentes cibernéticos y asistencia de recuperación y proporcionar análisis y advertencias relacionadas con amenazas y vulnerabilidades de sistemas de información críticos, soporte de gestión de crisis y consecuencias, y otra asistencia técnica remota o in situ a autoridades federales, entidades gubernamentales estatales y locales y entidades privadas por incidentes cibernéticos que afecten a infraestructura crítica; y (5) colaborar con socios internacionales. [2]
El proyecto de ley requeriría que el Secretario: (1) designe sectores de infraestructura críticos; y (2) reconocer, para cada sector, un Consejo Coordinador Sectorial (SCC) y al menos un Centro de Análisis e Intercambio de Información (ISAC). [2]
El proyecto de ley permitiría incluir como sectores de infraestructura crítica: [2]
El proyecto de ley requeriría que las SCC: (1) estén compuestas por propietarios y operadores de infraestructura crítica pequeños, medianos y grandes, entidades privadas y asociaciones comerciales representativas; y (2) servir como una entidad primaria de políticas, planificación y comunicaciones estratégicas autónoma y autoorganizada para coordinar con el DHS, agencias de sectores específicos y los ISAC en actividades de seguridad y resiliencia y esfuerzos de recuperación y respuesta de emergencia. [2]
El proyecto de ley permitiría al Secretario celebrar contratos con entidades privadas que brinden servicios de comunicaciones electrónicas, computación remota o ciberseguridad. Prohíbe causas de acción contra entidades privadas que proporcionen dicha asistencia al Secretario. [2]
El proyecto de ley establecería el Centro Nacional de Integración de Comunicaciones y Ciberseguridad como una interfaz de intercambio de información civil federal para: (1) proporcionar conciencia situacional compartida para permitir acciones operativas, integradas y en tiempo real en todo el gobierno federal; y (2) compartir información sobre amenazas cibernéticas entre entidades gubernamentales federales, estatales y locales, ISAC, entidades privadas y propietarios y operadores de infraestructura crítica que tienen relaciones de intercambio de información. [2]
El proyecto de ley requeriría que el Secretario establezca Equipos de Respuesta a Incidentes Cibernéticos para brindar asistencia técnica y recomendaciones a entidades gubernamentales federales, estatales y locales, entidades privadas y propietarios y operadores de infraestructura crítica. [2]
El proyecto de ley ordenaría al Secretario, en coordinación con los SCC, ISAC y los gobiernos federal, estatal y local, desarrollar, actualizar periódicamente y ejecutar un Plan Nacional de Respuesta a Incidentes de Ciberseguridad. [2]
El proyecto de ley requeriría que el Secretario desarrolle una estrategia integral de fuerza laboral para mejorar la preparación, capacidad, capacitación, reclutamiento y retención del personal de ciberseguridad del DHS, incluido un plan de reclutamiento de 5 años y proyecciones de 10 años de las necesidades de fuerza laboral. [2]
El proyecto de ley redesignaría la Dirección de Programas y Protección Nacional como Dirección de Ciberseguridad y Protección de Infraestructura. [2]
El proyecto de ley ordenaría al Instituto Nacional de Estándares y Tecnología (NIST) facilitar y apoyar el desarrollo de un conjunto de estándares y procesos voluntarios, liderados por la industria, para reducir los riesgos cibernéticos a la infraestructura crítica. Prohíbe al NIST exigir el uso de soluciones, productos, servicios o técnicas de fabricación o diseño específicos. [2]
El proyecto de ley requeriría que el Secretario: (1) se reuniera dos veces al año con cada SCC y (2) presentara informes anuales al Congreso sobre el estado de la ciberseguridad en cada sector. [2]
El proyecto de ley ampliaría las protecciones de responsabilidad para los proveedores de tecnología bajo la Ley de Apoyo Antiterrorista mediante el Fomento de Tecnologías Efectivas de 2002 para incluir tecnologías de ciberseguridad designadas implementadas en defensa de incidentes cibernéticos calificados, que incluyen: (1) incidentes de acceso ilegal o no autorizado; (2) interrupción de la integridad, operación, confidencialidad o disponibilidad de dispositivos electrónicos programables o redes de comunicación; (3) apropiación indebida, corrupción o alteración de datos, activos, información o propiedad intelectual; y (4) daños dentro o fuera de los Estados Unidos que resulten en daños, interrupciones o víctimas que afecten gravemente a la población, la infraestructura, la economía, la moral nacional o las funciones del gobierno federal, estatal, local o tribal de los Estados Unidos. [2]
