
En este artículo (4)
Análisis de la norma de notificación de brechas de la CISA: flujo de trabajo de cumplimiento
Puntos Clave
- Trate la notificación de brechas como un flujo de trabajo, no como una tarea de redacción posterior al incidente.
- Mapee el enrutamiento de alertas, la preservación de evidencias y los traspasos legales antes de que CISA finalice la norma.
- Revise el texto final para conocer las definiciones de alcance, especialmente si presta servicio a clientes de infraestructura crítica.
Un objetivo de lanzamiento en septiembre es una señal de planificación para los registros, las rutas de escalamiento, la conservación de evidencias y los traspasos de informes.
Un objetivo de lanzamiento en septiembre es una señal de planificación para registros, rutas de escalamiento, preservación de pruebas y traspasos de informes.
Lo útil de una fecha límite de notificación es que no le importa quién sea el dueño del canal de Slack. Si la norma pendiente de CISA sobre notificación de brechas llega en el calendario de septiembre reportado por Bloomberg Law, el primer problema de cumplimiento no será la redacción. Será si un registro de incidente, una evaluación legal y una entrega de información a una agencia federal pueden encontrarse entre sí lo bastante rápido.
La fecha que importa es un objetivo de publicación
Bloomberg Law informó el 6 de julio de 2026 que la Agencia de Seguridad de Infraestructura y Ciberseguridad está apuntando a una publicación en septiembre para su norma de notificación de brechas. MeriTalk, citando un documento regulatorio, también informó que CISA planea finalizar una norma de notificación de incidentes de ciberseguridad en septiembre.
Eso no es lo mismo que una aplicación inmediata, y la evidencia proporcionada aquí no indica una primera fecha de multa. Sin embargo, sí es una señal práctica para dejar de tratar la notificación de brechas como un documento que se redacta después de que termina la llamada sobre el incidente.
MeriTalk vincula la norma con la Ley de Notificación de Incidentes Cibernéticos para Infraestructura Crítica de 2022, conocida como CIRCIA, e informa que CISA publicó su aviso de propuesta de reglamentación el 4 de abril de 2024. Inside Privacy cubrió la demora de CISA en la norma de notificación de incidentes cibernéticos el 5 de septiembre de 2025. En conjunto, la secuencia es menos dramática que operativa: el Congreso creó el mandato de notificación, CISA propuso los detalles, el proceso se retrasó y la agencia ahora apunta a septiembre.
De qué trata realmente la norma
MeriTalk informa que la regulación exigiría a las entidades de infraestructura crítica reportar incidentes cibernéticos importantes y pagos de ransomware directamente a CISA conforme a la ley de 2022. También afirma que las entidades de infraestructura crítica estarían obligadas a reportar incidentes cibernéticos sustanciales dentro de 72 horas y pagos de ransomware dentro de 24 horas.
Esos dos relojes son la parte que los equipos deberían pegar al manual de respuesta a incidentes, preferiblemente antes de que alguien esté decidiendo si una interrupción es simplemente vergonzosa o legalmente notificable.
Esto no significa que todos los proveedores de software de repente tengan que presentar una notificación federal de brecha cada vez que un panel se ponga en rojo. Según el resumen de MeriTalk, la norma está dirigida a entidades de infraestructura crítica e implementa los requisitos de notificación de CIRCIA para incidentes cibernéticos cubiertos y pagos de rescate.
La pregunta sobre el alcance sigue importando, especialmente para proveedores que atienden a clientes de infraestructura regulada. Si es probable que tu cliente pida evidencia del incidente dentro de una ventana de 72 horas, tu contrato puede convertirse en el mecanismo práctico de cumplimiento antes de que CISA envíe siquiera una carta.
El flujo de trabajo oculto dentro de la fecha límite Las ventanas
de 72 horas y 24 horas reportadas por MeriTalk no son solo temporizadores legales. Son restricciones de diseño para herramientas de respuesta a incidentes, taxonomías de tickets, retención de registros y rutas de escalamiento. Un equipo que descubre un incidente a las 2 a. m. necesita un registro de quién notó qué, qué sistemas fueron afectados, qué evidencia se preservó y quién puede decidir si se activa la notificación a CISA.
Esa es una pregunta de flujo de trabajo con sombrero legal.
La preparación útil es aburrida, que es la forma en que el cumplimiento suele anunciar que es real. Las empresas deberían mapear quién recibe las alertas de seguridad, quién puede clasificar un evento como potencialmente notificable, quién preserva la evidencia y quién transmite información a legal o cumplimiento. También deberían verificar si las decisiones sobre pagos de ransomware pasan por un proceso separado de aprobación financiera, legal o ejecutiva, porque MeriTalk informa una ventana separada de 24 horas para esos pagos.
Puede que la ley no exija que tu diagrama interno sea bonito. Sí exige que la organización funcione más rápido que un comité de post mortem.
La demora fue la advertencia
La cobertura de Inside Privacy del 5 de septiembre de 2025 presentó la norma como retrasada, lo cual fue útil si las empresas usaron el tiempo extra para desarrollar capacidad en lugar de esperar a que el Federal Register las entretuviera. La propia página pública de CISA etiqueta el programa como la Ley de Notificación de Incidentes Cibernéticos para Infraestructura Crítica de 2022, un recordatorio de que esto no es una campaña voluntaria de intercambio de información con un logo más bonito. Es un régimen legal de notificación que avanza hacia su forma final.
Lo próximo que hay que observar es el texto final, especialmente cómo CISA define las entidades y los incidentes que deben reportarse. Hasta entonces, la distinción más segura es entre lo que ya está claro y lo que sigue pendiente.
Claro: la notificación por parte de infraestructura crítica es el objetivo, y las ventanas reportadas son de 72 horas para incidentes cibernéticos sustanciales y de 24 horas para pagos de ransomware. Pendiente: los casos límite operativos exactos que decidirán si tu contrato con proveedores necesita una cláusula nueva o tres.
Para constructores y estudiantes, el objetivo de septiembre es una entrada de calendario con consecuencias de ingeniería. La respuesta a incidentes se está convirtiendo en un flujo de trabajo de cumplimiento, lo que significa que el registro, la preservación, el escalamiento y las transferencias de información para reportar necesitan responsables antes de que llegue la norma. Observa la norma final para conocer las definiciones de alcance, pero no esperes a que ella invente tu proceso. Los reguladores rara vez multan a las empresas por tener demasiada evidencia y una ruta de escalamiento demasiado clara.