Para imprimir este artículo, todo lo que necesita es estar registrado o iniciar sesión en Mondaq.com.
El Departamento de Seguridad Nacional de EE. UU. (DHS) anunció el 1 de noviembre de 2023 que la preparación en materia de ciberseguridad se utilizará como factor de evaluación para los contratos que impliquen el uso de información controlada no clasificada (CUI). Esto sigue a una importante reglamentación del DHS de principios de este año que requiere que ciertos contratistas del DHS con CUI o sistemas de información operativos del DHS cumplan con amplios requisitos de informes y control de ciberseguridad. El DHS no dijo cuándo entraría en vigencia la política, pero invitó a hacer comentarios hasta el 17 de noviembre de 2023, a través de una dirección de correo electrónico que figura en el aviso de sam.gov.
El DHS planea incluir la política, conocida como Factor de Preparación para la Ciberseguridad, en las adquisiciones evaluadas sobre la base del mejor valor y dividir a los contratistas en tres grupos:
- Alta probabilidad de preparación en materia de ciberseguridad (para contratistas por encima de la mediana de la población de contratistas del DHS que manejan datos CUI (por encima del percentil 53))
- Probabilidad de preparación para la ciberseguridad (para contratistas entre el percentil 15 y 53 en comparación con otros contratistas del DHS que trabajan con datos CUI)
- Baja probabilidad de preparación en materia de ciberseguridad (para contratistas por debajo del percentil 15 de contratistas del DHS que manejan datos CUI)
La preparación se evaluará según los estándares de ciberseguridad desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST), específicamente la Publicación especial (SP) 800-171 Revisión 2 de NIST y SP 800-172 de NIST. Tenga en cuenta que NIST está desarrollando actualmente la tercera revisión de NIST 800-171. Los postores deberán enviar respuestas al DHS a través de un cuestionario de herramienta de evaluación segura según un modelo desarrollado por el DHS, y la puntuación asignada se basará en cuántos y tipos de requisitos de ciberseguridad el contratista ha cumplido total o parcialmente. Aunque no existe una verificación por parte de terceros, los contratistas deben tener cuidado de no proporcionar información falsa, ya que el DHS puede argumentar que el cumplimiento de estos controles es esencial para desencadenar las consecuencias de la Ley de Reclamaciones Falsas. Además, el último borrador del próximo estándar NIST SP 800-171 incluye un requisito de verificación por parte de terceros (a partir de ahora).
En particular, incluso los contratistas que tienen una baja probabilidad de estar preparados en materia de ciberseguridad no necesariamente serán eliminados de la competencia, pero probablemente tendrán más dificultades para tener éxito después de una evaluación del mejor valor. La forma en que se prepare el factor de valoración será específica de cada contrato y podrá ponderarse de manera diferente según la naturaleza del contrato y la información involucrada. Además, a los contratistas que no cumplan con las expectativas de cumplimiento de ciberseguridad del DHS se les puede exigir que completen planes de acción e hitos posteriores a la adjudicación.
A medida que esto se vuelve más común, los contratistas deben examinar las solicitudes con un factor de calificación de preparación para la ciberseguridad para garantizar que el factor de calificación y las ponderaciones asignadas sean claras. De lo contrario, los contratistas deberían considerar interactuar con el DHS según lo permitido o presentar una protesta previa a la adjudicación. También es un mayor incentivo para que los contratistas garanticen el cumplimiento de diferentes (y en algunos casos dispares) estándares de ciberseguridad. Por su parte, el DHS también exige a los contratistas de CUI que cumplan con esquemas de control de seguridad adicionales en su sitio web. Finalmente, los contratistas evaluados en función de este factor deben solicitar información, si es posible, para garantizar que la evaluación de ciberseguridad sea coherente con la comprensión que tiene el contratista de su propia preparación.
El Grupo de Contratos Gubernamentales de Holland & Knight continuará monitoreando esto para obtener más actualizaciones. Este también será el tema de un episodio futuro del podcast de ciberseguridad sobre contratación gubernamental de Holland & Knight, Regulatory Phishing, disponible en Apple Podcasts, Spotify y Amazon Podcasts.
El contenido de este artículo pretende proporcionar una guía general sobre el tema. Se debe buscar asesoramiento especializado con respecto a sus circunstancias particulares.
ARTÍCULOS POPULARES SOBRE: Gobierno de EE. UU., sector público