El proyecto de ley prohibiría que esta Ley se interprete en el sentido de: (1) crear o autorizar nuevas regulaciones o autoridad regulatoria adicional del gobierno federal, o (2) autorizar la apropiación de fondos adicionales. [2]
Este resumen se basa en gran medida en el resumen proporcionado por la Oficina de Presupuesto del Congreso , según lo ordenado por el Comité de Seguridad Nacional de la Cámara de Representantes el 5 de febrero de 2014. Esta es una fuente de dominio público . [1]
HR 3696 enmendaría la Ley de Seguridad Nacional de 2002 para exigir que el Secretario del Departamento de Seguridad Nacional (DHS) lleve a cabo actividades de seguridad cibernética en nombre del gobierno federal y codificaría el papel del DHS en la prevención y respuesta a incidentes de seguridad cibernética que involucren la información. Sistemas de tecnología (TI) de agencias civiles federales e infraestructura crítica en los Estados Unidos. [1]
Aunque el DHS actualmente lleva a cabo muchas de las actividades cubiertas por HR 3696 y ha recibido aproximadamente $800 millones hasta ahora en el año fiscal 2014 para sus actividades de ciberseguridad, algunas disposiciones del proyecto de ley ampliarían los programas existentes, proporcionarían autoridades adicionales o agregarían nuevos requisitos más allá de los de la agencia. esfuerzos actuales. Suponiendo que se asignen las cantidades necesarias, la Oficina de Presupuesto del Congreso (CBO) estima que implementar el proyecto de ley costaría 160 millones de dólares adicionales durante el período 2015-2019. [1]
Los procedimientos de reparto no se aplican a esta legislación porque no afectarían los gastos ni los ingresos directos. [1]
HR 3696 no contiene mandatos intergubernamentales o del sector privado según lo definido en la Ley de Reforma de Mandatos No Financiados (UMRA). [1]
La Ley Nacional de Ciberseguridad y Protección de Infraestructuras Críticas de 2013 fue introducida en la Cámara de Representantes de los Estados Unidos el 11 de diciembre de 2013 por el Representante Michael T. McCaul (R, TX-10) . [3] Fue remitido al Comité de Seguridad Nacional de la Cámara de los Estados Unidos , al Comité de Ciencia, Espacio y Tecnología de la Cámara de los Estados Unidos , al Comité de Supervisión y Reforma Gubernamental de la Cámara de los Estados Unidos, al Subcomité de Seguridad Nacional de la Cámara de los Estados Unidos sobre Ciberseguridad e Infraestructura. Tecnologías de protección y seguridad , y el Subcomité Científico de Investigación y Tecnología de la Cámara de Representantes de los Estados Unidos . El 23 de julio de 2014, el proyecto de ley se informó (enmendó) junto con el Informe de la Cámara 113-550 parte 1. [3] El 28 de julio de 2014, la Cámara votó a favor de aprobar el proyecto de ley en votación oral . [3]
El representante McCaul dijo que el proyecto de ley era "un paso importante para abordar la amenaza cibernética". [4] Según McCaul, el proyecto de ley "establece una verdadera asociación entre el DHS y el sector privado para garantizar la distribución de información sobre amenazas cibernéticas en tiempo real con el fin de proteger a nuestra nación en el ciberespacio sin mandatos o regulaciones gravosas". [4]
El representante Bennie Thompson (D-MS) también apoyó el proyecto de ley, diciendo que su aprobación significaría que la Cámara ha "tomado medidas significativas para avanzar en la mejora de la postura de ciberseguridad de nuestra nación". [4]
El representante Pat Meehan (R-PA) copatrocinó el proyecto de ley, argumentando que "es sólo cuestión de tiempo antes de que nuestras redes eléctricas o redes financieras sean las últimas víctimas de los piratas informáticos". [5] Meehan señaló los ataques cibernéticos a Target Corporation , Neiman Marcus y White Lodging como evidencia de los peligros para las empresas y los consumidores estadounidenses. [5]
La Unión Estadounidense por las Libertades Civiles , Boeing , AT&T y Pepco Holdings escribieron cartas en apoyo de la legislación. [6]
Este artículo incorpora material de dominio público de sitios web o documentos del gobierno de los Estados Unidos .