El segundo tramo de las leyes cibernéticas de Australia ha sido aprobado por ambas cámaras del Parlamento, lo que significa que las entidades que ejecutan «sistemas de importancia nacional» pronto estarán obligadas a mejorar las obligaciones de seguridad cibernética que podrían obligarlas a instalar software de terceros.
La ministra del Interior, Karen Andrews, dijo que las leyes impulsarían la seguridad y la resiliencia de la infraestructura crítica de Australia.
“A lo largo de la pandemia, los sectores de infraestructura crítica de Australia han sido atacados regularmente por actores cibernéticos maliciosos que buscan explotar a las víctimas para obtener ganancias, con total desprecio por la comunidad y los servicios esenciales de los que todos dependemos”, dijo Andrews.
«El proyecto de ley se basa en el fuerte apoyo del gobierno de Morrison para nuestras agencias de seguridad nacional anunciado en el presupuesto federal del martes, para fortalecer a Australia y mantener a los australianos seguros en un mundo cada vez más incierto.
El organismo parlamentario de Australia encargado de revisar las leyes cibernéticas apoyó estas leyes la semana pasada, diciendo que las leyes crearían un marco de infraestructura crítica estandarizado para facilitar que el gobierno y la industria aborden los ataques cibernéticos de manera preventiva.
Las leyes, empaquetadas en el Proyecto de Ley de Enmienda de la Legislación de Seguridad (Protección de Infraestructura Crítica) 2022, inicialmente estaban destinados a ser parte del tramo inicial de leyes cibernéticas para entidades de infraestructura crítica que se consagraron el año pasado. Sin embargo, finalmente quedaron fuera del primer conjunto de leyes debido a que el gobierno federal deseaba más consultas de la industria sobre cómo codiseñar un marco regulatorio de infraestructura crítica.
Junto con las obligaciones mejoradas de seguridad cibernética, las reformas de infraestructura crítica requerirán que las entidades de infraestructura crítica mantengan un programa de gestión de riesgos para identificar peligros para los activos de infraestructura crítica y la probabilidad de que ocurran. Además, las entidades deberán presentar un informe anual sobre el programa de gestión de riesgos y si algún peligro tuvo un impacto significativo en los activos de infraestructura crítica.
El secretario del Interior, Mike Pezzullo, dijo anteriormente que los costos de ejecutar el programa de gestión de riesgos, en promedio, harían retroceder a las entidades un pago único de 9,7 millones de dólares australianos para establecer el programa y un costo continuo anual de 3,7 millones de dólares australianos.
En términos de dónde se ubican las reformas de infraestructura crítica en el panorama general, las reformas y el plan de acción de ransomware actuarán como los principales esfuerzos regulatorios del gobierno federal para reforzar la postura de seguridad cibernética de Australia. Se encuentra separado del programa de seguridad cibernética recientemente propuesto por la Coalición de 9.900 millones de dólares australianos que se anunció en el presupuesto federal, que se centra principalmente en proporcionar más recursos a la Dirección de Señales de Australia.
