La Ley Nacional de Ciberseguridad y Protección de Infraestructura Crítica de 2013 (HR 3696) es un proyecto de ley que modificaría la Ley de Seguridad Nacional de 2002 para exigir al Secretario del Departamento de Seguridad Nacional (DHS) que lleve a cabo actividades de ciberseguridad en nombre del gobierno federal y codificaría el papel del DHS en la prevención y respuesta a incidentes de ciberseguridad que involucren los sistemas de tecnología de la información (TI) de agencias civiles federales e infraestructura crítica en los Estados Unidos. [1]
El proyecto de ley fue presentado en la Cámara de Representantes de los Estados Unidos durante el 113º Congreso de los Estados Unidos .
Este resumen se basa en gran medida en el resumen proporcionado por el Servicio de Investigación del Congreso , una fuente de dominio público . [2]
La Ley de Ciberseguridad Nacional y Protección de Infraestructura Crítica de 2013 enmendaría la Ley de Seguridad Nacional de 2002 para exigir que el Secretario de Seguridad Nacional de los Estados Unidos lleve a cabo actividades de ciberseguridad , incluida la provisión de conocimiento de la situación compartido entre las entidades federales para permitir acciones operativas, integradas y en tiempo real para proteger, prevenir, mitigar, responder y recuperarse de los incidentes cibernéticos. [2]
El proyecto de ley definiría "incidente cibernético" como un incidente que resulte en, o un intento de causar un incidente que, de tener éxito, podría: (1) poner en peligro la seguridad, integridad, confidencialidad o disponibilidad de un sistema o red de información o cualquier información almacenada, procesada o que transite por dicho sistema; (2) violar leyes o procedimientos relacionados con la seguridad del sistema, políticas de uso aceptable o actos de terrorismo contra un sistema o red de información; o (3) negar el acceso a, o degradar, interrumpir o destruir un sistema o red de información o anular un control operativo o técnico de dicho sistema o red. [2]
El proyecto de ley ordenaría al Secretario coordinar con los gobiernos federales, estatales y locales, los propietarios y operadores de infraestructura crítica y otras entidades de coordinación intersectoriales para: (1) facilitar un esfuerzo nacional para fortalecer y mantener la infraestructura crítica frente a las amenazas cibernéticas; (2) garantizar que las políticas y procedimientos del Departamento de Seguridad Nacional de los Estados Unidos (DHS) permitan a los propietarios y operadores de infraestructura crítica recibir información adecuada y oportuna sobre amenazas cibernéticas; (3) buscar experiencia específica del sector industrial para desarrollar estrategias voluntarias de seguridad y resiliencia y garantizar que la asignación de recursos federales sea rentable y reduzca las cargas para los propietarios y operadores de infraestructura crítica; (4) a pedido, brindar asistencia en gestión de riesgos a las entidades y educación a los propietarios y operadores de infraestructura crítica; y (5) coordinar una estrategia de investigación y desarrollo para tecnologías de ciberseguridad. [2]
El proyecto de ley ordenaría al Secretario: (1) gestionar los esfuerzos federales para proteger los sistemas federales de información civil (excluyendo la seguridad nacional, el Departamento de Defensa de los Estados Unidos (DOD), los sistemas militares y de la comunidad de inteligencia ) y, previa solicitud, apoyar los esfuerzos de los propietarios y operadores de infraestructura crítica para protegerse contra las amenazas cibernéticas; (2) ordenar a una entidad del DHS que actúe como una entidad civil federal por y entre los gobiernos federales, estatales y locales, entidades privadas y sectores de infraestructura crítica para compartir información sobre amenazas cibernéticas; (3) promover la conciencia nacional y educar al público sobre la seguridad del sistema de información; (4) previa solicitud, facilitar la respuesta a incidentes cibernéticos y la asistencia para la recuperación y proporcionar análisis y advertencias relacionadas con las amenazas y vulnerabilidades de los sistemas de información críticos, apoyo para la gestión de crisis y consecuencias, y otra asistencia técnica remota o in situ a entidades gubernamentales federales, estatales y locales y entidades privadas para incidentes cibernéticos que afecten a la infraestructura crítica; y (5) colaborar con socios internacionales. [2]
