El estado de Nueva York ha presentado una serie de propuestas de regulaciones enfocadas en proteger los sistemas de agua potable y aguas residuales contra ciberataques. Estas nuevas reglas, actualmente abiertas a comentarios del público, buscan fortalecer la infraestructura crítica frente a amenazas digitales cada vez más sofisticadas.

Las propuestas, emitidas por el Departamento de Salud del Estado de Nueva York (DOH) y el Departamento de Conservación Ambiental (DEC), establecen estándares mínimos de ciberseguridad que deben cumplir las instalaciones de agua para mejorar su resiliencia operativa.

A su vez, el Departamento de Servicios Públicos (DPS) presentó regulaciones similares orientadas a corporaciones de servicios de agua, empresas de televisión por cable y otros servicios públicos estatales. Estas iniciativas están respaldadas por un nuevo programa de subvenciones de la Environmental Facilities Corporation (EFC), que también proporcionará asistencia técnica a las instalaciones afectadas.

El DOH, el DEC y la EFC colaboraron para alinear sus definiciones y requisitos, y garantizar que estas regulaciones estén en sintonía con las directrices de CISA y la Agencia de Protección Ambiental (EPA), especialmente en lo que respecta a entornos de tecnología de la información (TI) y tecnología operativa (TO).

¿Qué implican las nuevas regulaciones?

Las plantas de tratamiento de agua y aguas residuales deberán:

• Implementar controles de ciberseguridad robustos
• Garantizar una adecuada monitorización y registro del tráfico en red
• Evaluar los riesgos cibernéticos en sus entornos
• Desarrollar y mantener planes de respuesta ante incidentes
• Reportar ciberincidentes de forma oportuna
• Asegurar que los operadores certificados de aguas residuales reciban formación obligatoria en ciberseguridad

Los documentos completos están disponibles en el sitio web del DEC. Las partes interesadas pueden enviar sus comentarios hasta el 3 de septiembre de 2025, para las propuestas del DEC, y hasta el 14 de septiembre de 2025 para las del DOH y el PSC.

Una vez aprobadas, las fechas límite de cumplimiento serán las siguientes:

• 1 de enero de 2027 para cumplir con las regulaciones de DOH y DEC relacionadas con la tecnología operativa.
• 1 de enero de 2026 para cumplir con las reglas del PSC, enfocadas en la tecnología de la información.

El DEC señaló que estos recursos están diseñados para facilitar el acceso a herramientas, capacitaciones y guías específicas por sector, y así fortalecer la ciberresiliencia de las instalaciones de aguas residuales. También se alienta a las plantas a aprovechar los recursos federales y estatales disponibles, incluidas evaluaciones de ciberseguridad gratuitas.

En los últimos años, los sistemas de agua han sido blanco frecuente de ciberataques. Ante esta realidad, el gobierno de EE. UU. ha tomado medidas para aumentar la preparación y protección de estas instalaciones frente a amenazas digitales.

“Los ciberataques contra infraestructuras críticas pueden tener consecuencias devastadoras para nuestras comunidades. Debemos actuar con urgencia para proteger nuestros sistemas de agua y aguas residuales con el mismo rigor que otros sectores clave”, declaró la gobernadora Kathy Hochul. “Estas nuevas regulaciones y programas de subvenciones demuestran nuestro compromiso con la salud pública y la seguridad, al mismo tiempo que ayudamos a modernizar instalaciones con recursos limitados en esta era digital.”

Fuente: https://www.securityweek.com/new-york-seeking-public-opinion-on-water-systems-cyber-regulations