2024-03-27 22:16:28
L’Agence de cybersécurité et de sécurité des infrastructures a publié mercredi un cadre tant attendu décrivant les règles obligatoires de déclaration des cyberincidents.
Le document, devrait être publié le 4 avrilétablit des règles mettant en œuvre la loi de 2022 sur le signalement des incidents cybernétiques pour les infrastructures critiques, ou CIRCIA, qui oblige les entités d’infrastructures critiques ciblées par des ransomwares ou d’autres cyberincidents à les signaler à la CISA en temps opportun.
La CISA affirme que la loi permettrait aux autorités de déployer rapidement des ressources et une assistance aux victimes de cyberattaques et de partager rapidement ces informations pour avertir d’autres cibles potentielles.
« CIRCIA change la donne pour l’ensemble de la communauté de la cybersécurité, y compris tous ceux qui investissent dans la protection des infrastructures critiques de notre pays », a déclaré la directrice de la CISA, Jen Easterly, dans un communiqué. déclaration. « Cela nous permettra de mieux comprendre les menaces auxquelles nous sommes confrontés, de repérer plus tôt les campagnes adverses et de prendre des mesures plus coordonnées avec nos partenaires des secteurs public et privé en réponse aux cybermenaces. »
En vertu de la loi, les cyberincidents généraux doivent être signalés à la CISA dans les 72 heures, tandis que les attaques de ransomware doivent être signalées dans les 24 heures. Quelque 316 000 entités devraient être concernées par cette mesure, qui coûtera environ 2,6 milliards de dollars au cours de la prochaine décennie, selon le plan.
La règle exige que les entités qui paient des rançons aux pirates informatiques qui détiennent leurs données ou leurs systèmes en otage doivent également signaler le paiement à la CISA. Les organisations qui signalent des incidents via CIRCIA devront également conserver les données utilisées pour signaler l’incident pendant au moins deux ans. Les agences fédérales qui signalent déjà des incidents connexes conformément aux exigences de la loi fédérale sur la gestion de la sécurité de l’information, ou FISMA, sont exemptées de cette mesure.
La CISA est également autorisée à émettre des demandes d’informations sur les organisations couvertes par la loi qui pourraient ne pas avoir respecté les exigences de délai. Plus précisément, la CISA peut émettre une assignation à comparaître pour contraindre à la divulgation d’informations et peut renvoyer l’enquête au ministère de la Justice si les entités ne se conforment pas. Dans des cas extrêmes, le non-respect pourrait conduire à des suspensions de contrat avec le DHS.
Une règle finale devrait être publiée environ 18 mois après la clôture de la période de commentaires début juin, selon un haut responsable de la CISA qui a informé les journalistes.
La période de commentaires invite les particuliers et les opérateurs d’infrastructures critiques à donner leur avis sur la meilleure façon dont l’agence devrait élaborer les règles. L’objectif du processus est de rendre « extrêmement claires » quelles entités sont couvertes par la loi, a déclaré le haut responsable. Il pourrait s’agir notamment d’opérateurs d’infrastructures responsables de la gestion des pipelines, des installations de traitement de l’eau et des réseaux électriques, entre autres domaines.
La règle, une fois entrée en vigueur, augmentera probablement considérablement le volume de données disponibles sur les cyberattaques contre les organisations. Certaines agences sectorielles comme la Federal Communications Commission et la Securities and Exchange Commission ont déjà imposé des règles exigeant plus de transparence de la part de certaines entreprises sur les cyberincidents ciblant leurs activités.
#cadre #proposé #par #CISA #pour #les #règles #déclaration #des #cyberincidents #comprend #pouvoir #dassignation #comparaître
1711602292
