DHS a GŘ CONNECT oznámily iniciativu porovnávající hlášení kybernetických incidentů s cílem lépe sladit transatlantické přístupy

Generální ředitelství Evropské komise pro komunikaci, sítě, obsah a technologie (GŘ CONNECT) a Ministerstvo vnitřní bezpečnosti USA (DHS) dnes oznámily iniciativu ke srovnání prvků hlášení kybernetických incidentů, které budou sloužit jako podklad pro požadavky USA a Evropské unie (EU) na hlášení kybernetických incidentů podle směrnice o bezpečnosti sítí a informací 2. Tato transatlantická spolupráce mezi EU a USA navazuje na jejich úsilí o zabezpečení svých občanů, kritické infrastruktury a podniků před škodlivými kybernetickými činnostmi. 

Společná zpráva, kterou vypracovaly GŘ CONNECT a DHS za podpory jejich příslušných agentur pro kybernetickou bezpečnost, Evropské agentury pro kybernetickou bezpečnost (ENISA) a Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), poskytuje srovnávací posouzení a věcný přehled doporučení Rady USA pro podávání zpráv o kybernetických incidentech a zprávy DHS z roku 2023 o harmonizaci hlášení kybernetických incidentů federální vládě a směrnici EU 2022/2555 o opatřeních pro vysokou úroveň kybernetické bezpečnosti v Unii (směrnice NIS2) tím, že určí hlavní podobnosti a rozdíly. Zjištění uvedená v této zprávě pomohou poskytnout informace o přístupu GŘ CONNECT a DHS k hodnocení procesů hlášení kybernetických incidentů v budoucnu. Zpráva identifikuje šest hlavních oblastí pro srovnávací analýzu mezi zprávou DHS a směrnicí EU, včetně: i) definice a prahové hodnoty pro oznamování, ii) lhůty, spouštěče a typy hlášení kybernetických incidentů, iii) obsah hlášení kybernetických incidentů, iv) mechanismy podávání zpráv, v) agregace údajů o incidentech a vi) zveřejňování informací o kybernetických incidentech. 

Kybernetické incidenty neuznávají hranice a nadnárodní společnosti jsou často povinny hlásit incidenty v mnoha jurisdikcích. Jsme odhodláni harmonizovat pravidla pro hlášení incidentů na vnitrostátní úrovni a s podobně smýšlejícími partnery, jako je Evropská unie, kdykoli je to možné. Náš přístup umožní vládním orgánům získat informace, které potřebují k poskytování kybernetické obrany, a zároveň zefektivnit proces pro organizace obětí,

Robert Silvers, podtajemník DHS pro politiku a předseda Rady pro hlášení kybernetických incidentů. 

Napříč Atlantikem se snažíme spolupracovat na porovnání příslušných požadavků na podávání zpráv, včetně formy nebo formátu požadovaných informací a hledání způsobů, jak minimalizovat administrativní zátěž oznamujících subjektů,

Roberto Viola, generální ředitel EK pro komunikační sítě, obsah a technologie 

Tato iniciativa – která je v souladu se společným prohlášením ministra pro vnitřní bezpečnost Alejandro N. Mayorkasem a evropským komisařem pro vnitřní trh Thierrym Bretonem z roku 2024 – označuje začátek procesu, jehož cílem je sladit hlášení transatlantických kybernetických incidentů, je-li to možné. DHS & DG CONNECT vyzývají průmysl z USA i EU, aby se podělil o své podněty a reakce na naši společnou spolupráci a přístup k hodnocení procesů hlášení kybernetických incidentů. 

Tato oblast je kritická, protože příslušné vládní orgány musí mít přístup k informacím o kybernetických incidentech, které mají dopad na jejich občany nebo jinak vzbuzují obavy o bezpečnost a zabezpečení. Kromě toho uznáváme, že v příštích měsících budou jak Spojené státy, tak Evropská unie pokračovat v práci na zavedení povinných režimů podávání zpráv, mimo jiné zavedením přesnějších ustanovení o postupu oznamování incidentů, obsahu zpráv a harmonogramech. Je důležité zůstat v těchto otázkách ve spojení a pokud možno se sladit.

Lorena Boix Alonso, ředitelka EK pro digitální společnost, důvěru a kybernetickou bezpečnost

V příštím roce naše týmy plánují pokračovat v naší spolupráci na techničtější úrovni, včetně mapování prvků, jako jsou taxonomie kybernetických bezpečnostních incidentů, šablony pro podávání zpráv a obsah zpráv a formátů. Provedeme důkladný průjezd Modelového formuláře pro podávání zpráv vyvinutého DHS proti požadovanému obsahu zpráv NIS 2, abychom zjistili, kde dochází k překrývání a rozdílům v typech požadovaných dat. Jak pokračujeme v tomto úsilí, musíme zůstat hbití a přizpůsobit se rychle se vyvíjejícímu prostředí kybernetických hrozeb, protože v našem digitálním světě již dlouho nic nezůstane statické.

Íránga Kahangama, náměstkyně ministra pro kybernetiku, infrastrukturu, rizika a odolnost.

Zákon o hlášení kybernetických incidentů pro kritickou infrastrukturu (Circia), který v roce 2022 podepsal prezident Biden, zřídil Radu pro hlášení kybernetických incidentů (CIRC), vedenou DHS, aby „koordinovala, dekonfliktovala a harmonizovala federální požadavky na hlášení incidentů, včetně těch, které byly vydány prostřednictvím nařízení.“ CIRC, kterému předsedá DHS a zahrnuje zastoupení více než 30 agentur, nastínilo řadu použitelných doporučení, jak může vláda USA zefektivnit a harmonizovat oznamování kybernetických incidentů s cílem lépe chránit kritickou infrastrukturu země. V roce 2023 předložilo DHS Kongresu zprávu obsahující doporučení Rady s názvem Harmonizace hlášení kybernetických incidentů federální vládě.

V lednu 2023 vstoupila v platnost směrnice o bezpečnosti sítí a informací, která členským státům EU poskytla 21 měsíců na její provedení ve vnitrostátním právu. Směrnice o bezpečnosti sítí a informací vychází z požadavků svého předchůdce, směrnice (EU) 2016/1148, pokud jde o opatření k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v celé Unii (směrnice o bezpečnosti sítí a informací), která je platná od roku 2016, ale zvyšuje společnou úroveň ambicí EU v oblasti kybernetické bezpečnosti prostřednictvím širší oblasti působnosti, jasnějších pravidel a silnějších nástrojů dohledu. Směrnice o bezpečnosti sítí a informací 2 harmonizuje, posiluje a zefektivňuje požadavky na bezpečnost a hlášení incidentů pro větší počet subjektů, které mají zásadní význam pro evropské hospodářství a společnost.