サイバーセキュリティ・インフラセキュリティ庁の新たなサイバーインシデント報告規則では、より多くの人員と技術のアップグレードが必要となることが、同庁が今週の予算要求で明らかにした。
CISAは今週中にも、重要インフラに関するサイバーインシデント報告法(CIRCIA)に関する規則制定案の通知を発行する予定だ。 2022年3月に可決されたこの法律により、当局は規則案の策定に2年の猶予が与えられた。 規制案が公表された後、政府機関はさらに 18 か月以内にフィードバックを収集し、規則を最終決定します。
同庁は2025年度にCIRCIAプログラムに1億1,600万ドルを要求しており、これにはフルタイム相当の従業員122人が含まれる。 予算概要によれば、人員の拡大はCISAの「報告書を受け取り、分析し、行動する」のに役立つという。
CISAはまた、CIRCIA向けの「非機密発券システム」を含む「主要な技術強化」を展開する予定だ。 同庁はまた、「顧客関係管理」ツールを統合し、脅威インテリジェンスプラットフォームを拡張し、「インシデントレポートウェブアプリ」を開発したいと考えている。
元CISA職員でゼネラル・ダイナミクス・インフォメーション・テクノロジー社のサイバー・クライアント・エンゲージメント担当バイスプレジデントであるマット・ヘイデン氏は、CIRCIAの導入がCISAにとっていかに重要な「成熟度テスト」であるかを指摘した。 設立から5年が経ったこの機関は近年急速に成長したが、これほど大規模な規則制定はこれまでに行われたことがない。
「彼らが前進するにつれて、この権威のような新しいことに挑戦する彼らの能力は、今後の彼らにとって大きな目印となるでしょう」とヘイデン氏は語った。 「彼らは成功すると思うが、それは『私はこんなに背が高くなった』という壁に引かれた線の一つになるだろう」
CISA と民間部門との取り組みは、主に自主的な性質のものでした。 しかしこの規制により、重要インフラ事業者はサイバーインシデントを72時間以内にCISAに報告することが義務付けられる。 これにより、規制に従わない組織に対して召喚状を発行する権限がCISAに与えられる。
CIRCIA の目標は、ガスパイプラインや電力会社などの重要なインフラ事業体に対するサイバー攻撃に関する早期の洞察を CISA やその他の連邦機関に提供し、当局が対応の調整を支援したり、影響を受ける可能性のある他の組織に警告したりできるようにすることです。
「これにより、悪用された既知の脆弱性リストのトップに上がる可能性のある多くの重要な脆弱性を抱えたリソースを活用して、すぐに注意が必要な事柄に実際に光を当てる方法を知るための率直な戦場の視点が得られます。」ヘイデンは言った。
「これはCISAにとって、より多くのデータと情報を活用して仕事を遂行する機会だ」とヘイデン氏は付け加えた。
CISAは規則案の中で、広範な事件報告法がどのように正確に実施されるかについての重要な詳細を明らかにすると予想されている。 法律事務所コヴィントン・アンド・バーリングのパートナー、ケイレブ・スキース氏は、大きな疑問として2つ挙げられると語った。それは、規則に基づいて正確に誰が報告する必要があるのか、そしてどのような種類の事件を報告する必要があるのかということだ。
「法律は、それらがどのように具体化されるかについて文脈上の手がかりを与えてくれましたが、明確な定義はなく、どちらの範囲がどの程度広範囲に及ぶのかについても明確ではありません」とスキース氏は述べた。
CISAは2022年9月の情報提供要請で、ルールに基づいてインシデントを報告しなければならない「対象事業体」をどのように定義すべきか、何が「対象インシデント」の基準を満たすべきかなど、サイバーインシデント報告義務の多くの要素に関するフィードバックを求めた。 」
「CISAが報告可能なインシデントとは何かをどのように説明しているのか、また、目的を達成するためにその情報を入手することと、その要件を広すぎる場合に情報に圧倒されないようにすることとのバランスをどのようにとっているのかを見るのは興味深いことだろう」とスキース氏は述べた。
サイバーインシデント報告規則の拡大
2年前に議会がインシデント報告法を可決して以来、サイバー規制の状況も変化した。 注目すべきことに、証券取引委員会は昨年、上場企業が重大なサイバーインシデントを経験したと判断してから4日以内に情報開示を提出するという要件を含むサイバー規則を採用した。
一部の議員は、SECの規則がCISAの今後の規則と重複するとして批判している。 それでも、SEC の要件は昨年末に発効しました。
CISA当局者は、サイバーインシデントに対応する企業にとってルールの負担を軽減するために、さまざまなサイバーインシデント報告要件を「調和」させたいと述べた。 規制の重複に関する詳細は、今後の規則で明らかになる可能性があります。
「これらのさまざまな要件を調和させ、その対象となる企業の負担を軽減しようとすることの重要性は、これがどのように運用されるか、またその結果として民間部門の事業体にかかる潜在的な負担という点で、非常に非常に重要になる可能性があります」とスキース氏は述べた。
著作権 © 2024 連邦ニュース ネットワーク。 無断転載を禁じます。 この Web サイトは、欧州経済領域内のユーザーを対象としたものではありません。