介绍
2022年,国会通过了“《关键基础设施网络事件报告法案》(CIRCIA)“ 参见《美国法典》第6卷第681节及以下内容。,该法案的大部分条款在等待机构规则制定期间被搁置。美国国土安全部下属的网络安全和基础设施安全局(CISA)在 《联邦公报》 2024年4月4日
公众有机会在6月3日之前对该申请发表评论,因为许多企业将受到这一规定的影响。您可能需要仔细查看对规则草案的共同评论。该规则要求的报告将从最终规则中确定的日期开始,可能在18个月左右。
**注意,截至2024年5月17日, CISA延长了征求意见的截止日期 至2024年7月3日.
值得注意的几点
香格里拉娱乐现在想强调一些特别值得注意的部分,但请注意,这不是法律建议,而是对一些异常复杂材料的简要总结(香格里拉娱乐建议审查原始的《联邦公报》文件本身)。
该法案的适用性是什么?也就是说,它适用于谁?该法案谈到了“关键基础设施”的报告,但“关键基础结构”的构成是什么?我的业务是“关键基础架构”吗
查看 § 226.2 当大多数人听到“关键基础设施”时,他们可能会想到以下领域(按字母顺序排列):
- 银行与金融 (包括商业和零售银行、信用卡、股票市场等)
- 通信 (常规和移动电话系统、互联网、邮局、广播和电视等)
- 国防部 (陆军、海军、空军、海军陆战队等及其基地和供应商)
- 紧急服务 (警察、消防和救护车服务)
- 能源 (如汽油生产和分配、发电厂和电网)
- 食物 (生产、加工、包装和分销)
- 保健 (医院、药店和相关基础设施)
- 交通运输 (包括州际公路系统;关键桥梁、隧道和渡轮;船舶和港口;商业货运;航空公司和机场等)
- 水和水处理服务
从CISA考虑的规则草案中,你可能会惊讶地发现 几乎所有 企业将成为“关键基础设施”的一部分,只有少数例外。除非您的企业符合少数例外情况之一,否则您可能会受到CIRCIA网络事件报告要求的约束,除非最终采用的规则发生变化。
“那么,需要报告什么样的网络事件呢?”
目前,这一点出乎意料地难以确定。其中包括一些示例 联邦公报备案,但这些例子值得注意的是缺乏客观的“明线”标准
规则草案见 § 226.3)他说
- 一 涉及的网络事件。 经历受保网络事件的受保实体必须根据本部分向CISA报告受保网络事故。
- b 赎金支付。 由于对被涵盖实体的勒索软件攻击,支付赎金或让另一实体代表被涵盖实体支付赎金的被涵盖实体必须根据本部分向CISA报告赎金支付情况。 [继续]
问题自然就变成了,“好吧,那么什么是涵盖的网络事件?”检查第节中的定义 § 226.1 ,它说:
- “涉及的网络事件 指被覆盖实体经历的重大网络事件。”
那么,继续追捕那只兔子,什么是“重大网络事件”呢?美联储监管局的文件说:
- 重大网络事件 指导致以下任何一种情况的网络事件:
- (1) 被覆盖实体的信息系统或网络的机密性、完整性或可用性严重丧失;
- (2) 对所涵盖实体的运营系统和流程的安全性和弹性产生严重影响;
- (3) 受保实体从事商业或工业运营或交付货物或服务的能力中断;
- (4) 未经授权访问受监管实体的信息系统或网络,或其中包含的任何非公开信息,这是通过以下原因促成的:
- (i) 云服务提供商、托管服务提供商或其他第三方数据托管提供商的妥协;或
- (ii)供应链妥协。
- (5) 导致本定义第(1)至(3)款所列影响的“重大网络事件”包括任何网络事件,无论其原因如何,包括但不限于因云服务提供商、托管服务提供商或其他第三方数据托管提供商的妥协而导致的上述任何事件;供应链妥协;拒绝服务攻击;勒索软件攻击;或利用零日漏洞。
- (6) “重大网络事件”一词不包括:
- (i) 美国政府实体或SLTT的任何合法授权活动 [例如,州、地方、领土或部落] 政府实体,包括根据逮捕令或其他司法程序开展的活动;
- (ii)网络事件是由实体根据信息系统所有者或运营商的具体要求善意实施的任何事件;或
- (iii)《美国法典》第6卷第650(22)条所述的敲诈勒索威胁。
但香格里拉娱乐仍然想知道,例如,什么构成了被覆盖实体信息系统或网络的机密性、完整性或可用性的“实质性”损失?目前的规则草案中没有监管“明线标准”。CISA指出:“考虑到事件的具体事实情况,需要逐案确定网络事件是否符合重大网络事件的条件。注意,CISA继续鼓励报告或共享有关所有事件的信息 网络事件,即使拟议的条例没有要求。”
香格里拉娱乐认为(显然对CISA或您都没有约束力),“重大”网络安全事件将 至少 包括:
- 导致大众媒体(如报纸或电视新闻报道)报道的事件
- 聘请专门从事网络安全事件响应的公司提供帮助的事件
- 涉及数百名或更多受害者的任何违规行为
- 任何涉及数十万美元或以上损失的网络事件
- 重大事件,(非小企业)首席执行官或董事会已被特别告知。
- 某人身体受伤严重到需要医疗救助(或死亡)的事件
- 涉及未经授权访问联邦机密信息的事件
- CISO或副CISO因此失去工作的事件。
“该规则如何要求公司提交所需的报告?报告中必须包含哪些内容,提交一份报告需要多长时间?我必须在多长时间内(在发现事件或支付赎金后)提交所需报告?”
