拟议的 CISA 规则将要求报告网络事件和支付赎金
根据拟议规则制定通知,国土安全部网络安全和基础设施安全局正在提议建立一个涵盖 16 个关键部门的全面网络事件报告结构 发表在《联邦公报》上 (PDF) 周三。 CISA 表示,当拟议规则于 4 月 4 日发布时,它将提供 60 天的书面公众评论时间。 为什么它很重要 安全机构在网络事件报告规则通过后制定了拟议的网络事件报告规则。 2022 年关键基础设施网络事件报告法案,或 CIRCIA。 CISA 表示,预计最终规则将在征求意见期结束后 18 个月内发布,相关组织必须根据 CIRCIA 规定开始报告网络事件。 虽然 提议的规则 该机构表示,CISA 提供了基于行业的标准,其中以医疗器械制造为例,在考虑了这些要求在各种替代方案中的影响范围后,CISA 提出了基于实体的标准结构。 根据拟议的基于部门的标准,CISA 提出了执行某些功能的某些类型的设施,这些功能将在整个组织中扩展所涵盖实体的定义。 例如,“基于医疗保健和公共卫生部门的标准将包括制造任何 II 类或 III 类医疗器械的实体”,CISA 表示。 然而,虽然标准侧重于某些类型的设施“作为确定实体是否属于受涵盖实体的基础,但 CISA 提议整个实体(例如公司、组织)而不是单个设施或职能部门属于受涵盖实体”。实体,”该机构表示。 CISA 表示,如果报告仅限于仅影响基于部门的标准中确定的特定设施或功能的事件,则该机构“可能无法”执行特定部门的网络安全威胁和趋势分析。 这意味着,如果涵盖的实体经历重大网络事件或在任何职能或设施中支付赎金,则将触发强制性网络事件报告。 CISA 表示,在提案中,即使事件没有影响行业定义的设施,例如 II 类或 III 类医疗器械的制造商,也需要报告。 “同样,如果一个实体制造 II 类或 III 类医疗设备,除了不符合基于行业的标准之一的其他功能外,整个实体都是受覆盖实体,并且该实体的任何部分经历的任何重大网络事件需要报告,”CISA […]