Welcome to the Cyber Harmonization Cafe: una propuesta de BSA para ordenar la regulación cibernética
Con la inminente publicación de la nueva US National Cybersecurity Strategy, BSA | The Software Alliance plantea una oportunidad concreta: que el gobierno federal avance hacia la armonización regulatoria a través de un 'menú único' de requisitos de ciberseguridad aplicable a todas las agencias.
El diagnóstico es claro: las regulaciones de ciberseguridad deberían hacernos más seguros, pero en la práctica decenas de reguladores en todos los sectores promulgaron sus propias reglas sin coordinarse entre sí, generando un laberinto que confunde a las empresas, drena recursos y, paradójicamente, debilita la seguridad.
Los reguladores financieros tienen un set de reglas, los de salud otro, los de transporte otro más —cada uno con definiciones, plazos y requisitos de cumplimiento distintos. Solo a nivel federal estadounidense conviven 52 reglas diferentes de notificación de incidentes cibernéticos, y agencias como FTC, HHS, SEC y TSA definen 'cyber governance' de maneras incompatibles. En palabras de BSA: hay demasiados cocineros regulatorios en la cocina cyber.
El resultado es un mercado que sub-invierte en ingeniería de seguridad e innovación y sobre-invierte en abogados de compliance y en marcar casillas. Esa configuración: (i) genera ineficiencia gubernamental al duplicar esfuerzos; (ii) degrada la ciberseguridad porque las agencias no pueden comparar reportes ni compartir inteligencia; y (iii) golpea especialmente a las pymes, que no logran entender ni cumplir obligaciones contradictorias.
Welcome to the Cyber Harmonization Cafe. La propuesta es dejar de pedir que cada regulador sea su propio chef y reposicionarlos como 'comensales' de un mismo café: una coordinación entre la Oficina del National Cyber Director (ONCD) y la Office of Management and Budget (OMB) que defina un único menú de requisitos a nivel gobierno, del cual cada agencia pueda elegir. Se preserva la flexibilidad sectorial, pero ya no se permite ordenar 'fuera del menú'.
Cómo se construye el menú, según BSA: (1) mapear los requisitos regulatorios actuales contra subcategorías del NIST Cybersecurity Framework; (2) hacer que NIST evalúe esos mapas y OMB los consolide en un mapa público que muestre solapamientos, conflictos y vacíos; (3) abrir un proceso de rulemaking de ONCD y OMB para decidir qué requisitos mantener, actualizar o eliminar; (4) que OMB emita un memo obligando a cada regulador a alinear sus normas con el menú; (5) sostener la armonización con un proceso público para proponer altas, bajas y modificaciones del menú.
El cierre del artículo es contundente: el actual entorno regulatorio no es inevitable. Se construyó dejando que cada regulador actuara sin mirar al resto. La Administración, vía la nueva National Cyber Strategy, puede desmontarlo. Un Cyber Harmonization Cafe unificado haría al gobierno más eficiente, a las empresas más competitivas y a los ciudadanos más seguros.
Mirada BPCM. Aunque el debate ocurre en Washington, la lógica aplica de lleno a la región. En Argentina y Latam también empezamos a convivir con normativa de ciberseguridad fragmentada entre regulador financiero, autoridad de protección de datos, autoridad de telecomunicaciones, sectores regulados específicos y normativa aduanera y penal. La idea de un 'menú único', anclado en un framework técnico reconocido, es un buen disparador para pensar cómo diseñar regulación cyber que sume seguridad real, no solo papelería.
Fuente: Henry Young, 'Welcome to the Cyber Harmonization Cafe', BSA TechPost, 18/12/2025 — techpost.bsa.org