该规则草案最初设想通过“基于网络的CIRCIA事件报告表 可在CISA网站上或以局长批准的任何其他方式和形式进行报告。”
CISA在文件中表示,“CISA估计两者 涵盖的网络事件和赎金支付报告 完成一份联合承保网络事件和赎金支付报告需要4.25小时,补充报告需要7.5小时。”
如§226.7-§226.11所述,必须提供的具体信息项目很多。
赎金支付报告需要在24小时内提交。其他报告通常有 72小时窗口.
“如果香格里拉娱乐不提交所需的报告,会发生什么?”
规则草案中描述了执行过程。 参见§226.14-§226.17和§226.20(a),
“一旦我提交了所需的报告(以及任何所需的补充报告),是吗?还是还有更多?”
还有更多。数据和记录也必须保存 不少于两年.
预计每次事件要保存的信息平均约为4TB的数据(见联邦法规文件中的脚注415)。
“CIRCIA会取代我以前可能不得不做的任何其他报告吗?”
在大多数情况下,至少现在,你仍然需要提交其他文件。请参阅 §226.4和《联邦公报》备案 了解详情。
“我想看看其他人对CIRCIA的看法——有律师或其他组织发表过关于它的讨论吗?”
一定要关注涵盖当前规则制定的报告(例如,您也可能会遇到2022年或2023年的一些旧文章)。香格里拉娱乐看到的关于当前规则制定的一些评论包括以下内容(根据其URL的基本域排序的项目):
- 相似的针对关键基础设施公司提出的新的CISA网络安全事件报告要求,“2024年4月22日
- 美国律师协会:“《关键基础设施网络事件报告法案》(CIRCIA)拟议规则,“2024年4月12日
- 网络安全政策与法律中心:“CISA提议对美国公司进行全面的网络事件报告.”
- 库利:中国钢铁工业协会启动CIRCIA规章草案通知和意见征询程序,“2024年4月11日
- 国会研究服务局:“CIRCIA:拟议规则制定通知摘要,“2024年4月11日
- CSO在线:“了解CISA提出的网络事件报告规则,“2024年4月17日
- 对于Piper:美国CIRCIA最新消息:CISA拟议条例发布,“2024年4月15日
- 詹纳:“客户警报:CISA宣布拟议的网络事件报告规则,“2024年4月2日
- 琼斯日:“CISA发布拟议的网络事件和赎金支付报告规则,以实施CIRCIA,“2024年4月
- Mayer Brown:“为实施《关键基础设施网络事件报告法》而发布的拟议规则,“2024年3月29日
- Morrison Foerster:CISA关于“关键基础设施”实体报告网络事件的非常广泛的拟议规则2024年4月2日
- 《国家法律评论》:“CISA关键基础设施网络事件报告将对政府承包商、供应商和服务提供商产生重大影响,“2024年4月8日
- “新的CISA规则将要求对关键基础设施部门进行广泛的网络事件报告、更新时间表和处罚,“2024年4月9日
- Paul、Weiss、Rifkind、Wharton和Garrison律师事务所:CISA发布了备受期待、影响深远的网络事件报告规则,“2024年4月3日
- 皮尔斯伯里:“关键基础设施的网络报告:CISA提案提出了许多问题,欢迎发表评论,“2024年3月29日
- REN-ISAC:对高校具有重大潜在影响的拟议联邦规则制定通知DHS CISA“关键基础设施网络事件报告法案(CIRCIA)报告要求”,“2024年4月12日
- 绳索与灰色:“关键基础设施的跨部门72小时数据泄露新要求,“2024年4月17日
- Venable LLP:“CIRCIA:几乎每个人都能报告网络事件?“2024年4月5日
- 威利:“CISA提出的网络事件报告要求将影响一系列行业和部门“2024年3月29日