Se publicó una solicitud de información (RFI) sobre la armonización de las normativas de ciberseguridad a nivel mundial y la garantía de reciprocidad normativa entre países. Esta RFI es una ampliación de los objetivos esbozados en la Estrategia Nacional de Ciberseguridad de EE.UU. Que pretende sincronizar no sólo las normativas y directrices, sino también los procesos de evaluación e inspección de las entidades reguladas. Supone un avance en una de las 69 iniciativas presentadas en julio como parte del Plan de Aplicación de la Estrategia Nacional de Ciberseguridad de Estados Unidos. En septiembre de 2022, la comunidad Systems of Cyber Resilience: Electricity Initiative (SCRE) community había identificado la interoperabilidad regulatoria global como una de sus áreas de enfoque clave, y había creado el Grupo de Trabajo de Regulaciones Globales para facilitar la interoperabilidad de las regulaciones cibernéticas globales en el sector eléctrico. Este grupo de trabajo aborda los retos que plantean unas normativas complejas, independientes de la industria y el sector, fragmentadas, incoherentes y, en ocasiones, contradictorias. Estas regulaciones en silos carecen e impiden la interoperabilidad, lo que resulta en mayores costos e ineficiencias, ya que los recursos limitados se desvían para abordar los desafíos de cumplimiento en lugar de abordar directamente la postura de ciberseguridad sectorial y organizacional. Desde 2018, los Sistemas de Resiliencia Cibernética del Foro Económico Mundial: Iniciativa de Electricidad (SCRE) ha reunido a líderes mundiales de más de 60 empresas eléctricas, empresas de servicios energéticos, reguladores y otras organizaciones relevantes, para colaborar y desarrollar una visión de ciberseguridad global clara y coherente para el ecosistema eléctrico. SCRE es la única asociación público-privada global, específica de la industria eléctrica, en la que los líderes en ciberseguridad colaboran y mejoran la ciberresiliencia de todo el ecosistema en el sector eléctrico. La interoperabilidad normativa es una de las principales áreas de interés del SCRE y de su Grupo de Trabajo sobre Normativa Global. El grupo de trabajo aborda las complejidades de los retos normativos que afectan a todo el sector eléctrico, caracterizados por la fragmentación, la incoherencia y los conflictos ocasionales. Estos obstáculos reglamentarios dificultan el logro de la interoperabilidad mundial, lo que se traduce en un aumento de los costes, ineficiencias y oportunidades perdidas, ya que los recursos se reorientan a abordar cuestiones reglamentarias en lugar de mejorar las posturas de ciberseguridad específicas del sector y de la organización.

El grupo de trabajo seguirá elaborando estas posiciones y tiene previsto publicar un documento titulado «Facilitación de la interoperabilidad global de la ciberregulación en el sector eléctrico». Las agencias gubernamentales de todo el mundo que crean requisitos de ciberseguridad para la industria, incluidas las de EE.UU., adoptan con frecuencia enfoques distintos para abordar conjuntos idénticos o similares de retos de ciberseguridad debido a la ausencia de un consenso global. Esto da lugar a normativas complejas, agnósticas para la industria y el sector, fragmentadas, incoherentes y a veces contradictorias, que carecen de interoperabilidad mutua y la impiden. La evolución del panorama de las amenazas a la ciberseguridad y la respuesta reflexiva de los reguladores para endurecer la normativa agravan el problema. Las organizaciones se ven obligadas a desviar sus limitados recursos para abordar los retos que plantea el cumplimiento de la normativa en lugar de centrarse en su postura de ciberseguridad. Además de la falta de consenso sobre los requisitos cibernéticos, existe una falta de consenso sobre quién o qué entra en el ámbito de aplicación de estas normativas (por ejemplo, diferentes designaciones del sector de infraestructuras críticas, diferentes normativas que incluyen varios sistemas en el ámbito de aplicación, etc.) La economía digital actual trasciende las fronteras nacionales, lo que requiere normas de ciberseguridad internacionales sólidas y unificadas para garantizar que las empresas multinacionales estén mejor equipadas para responder a las nuevas amenazas de los actores maliciosos a medida que surgen. Por ello, las empresas de todo el mundo recurren a las normas establecidas por organismos no gubernamentales como la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) para obtener orientación sobre una amplia gama de cuestiones de ciberseguridad y como puntos de referencia para las mejores prácticas mundiales. Cuando diferentes reguladores utilizan normas técnicas internacionales ampliamente reconocidas para informar sus políticas, no sólo se establece un alto nivel de seguridad al que deben adherirse las empresas, sino que también se reducen los costos y se garantiza la interoperabilidad con otros regímenes reguladores. Por el contrario, cuando los diferentes reguladores y responsables políticos utilizan sus propias normas y leyes locales como referencia para establecer los requisitos de ciberseguridad, se contribuye a la creciente fragmentación del panorama mundial de la política digital, lo que a su vez aumenta indebidamente los costes de cumplimiento para las empresas multijurisdiccionales y desvía recursos de las actividades de gestión de riesgos cibernéticos.

El informe proporciona una respuesta detallada a la solicitud de la Casa Blanca sobre la armonización de regulaciones de ciberseguridad. En él, se destaca la importancia de establecer un marco regulatorio coherente y uniforme para abordar las amenazas cibernéticas en los Estados Unidos. Se argumenta que la falta de uniformidad en las regulaciones a nivel estatal y federal ha dificultado la capacidad de las organizaciones para protegerse de manera efectiva contra ataques cibernéticos. El informe aboga por la colaboración entre los distintos niveles de gobierno, la industria y otros actores relevantes para desarrollar un enfoque unificado que fortalezca la ciberseguridad en el país. Además, se resaltan las medidas y recomendaciones clave que podrían ser consideradas para lograr una mayor armonización en este ámbito crucial.

Para leer más ingrese a:

https://www.weforum.org/publications/response-to-the-white-houses-request-on-harmonizing-cybersecurity-regulations

https://www3.weforum.org/docs/WEF_Response_to_the_White_House’s_Request_on_Harmonizing_Cybersecurity_Regulations_2023.pdf