美国:2022 年关键基础设施网络事件报告法案 (CIRCIA)
法案概述:
2022年3月15日,拜登总统签署了《2022年综合拨款法案》(H.R.2471 - Consolidated Appropriations Act, 2022),这是2022财年的综合支出法案。该法案中特别值得关注的是《2022年关键基础设施网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act of 2022,简称"网络事件报告法"),因覆盖实体广泛,引起全美范围内的诸多关注与讨论。
该法案的核心议题“数据泄露通知”,虽然这一概念并不是全新的,但之前的立法主要集中在确保公司在客户的非公开个人信息(NPI)被泄露时通知他们的客户。此次法案要求覆盖实体向网络和基础设施安全局(CISA)报告“覆盖实体所经历的符合CISA局长在最终规则中确定的定义和标准的实质性网络事件”。
该法案要求关键基础设施领域的某些实体向美国国土安全部(DHS)报告:
· 任何遭遇重大网络事件的覆盖实体必须在72小时内向CISA报告该事件。以及
· 与勒索软件攻击有关的赎金支付也必须在支付后24小时内向CISA报告(即使勒索软件攻击不属于前一点中要报告的网络事件)。
如果有大量新的或不同的信息,或在法案所管辖的实体通知美国国土安全部前事件已经结束和缓解的情况,也需要补充报告。此外,法案所管辖的实体必须根据CISA局长发布的规则,留存与法案所规定的网络事件和赎金支付有关的信息。
具体来说:
· 法案所覆盖的实体:该法案涵盖了关键基础设施部门(即总统政策指令21,Presidential Policy Directive 21所定义的)中的符合CISA局长所确定的定义的实体。这些部门包括关键制造业、能源、金融服务、食品和农业、医疗保健、信息技术和运输。在进一步定义覆盖实体时,CISA局长将考虑一些因素,如损害一个实体可能导致的国家和经济安全的后果,该实体是否是恶意网络行为者的目标,以及进入这样一个实体是否能够破坏关键基础设施。
· 法案所规定的网络事件:部分借用《2002年国土安全法》第二十二章第2209(a)(4)条,该法案规定的网络事件一般是指在没有合法授权的情况下,危害信息系统或信息系统信息的完整性、保密性或可用性的事件。根据该法案,网络事件必须是由CISA局长进一步定义的“重大网络事件”,才能被涵盖。
· 信息系统:信息系统是指“为收集、处理、维护、使用、共享、传播或处置信息而组织的一套离散的信息资源”,其中包括工业控制系统,如监督控制和数据采集系统、分布式控制系统和可编程逻辑控制器。
· 赎金支付:赎金支付是指在任何时候作为赎金交付的与勒索软件攻击有关的任何金钱或其他财产或资产,包括虚拟货币等的转账传输。
法案所规定的网络事件的报告需要包括:
· 对法案所规定的网络事件的描述,包括受影响的信息系统、网络或设备的识别和功能描述,这些系统、网络或设备已经或有理由相信已经受到影响。
· 描述未经授权的访问,导致受影响的信息系统或网络的机密性、完整性或可用性的严重损失,或业务或工业运作的中断。
· 此类事件的可能日期范围。
· 对法案所管辖的实体的影响。
· 描述被利用的漏洞和已实施的安全防御措施,以及用于实施法案所规定的网络事件的战术、技术和程序(如适用)。
· 有理由相信应对该网络事件负责的每个行为者的身份或联系信息(如适用)。
· 如果适用的话,被认为或有理由认为被未经授权的人访问或获取的信息类别。
· 明确识别受影响的法案所管辖的实体的名称和其他信息,包括(如适用)该实体的注册或组建国家、商号、法定名称或其他标识符。
· 法案所管辖的实体的联系信息,或在适用的情况下,覆盖实体的授权服务供应商。
赎金支付报告也需要类似信息,包括 (i) 赎金支付要求,包括所要求的虚拟货币或其他商品的类型(如适用),(ii) 赎金支付指示,包括有关支付地点的信息(如适用),以及(iii) 赎金支付的金额。法案所管辖的实体可以使用第三方,如事件响应公司、保险商或服务提供商来提交这些报告,但这并不免除法案所管辖的实体的报告义务。
国土安全部的国家网络安全和通信集成中心(National Cybersecurity and Communications Integration Center,NCCIC)负责开展各种活动,根据该法案接收和分析报告。这些活动包括:
· 评估网络事件对公众健康和安全的潜在影响。
· 与适当的联邦部门和机构协调和分享信息,以确定和跟踪赎金支付,包括那些使用虚拟货币的赎金。
· 在自愿的基础上,促进事件相关人之间及时分享与法案所规定的网络事件和赎金支付有关的信息,特别是与正在发生的网络威胁或安全漏洞有关的信息。
虽然该法案围绕定义和流程提供了一些信息,但该法案中列出的新的网络报告要求将不会生效,直到CISA发布“最终规则”来定义关键定义和要求。CISA局长“与部门风险管理机构、司法部和其他联邦机构协商”,被要求在该法实施后24个月内(2022年3月15日)发布“拟议规则制定通知”,然后在拟议规则发布后18个月内发布最终规则。如果利用整个时间框架,这个新法案的要求可能会在2025年9月15日或前后全面实施。
法案原文PDF下载:
Cyber-Incident-Reporting-ForCriticalInfrastructure-Act-o-f2022_508
