美国CISA建议网络事件72小时报告

美国国土安全部 (DHS) 网络安全和基础设施安全局 (CISA) 今天发布了期待已久的关键基础设施网络事件报告法案 (CIRCIA) 网络事件报告规则，请求公众对即将出台的法规提出意见。

CISA 于 3 月 27 日向联邦公报发布了拟议规则制定通知 (NPRM)供公众查阅，并将于 4 月 4 日正式发布拟议规则。公众将有 60 天的时间提交书面意见，以帮助为最终规则提供信息– 预计将在征求意见期结束后 18 个月内发布。

CIRCIA 于 2022 年 3 月由拜登总统签署成为法律，要求 CISA 制定和实施法规，要求所覆盖的实体向政府报告网络事件和勒索软件付款。

根据该法律，关键基础设施所有者和运营商有义务在 72 小时内向 CISA 报告某些网络事件，并在 24 小时内报告他们向攻击者支付的勒索软件款项。

CISA 主任 Jen Easterly 在一份声明中表示：“CIRCIA 是整个网络安全社区的游戏规则改变者，包括每个投资保护我们国家关键基础设施的人。”

伊斯特利补充道：“这将使我们能够更好地了解我们面临的威胁，更早地发现对手的活动，并与我们的公共和私营部门合作伙伴采取更加协调的行动来应对网络威胁。” “在我们制定最终规则的过程中，我们期待关键基础设施社区的更多反馈。”

根据拟议规则，必须遵守这些网络报告要求的“涵盖实体”包括那些大于小型企业规模标准的实体以及在关键基础设施领域运营的实体。

CISA 预计，从 2023 年开始的 11 年内，拟议规则将花费 26 亿美元，其中包括用于行业合规的 14 亿美元和用于政府实施的 12 亿美元。

该机构预计 316,244 个组织将受到该规则的影响，在此期间他们将提交大约 210,525 份报告。这些组织将通过单一的网络表格提交报告。

在今天就拟议规则向记者举行的吹风会上，一位 CISA 高级官员承认 2024 财年 (FY) 预算“比我们对 CIRCIA 相关资金的要求略少，因此我们将准确解决那意味着什么。”

具体来说，2024 财年预算包括 7390 万美元用于执行 CIRCIA 要求，比白宫的要求减少了 2380 万美元。

CISA 高级官员表示：“归根结底，该机构致力于在规则生效时做好充分实施的准备，我希望情况会如此。” “我认为我们不会寻找新的融资模式……但我们将确保拥有适当的资源来利用该计划来实现其重要目标。”

CISA 高级官员还指出，该机构不打算通知每一个组织（如果它们属于涵盖实体）。“我们相信任何一家公司都能够自己确定自己的身份，”他们说。

此外，CISA 高级官员开玩笑说，该机构正在制定一项长期计划，以了解如何向研究人员提供匿名信息。

国土安全部一位高级官员补充道：“我们认识到国会授权我们从所覆盖的关键基础设施所有者和运营商那里接收这些报告，但实际上我们认为这项立法和实施是一条双向路。” “由于我们收到的报告和大量信息，我们作为一个部门必须为国家和网络安全社区提供价值。”

NPRM 是在 CISA 历时两年收集公共和私营部门利益相关者的意见之后制定的。该机构通过 2022 年 9 月的信息请求 (RFI)和多次公众听证会收到了评论。

原文始发于微信公众号（河南等级保护测评）：美国CISA建议网络事件72小时报告