El proyecto de ley exigiría al Secretario: (1) designar sectores de infraestructura crítica; y (2) reconocer, para cada sector, un Consejo de Coordinación Sectorial (SCC) y al menos un Centro de Análisis e Intercambio de Información (ISAC). [2]
El proyecto de ley permitiría incluir como sectores de infraestructura crítica: [2]
El proyecto de ley exigiría que los SCC: (1) estén compuestos por propietarios y operadores de infraestructura crítica pequeños, medianos y grandes, entidades privadas y asociaciones comerciales representativas; y (2) actúen como una entidad autónoma, autoorganizada, de políticas primarias, planificación y comunicaciones estratégicas para coordinar con el DHS, agencias sectoriales específicas y los ISAC en actividades de seguridad y resiliencia y esfuerzos de respuesta y recuperación de emergencia. [2]
El proyecto de ley permitiría al Secretario celebrar contratos con entidades privadas que proporcionen servicios de comunicación electrónica, computación remota o ciberseguridad. Prohíbe las causas de acción contra entidades privadas que proporcionen dicha asistencia al Secretario. [2]
El proyecto de ley establecería el Centro Nacional de Integración de Comunicaciones y Seguridad Cibernética como una interfaz federal de intercambio de información civil para: (1) proporcionar conocimiento de la situación compartida para permitir acciones operativas, integradas y en tiempo real en todo el gobierno federal; y (2) compartir información sobre amenazas cibernéticas entre entidades gubernamentales federales, estatales y locales, ISAC, entidades privadas y propietarios y operadores de infraestructura crítica que tienen relaciones de intercambio de información. [2]
El proyecto de ley requeriría que el Secretario establezca Equipos de Respuesta a Incidentes Cibernéticos para brindar asistencia técnica y recomendaciones a entidades gubernamentales federales, estatales y locales, entidades privadas y propietarios y operadores de infraestructura crítica. [2]
El proyecto de ley ordenaría al Secretario, en coordinación con los SCC, los ISAC y los gobiernos federales, estatales y locales, desarrollar, actualizar periódicamente y poner en práctica un Plan Nacional de Respuesta a Incidentes de Ciberseguridad. [2]
El proyecto de ley requeriría que el Secretario desarrolle una estrategia integral de fuerza laboral para mejorar la preparación, capacidad, capacitación, reclutamiento y retención del personal de ciberseguridad del DHS, incluido un plan de reclutamiento de cinco años y proyecciones de necesidades de fuerza laboral a 10 años. [2]
El proyecto de ley cambiaría la Dirección Nacional de Protección y Programas por la Dirección de Protección de Infraestructura y Ciberseguridad. [2]
El proyecto de ley ordenaría al Instituto Nacional de Normas y Tecnología (NIST) que facilite y apoye el desarrollo de un conjunto de normas y procesos voluntarios, dirigidos por la industria, para reducir los riesgos cibernéticos para la infraestructura crítica. Prohíbe al NIST exigir el uso de soluciones, productos, servicios o técnicas de fabricación o diseño específicos. [2]
El proyecto de ley requeriría que el Secretario: (1) se reúna dos veces al año con cada SCC y (2) presente informes anuales al Congreso sobre el estado de la ciberseguridad en cada sector. [2]
El proyecto de ley ampliaría las protecciones de responsabilidad para los proveedores de tecnología bajo la Ley de Apoyo al Antiterrorismo mediante el Fomento de Tecnologías Eficaces de 2002 para incluir tecnologías de ciberseguridad designadas implementadas en defensa de incidentes cibernéticos calificados, que incluyen: (1) incidentes de acceso ilegal o no autorizado; (2) interrupción de la integridad, funcionamiento, confidencialidad o disponibilidad de dispositivos electrónicos programables o redes de comunicación; (3) apropiación indebida, corrupción o interrupción de datos, activos, información o propiedad intelectual; y (4) daño dentro o fuera de los Estados Unidos que resulte en daños, interrupciones o víctimas que afecten gravemente a la población, la infraestructura, la economía, la moral nacional o las funciones del gobierno federal, estatal, local o tribal de los Estados Unidos. [2]
