CISA 发布新网络安全报告规则并寻求公众意见

关键要点

• CISA正在寻求公众对新网络安全事件报告规则的反馈，这些规则将覆盖关键基础设施和私人企业。
• 新法规要求企业在遭到网络攻击或支付赎金给黑客时必须向政府报告。
• 公众可对所有法规内容发表意见，CISA也提供了一些建议主题进行讨论。
• 监管规则的实施预计需要约两年时间。

美国国土安全部（DHS）下属的网络安全与基础设施安全局（CISA）正在寻求公众意见，以建立针对关键基础设施的新网络事件报告机制。根据今年早些时候通过的法律，企业和组织首次被要求在遭遇黑客攻击时向政府报告，并且如果他们付赎金解锁数据，也需进行报告。官员和国会议员表示，该法律将使联邦政府能够清晰了解黑客攻击美国关键基础设施的频率、受威胁的行业以及这些攻击对社会的影响。

在定于9月12日发布的《联邦公报》中，CISA发布了一份，请求公众和行业提供如何有效构建这些法规的反馈。

CISA表示，报告规则预计需要大约两年的时间通过监管流程才能开始实施。CISA局长JenEasterly表示，公众的反馈以及计划在接下来的几个月里与行业开展的系列听证会，将有助于提供关于关键基础设施网络攻击的必要透明度，减少法律覆盖下组织的监管负担。

“我们不能防守我们不知道的事项，我们收到的信息将帮助我们填补关键的信息空白，从而为整个社区提供指导，最终更好地防御国家的网络威胁。”
Easterly在一份声明中表示。

公众可以对法规的任何方面进行评论，但CISA还建议了一些相关主题。包括： – 法律所涵盖的实体和事件的具体定义 – 可能需要报告的组织和事件的数量 –
触发72小时报告时间限制的“合理信念” – 报告赎金支付时24小时报告时间应何时开始

此外，该请求还询问了组织应向CISA提交的文件、事件期间应保存的数据，以及如何有效平衡向政府报告责任和实际事件响应工作之间的关系。

请求中很大一部分内容专注于CISA的规则可能与其他政府报告规则的重叠或冲突。证券交易委员会（SEC）、国家信用联盟管理局、国防部和其他机构也在推动类似的报告规则，但每个规则都是针对各自监管权下的特定行业和组织。例如，CISA的规则涵盖关键基础设施，SEC的规则适用于上市公司，而国防部的规则则针对防务承包商。

然而，这些群体之间的实体有着实质性的重叠，业界和其他利益相关者的主要关注之一是不同法规和报告要求之间的协调。

今年三月，信息技术行业委员会向SEC发出信函，表达了对提案规则的担忧，包括该规则可能导致未缓解漏洞的披露，并且可能与CISA为实施《2022年关键基础设施网络事件报告法》而进行的规则制定重叠。

同时，人们也对CISA将如何与其他机构共享所接收的信息表示关注。FBI曾最后一刻进行尝试，希望修改立法语言以获得对报告的实时访问，但Easterly表示她的机构致力于尽快与FBI共享所接收的信息。

在这份文件中提出的大多数问题，在法律通过后的几个月里是由CISA官员或利益相关者提出的。BobKolasky，曾担任CISA国家风险管理中心主任，表示这些问题的深度和范围表明该机构采取了一种谨慎而细致的方法，反映出他们正在施行业内最严格的网络攻击报告规则之一。他预计该机构将收到“数千”条评论，进一步影响法规的制定。

他特别高兴看到该文件关注与其他机构法规之间的协调，以及如何减少对企业的监管负担和文书要求。

“收益必须超过成本，因此通过询问这会给实体带来何种成本影响，我认为这是一个重要的元素，希望能够进行真正的成本效益分析，”Kolasky说。

CISA对新规则的范围的定义以及如何传达具体行动项目和企业报告带来的利益，将是