Dalış Özeti:
- ABD Ticaret Odası da dahil olmak üzere iki düzineden fazla sektör paydaşı, Kritik Altyapı için Siber Olay Raporlama Yasası hakkında görüş bildirmek için son tarihi uzatmaya çalışıyor. Cuma günü yayınlanan bir mektuba göre. Talep edilen 30 günlük gecikmenin kabul edilmesi halinde yeni son tarih 3 Temmuz olacak.
- Siber Güvenlik ve Altyapı Güvenliği Ajansı, CIRCIA için kritik altyapı sağlayıcılarının önemli siber olayları tespit edildikten sonraki 72 saat içinde bildirmelerini ve fidye ödemelerini 24 saat içinde bildirmelerini gerektiren bir bildirim yayınladı. Duyuru Perşembe günü Federal Kayıt’ta yayınlandı ve şu anda kamuoyunun yorumları için 3 Haziran’a kadar süre bulunuyor.
- Aralarında Amerikan Bankacılar Birliği, Ulusal Perakende Federasyonu ve Amerikan Petrol Enstitüsü’nün de bulunduğu bir dizi sektör grubu tarafından imzalanan mektupta, kapsam dahilindeki siber saldırıların ve ihlallerin raporlanması ve ödemelerin federal kurumlara bildirilmesiyle ilgili karmaşık düzenlemelerin özümsenmesi için ek süre talep ediliyor. yetkililer.
Dalış Bilgisi:
CIRCIA potansiyel olarak kapsayabilir 316.000’den fazla farklı kuruluş ve analiz dönemi boyunca yaklaşık 2,6 milyar dolara mal oldu. Var 16 belirlenmiş kritik altyapı sektörü ve birçoğu, düzenleyicilerin, kötü niyetli tehdit faaliyetlerine daha iyi hazırlanmalarına yardımcı olmak amacıyla ek önlemler uyguladığını zaten gördü.
Koordinatörü Ari Schwartz, “Kapsanan kuruluşun tanımı, verilerin nasıl kullanılacağı, mevzuat uyumunun uygulanabilir olup olmadığı ve zamanında başvuru yapılmamasının cezaları dahil olmak üzere ayrıntılı olarak tartışılması gereken birçok alan var” dedi. Siber Güvenlik Koalisyonu ve Siber Güvenlik Politikası ve Hukuk Merkezi ve mektubun baş yazarlarından biri.
2022’de kabul edilen CIRCIA, CISA’ya kritik altyapıyı siber olaylar ve fidye ödemeleri hakkında belirli bilgiler sağlamaya zorlamak için ek yetkiler veriyor. Örneğin, belgelere göre, bir bilgi talebi veya mahkeme celbi yayınlanabilir ve bunların işe yaramaması durumunda, bu tür önlemlerin uygulanması için federal bölge mahkemesine hukuk davası açılabilir.
Bir diğer önemli konu da bu gerekliliklerin, Menkul Kıymetler ve Borsa Komisyonu ve diğer düzenleyici kurumların zorunlu açıklamaları gibi diğer federal açıklama kurallarıyla nasıl uyumlu hale getirileceğidir, böylece şirketler mükerrer taleplere yanıt vermek zorunda kalmaz.
Çeşitli federal kurumlar, son yıllarda kendi sektörlerinin siber güvenlik gereksinimlerini sıkılaştırma çabalarını hızlandırdı.
Sadece geçen ay Çevre Koruma Ajansı ve Beyaz Saray Kamu su sektörünü, içme suyu ve atık su arıtma sağlayıcılarını hedef alan devletle bağlantılı tehdit gruplarının aktif tehditlerine karşı hazırlamak için tasarlanan önlemler konusunda Devlet İç Güvenliği ve diğer yetkililerle sanal olarak görüştü.