CISA: új jelentési kötelezettség a kritikus infrastruktúra szolgáltatók részére

April 5, 2024 Yanac CISA, Kritikus Infrastruktúra, USA

A Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökség (CISA) a különböző ágazatok közötti kiberbiztonsági koordináció és válaszlépések megerősítése érdekében megjelentette a létfontosságú infrastruktúrákra vonatkozó kiberincidens-jelentési törvény (CIRCIA) javasolt szabályalkotási közleményét. Ez a rendelet előírja, hogy az érintett szervezetek a jelentős kiberincidenseket 72 órán belül, a zsarolóprogramokat pedig a felfedezéstől számított 24 órán belül jelenteniük kell. Jen Easterly, a CISA igazgatója kiemelte a szabály kulcsfontosságú szerepét az incidensadatok hasznosításában, a minták felderítése, a kritikus információs hiányosságok pótlása és a kibertámadások által érintett szervezetek azonnali támogatása érdekében. A kiberincidensekkel kapcsolatos információk megosztása kulcsfontosságú a CISA számára, hogy időben segítséget nyújtson és figyelmeztetéseket adjon ki a további támadások megelőzése érdekében, ezáltal a fenyegetések jobb megértése és a partnerekkel való összehangoltabb fellépés révén fokozza a belbiztonsági erőfeszítéseket.

A javasolt rendelet végrehajtás becslések szerint 2,6 milliárd dollárba is kerülhet, és több mint 316 000 jogalanyt érinthet, ami tükrözi a jelentős gazdasági és működési következményeket. A 2024 júniusáig tartó nyilvános véleményezési időszak alatt a CISA a kritikus infrastruktúrák közösségének visszajelzéseit várja a szabály finomítása és véglegesítése érdekében. Olyan kihívások várhatóak, mint a különböző kiberbiztonsági érettségi szintek, a “jelentős” kiberincidens fogalmának meghatározása, valamint a jogi felelősséggel és a hírnévkárosodással kapcsolatos aggályok. Az együttműködés és a megfelelés ösztönzése érdekében az ágazatspecifikus igényekhez igazított egységes keretet és a fenyegetésekkel kapcsolatos információk önkéntes megosztásának ösztönzését javasolják, valamint a szervezetek számára a kiberkockázati programok proaktív kialakítására vonatkozó ajánlások mellett.

A kritikus infrastruktúra-ágazat, beleértve az olyan kiber-fizikai rendszerekkel rendelkező ágazatokat is, mint az energia, a közlekedés és az egészségügy, egyedi kihívásokkal néz szembe a berendezések korszerűsítésének és az IT és az üzemeltetési technológia (OT) integrálásának összetettsége miatt. Az IT/OT konvergencia terjedése növeli a kiber-fizikai támadások kockázatát, ami rávilágít az egyes ágazatok egyedi sebezhetőségéhez igazított biztonsági intézkedések szükségességére. A rugalmas megfelelési követelmények és stratégiák, mint például az elavult rendszerek hálózati szegmentálása, alapvető fontosságúak a kritikus infrastruktúrák védelme szempontjából anélkül, hogy indokolatlan terheket rónának egyes ágazatokra, ami kiemeli a kiegyensúlyozott, szakaszos végrehajtási megközelítés fontosságát a széles körű védelem biztosítása érdekében, a szabály költséghatékonyságának kezelése mellett.

(forrás)