Cybersecurity and Infrastructure Security Agency (CISA) збирає відгуки щодо CIRCIA
Агентство з кібербезпеки та безпеки інфраструктури хоче отримати відгуки партнерів з критичної інфраструктури щодо обсягу свого регулювання звітності про кіберінциденти, оскільки агентство працює над остаточною версією довгоочікуваного правила.
У повідомленні, яке буде опубліковано у Федеральному реєстрі в п’ятницю, CISA оголосила про серію зустрічей, де різні сектори зможуть поділитися своїми думками щодо правила, яке Конгрес вимагав у Законі про звітність про кіберінциденти в критичній інфраструктурі 2022 року.
Що передбачає проєкт правила CIRCIA
Проект правила CIRCIA, опублікований у квітні 2024 року, надав операторам інфраструктури, що охоплюються цим правилом, 72 години, щоб повідомити уряд про суттєві кіберінциденти. Бізнес-групи та деякі законодавці заперечували проти обсягу інформації, яку компанії повинні будуть звітувати, а також проти широкого кола компаній, на які поширюється дія цього правила.
У своєму новому оголошенні CISA заявила, що «цінує інтерес та занепокоєння зацікавлених сторін щодо впровадження CISA CIRCIA для максимізації його впливу на покращення стану кібербезпеки нашої країни, мінімізуючи при цьому непотрібне навантаження на суб’єкти господарювання в секторах критичної інфраструктури».
Які зміни агентство просить запропонувати
Агентство хоче, щоб оператори інфраструктури поділилися «конкретними, практичними покращеннями» CIRCIA, які «уточнюють або зменшують» навантаження від запланованої вимоги до звітності, водночас надаючи уряду достатню інформацію про ландшафт кіберзагроз.
CISA заявила, що особливо зацікавлена у відгуках щодо певних аспектів правила, включаючи інформацію, необхідну у звітах про інциденти, використання критеріїв на основі розміру для визначення того, які компанії включати, та процес виклику до суду, який CISA може використовувати для отримання інформації від компаній, що не відповідають вимогам.
CISA також хоче знати, чи має правило вимагати від постачальників хмарних послуг, постачальників керованих послуг або інших операторів інфраструктури повідомляти про інциденти, що стосуються відкритий вихідний код, який вони використовують.
Крім того, агентство заявило, що хоче знати, чи відсутні в його галузевих списках охоплених організацій якісь важливі категорії операторів інфраструктури.
Як проходитимуть громадські зустрічі
CISA проведе сім громадських зустрічей, щоб зібрати думки щодо правила CIRCIA.
П’ять із цих зустрічей відбудуться у березні: одна для хімічного, водного, гребельного, енергетичного та ядерного секторів (9 березня); одна для комерційних об’єктів, виробництва, харчової та сільськогосподарської промисловості (12 березня); одна для служб екстреної допомоги, державних установ та охорони здоров’я (17 березня); одна для зв’язку, транспорту та фінансових послуг (18 березня); одна для оборонних підрядників та компаній інформаційних технологій (19 березня); та одна загальна сесія для будь-яких зацікавлених організацій (31 березня). Потім агентство проведе другу загальну сесію 2 квітня.
CISA очікує, що кожна громадська зустріч триватиме до двох годин, а час кожного доповідача обмежиться приблизно трьома хвилинами. Агентство заявило, що записуватиме та транскрибуватиме зустрічі й опублікує стенограми у реєстрі нормотворчості CIRCIA.
«CISA не зможе ділитися непублічною або обговорюваною інформацією про нормотворчість CIRCIA під час зустрічей», – попереджається в оголошенні, – «а також CISA не зможе зобов’язуватися вирішувати політичні питання, що впливають на нормотворчість або на які вона впливає певним чином».
Попередні відгуки та подальші кроки
CISA витратила останні кілька років на перегляд величезної кількості відгуків зацікавлених сторін щодо відповідної сфери застосування правила звітності про кіберінциденти. Початковий запит на інформацію дав 130 коментарів, приблизно 730 осіб відвідали понад десяток галузевих сесій прослуховування, а 90-денний період громадського обговорення проекту правила дав приблизно 300 коментарів.
«CISA продовжує працювати в рамках процесу нормотворчості, щоб дати змогу зацікавленим сторонам надавати свої внески, поки CISA завершує нормотворчість, щоб досягти належного балансу витрат і вигод», – йдеться в оголошенні агентства.
Хоча CISA не зобов’язалася відновлювати період громадського обговорення проекту правила, вона заявила, що «може вирішити зробити це в майбутньому, якщо CISA вважатиме це виправданим».
Джерело: Utility Dive
