La Administración de Seguridad del Transporte (TSA) ha emitido una Aviso de reglamento propuesto establecer prácticas de gestión de riesgos cibernéticos y de presentación de informes para oleoductos, ferrocarriles, autobuses y otros sistemas de transporte público. Las reglas propuestas amplían el marco de ciberseguridad existente desarrollado por el Instituto Nacional de Estándares y Tecnología, así como los objetivos de desempeño de ciberseguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Las normas propuestas, así como deseoso en el Registro Federal el jueves, afectaría a “ciertos propietarios/operadores de oleoductos y ferrocarriles” e impondría requisitos menores a ciertos tipos de operadores de autobuses. Estas organizaciones deberían establecer y mantener programas integrales de gestión de riesgos cibernéticos, informar incidentes a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), designar un coordinador de seguridad física e informar problemas de seguridad física importantes a la TSA. Los planes de gestión de riesgos cibernéticos deben incluir evaluaciones anuales de ciberseguridad; planes de evaluación que identifiquen vulnerabilidades no resueltas; y un plan de implementación operativa de ciberseguridad que describa quién es responsable de la ciberseguridad, los sistemas cibernéticos críticos y cómo están protegidos, las medidas implementadas para detectar ataques cibernéticos y qué se hará para abordar y recuperarse de los incidentes cibernéticos.
Si se aprueban, las nuevas reglas afectarían a poco menos de 300 propietarios/operadores de transporte de superficie regulados por la TSA en las industrias de ferrocarriles de carga, ferrocarriles de pasajeros, transporte ferroviario y oleoductos, y también requerirían que el sector de la aviación cumpliera. Específicamente, las reglas afectarían a 73 de los aproximadamente 620 ferrocarriles de carga que operan actualmente en los Estados Unidos, 34 de las aproximadamente 92 agencias de transporte público y ferrocarriles de pasajeros, 71 propietarios y operadores de autobuses de carretera y 115 de más de 2.000 oleoductos. instalaciones y sistemas.
“La TSA ha trabajado estrechamente con sus socios de la industria para aumentar la resiliencia de la ciberseguridad de la infraestructura de transporte crítica del país”, dijo el administrador de la TSA, David Pekoske, en un comunicado. “Los requisitos de la regla propuesta tienen como objetivo aprovechar este esfuerzo de colaboración y fortalecer aún más la postura de ciberseguridad de las partes interesadas en el transporte terrestre. Esperamos recibir comentarios de la industria y del público sobre estas regulaciones propuestas.
Es uno de los últimos esfuerzos de la administración Biden para fortalecer la ciberseguridad de la infraestructura crítica luego del ataque de ransomware que paralizó Colonial Pipeline en 2021. La regla propuesta está abierta a comentarios públicos hasta el 2 de febrero de 2025.