El proyecto de ley prohibiría que esta Ley se interprete como: (1) la creación o autorización de nuevas regulaciones o autoridad regulatoria adicional del gobierno federal, o (2) la autorización de la asignación de fondos adicionales. [2]
Este resumen se basa en gran medida en el resumen proporcionado por la Oficina de Presupuesto del Congreso , según lo ordenado por el Comité de Seguridad Nacional de la Cámara de Representantes el 5 de febrero de 2014. Esta es una fuente de dominio público . [1]
La HR 3696 modificaría la Ley de Seguridad Nacional de 2002 para exigir que el Secretario del Departamento de Seguridad Nacional (DHS) lleve a cabo actividades de ciberseguridad en nombre del gobierno federal y codificaría el papel del DHS en la prevención y respuesta a incidentes de ciberseguridad que involucren los sistemas de tecnología de la información (TI) de agencias civiles federales e infraestructura crítica en los Estados Unidos. [1]
Aunque el DHS actualmente lleva a cabo muchas de las actividades contempladas en la HR 3696 y ha recibido aproximadamente 800 millones de dólares hasta ahora en el año fiscal 2014 para sus actividades de ciberseguridad, algunas disposiciones del proyecto de ley ampliarían los programas existentes, otorgarían autoridades adicionales o añadirían nuevos requisitos más allá de los esfuerzos actuales de la agencia. Suponiendo que se asignen los montos necesarios, la Oficina de Presupuesto del Congreso (CBO) estima que la implementación del proyecto de ley costaría 160 millones de dólares adicionales durante el período 2015-2019. [1]
Los procedimientos de pago por uso no se aplican a esta legislación porque no afectarían el gasto directo ni los ingresos. [1]
La HR 3696 no contiene mandatos intergubernamentales o del sector privado según se define en la Ley de Reforma de Mandatos No Financiados (UMRA). [1]
La Ley Nacional de Ciberseguridad y Protección de Infraestructura Crítica de 2013 fue presentada en la Cámara de Representantes de los Estados Unidos el 11 de diciembre de 2013 por el representante Michael T. McCaul (R, TX-10) . [3] Fue remitida al Comité de Seguridad Nacional de la Cámara de Representantes de los Estados Unidos , al Comité de Ciencia, Espacio y Tecnología de la Cámara de Representantes de los Estados Unidos , al Comité de Supervisión y Reforma Gubernamental de la Cámara de Representantes de los Estados Unidos , al Subcomité de Seguridad Nacional de la Cámara de Representantes de los Estados Unidos sobre Ciberseguridad, Protección de Infraestructura y Tecnologías de Seguridad , y al Subcomité de Ciencia de la Cámara de Representantes de los Estados Unidos sobre Investigación y Tecnología . El 23 de julio de 2014, el proyecto de ley fue informado (enmendado) junto con el Informe de la Cámara 113-550 parte 1. [3] El 28 de julio de 2014, la Cámara votó para aprobar el proyecto de ley en una votación oral . [3]
El representante McCaul dijo que el proyecto de ley era "un paso importante para abordar la amenaza cibernética". [4] Según McCaul, el proyecto de ley "establece una verdadera asociación entre el DHS y el sector privado para garantizar la distribución de información sobre amenazas cibernéticas en tiempo real con el fin de proteger a nuestra nación en el ciberespacio sin mandatos ni regulaciones onerosas". [4]
El representante Bennie Thompson (demócrata por Mississippi) también apoyó el proyecto de ley y dijo que su aprobación significaría que la Cámara de Representantes había "adoptado medidas significativas para avanzar en la mejora de la postura de seguridad cibernética de nuestra nación". [4]
El representante Pat Meehan (republicano por Pensilvania) copatrocinó el proyecto de ley y sostuvo que "es sólo cuestión de tiempo antes de que nuestras redes eléctricas o financieras sean las últimas víctimas de los piratas informáticos". [5] Meehan señaló los ataques cibernéticos a Target Corporation , Neiman Marcus y White Lodging como evidencia de los peligros que enfrentan las empresas y los consumidores estadounidenses. [5]
La Unión Estadounidense por las Libertades Civiles , Boeing , AT&T y Pepco Holdings escribieron cartas en apoyo de la legislación. [6]
Este artículo incorpora material de dominio público de sitios web o documentos del Gobierno de los Estados Unidos .