Днес Генерална дирекция за комуникации, мрежи, съдържание и технологии на Европейската комисия (ГД „Съобщителни мрежи, съдържание и технологии“) и Министерството на вътрешната сигурност на САЩ (DHS) обявиха инициатива за сравняване на елементите за докладване на киберинциденти, които ще информират изискванията за докладване на киберинциденти от САЩ и Европейския съюз (ЕС) съгласно Директивата за МИС 2. Това трансатлантическо сътрудничество между ЕС и САЩ се основава на усилията им да защитят своите граждани, критична инфраструктура и предприятия срещу вредни дейности в киберпространството.
В съвместния доклад, разработен от ГД „Съобщителни мрежи, съдържание и технологии“ и DHS с подкрепата на съответните им агенции за киберсигурност, Европейската агенция за киберсигурност (ENISA) и Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), се предоставя сравнителна оценка и фактически преглед на препоръките на Съвета за докладване на киберинциденти на САЩ и доклада на DHS от 2023 г. относно хармонизирането на докладването на киберинциденти пред федералното правителство и Директива 2022/2555 на ЕС относно мерките за високо равнище на киберсигурност в Съюза (Директивата за МИС2), като се определят основните сходства и различия. Констатациите в настоящия доклад ще помогнат да се информира подходът на ГД „Съобщителни мрежи, съдържание и технологии“ и DHS за оценка на процесите за докладване на киберинциденти в бъдеще. Докладът определя шест основни области за сравнителен анализ между доклада на DHS и директивата на ЕС, включително: I) определения и прагове за докладване, ii) срокове, задействащи механизми и видове докладване на киберинциденти, iii) съдържание на докладите за киберинциденти, iv) механизми за докладване, v) агрегиране на данни за инциденти и vi) публично оповестяване на информация за киберинциденти.
Киберинцидентите не признават граници и многонационалните компании често са задължени да докладват инциденти в множество юрисдикции. Ние се ангажираме да хармонизираме правилата за докладване на инциденти на национално равнище и с единомислещи партньори като Европейския съюз, когато това е възможно. Нашият подход ще позволи на правителствените органи да получат информацията, от която се нуждаят, за да осигурят киберотбрана, като същевременно рационализират процеса за организациите на жертвите.
Робърт Силвърс, заместник-секретар на DHS по въпросите на политиката и председател на Съвета за докладване на киберинциденти.
През Атлантическия океан се стремим да работим заедно, за да сравним съответните изисквания за докладване, включително формата или формата на исканата информация, като търсим начини за свеждане до минимум на административната тежест за докладващите субекти.
Роберто Виола, генерален директор на ЕК за комуникационни мрежи, съдържание и технологии
Тази инициатива, която е в съответствие със съвместното изявление от 2024 г. на секретаря по вътрешната сигурност Алехандро Н. Майоркас и европейския комисар по въпросите на вътрешния пазар Тиери Бретон, бележи началото на процес за съгласуване на трансатлантическо докладване на киберинциденти, когато това е осъществимо. DHS и ГД „Съобщителни мрежи, съдържание и технологии“ приканват промишлеността от САЩ и ЕС да споделят своя принос и реакции към нашето съвместно сътрудничество и подход за оценка на процесите на докладване на киберинциденти.
Тази област е от решаващо значение, тъй като съответните държавни органи трябва да имат достъп до информация за киберинциденти, които засягат техните граждани или по друг начин пораждат опасения за безопасността и сигурността. Освен това признаваме, че през следващите месеци както Съединените щати, така и Европейският съюз ще продължат работата по привеждането в действие на задължителните режими за докладване, включително чрез прилагане на по-точни разпоредби относно процеса на докладване на инциденти, съдържанието на докладите и сроковете. Важно е да се поддържа връзка по тези въпроси и да се съгласуват, когато е възможно.
добавена е Лорена Бойкс Алонсо, директор на ЕК за цифровото общество, доверието и киберсигурността
През следващата година нашите екипи планират да продължат сътрудничеството си на по-техническо ниво, включително чрез картографиране на елементи като таксономии за инциденти в областта на киберсигурността, шаблони за докладване и съдържанието на докладите и форматите. Ще проведем задълбочена пътека на разработения от DHS формуляр за докладване на образци спрямо изискваното от МИС 2 съдържание на докладите, за да се установи къде има припокриване и несъответствия в видовете данни, които се изискват. Докато продължаваме тези усилия, трябва да останем гъвкави и да се адаптираме към бързо развиващия се пейзаж на киберзаплахите, тъй като нищо не остава статично в нашия цифров свят за дълго време.
каза Iranga Kahangama, помощник-секретар на DHS по въпросите на киберпространството, инфраструктурата, риска и устойчивостта.
Законът за докладване на киберинциденти за критична инфраструктура (Circia), подписан от президента Байдън през 2022 г., създаде Съвет за докладване на киберинциденти (CIRC), ръководен от DHS, за да „координира, деконфликт и хармонизира федералните изисквания за докладване на инциденти, включително тези, издадени чрез регламенти“. CIRC, който се председателства от DHS и включва представителство от повече от 30 агенции, очерта серия от изпълними препоръки за това как правителството на САЩ може да рационализира и хармонизира докладването на киберинциденти с цел по-добра защита на критичната инфраструктура на страната. През 2023 г. DHS представи на Конгреса доклад, включващ препоръки на Съвета, озаглавен „ Хармонизация на докладването на киберинциденти пред федералното правителство“.
През януари 2023 г. влезе в сила Директивата за МИС2, като на държавите — членки на ЕС, бяха предоставени 21 месеца, за да я транспонират в националното законодателство. Директивата за МИС2 се основава на изискванията на предходната Директива (ЕС) 2016/1148 относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (Директивата за МИС), която е в сила от 2016 г., но повишава общото равнище на амбиция на ЕС по отношение на киберсигурността чрез по-широк обхват, по-ясни правила и по-силни инструменти за надзор. Директивата за МИС2 хармонизира, укрепва и рационализира изискванията за сигурност и докладване на инциденти за по-голям брой субекти, които са от решаващо значение за европейската икономика и общество.
Related content
Policy and legislation | 20 март 2024
За да информират за текущото прилагане от съответните органи на Закона за докладването на киберинциденти за критична инфраструктура от 2022 г. и Директивата на ЕС относно високо равнище на киберсигурност в целия Съюз (Директивата за МИС 2) и за да подкрепят субектите, действащи в множество юрисдикции, в усилията им да реагират на киберинциденти, Министерството на вътрешната сигурност (DHS) и ГД „Съобщителни мрежи, съдържание и технологии“ на Европейската комисия публикуват настоящия съвместен доклад, в който се посочват основните сходства и различия.