DHS og GD CONNECT annoncerer initiativ til sammenligning af indberetning af cyberhændelser med henblik på bedre tilpasning af transatlantiske tilgange

Europa-Kommissionens Generaldirektorat for Kommunikation, Netværk, Indhold og Teknologi (GD CONNECT) og det amerikanske Department of Homeland Security (DHS) bebudede i dag et initiativ til sammenligning af elementer til indberetning af cyberhændelser, som vil indgå i USA's og EU's rapporteringskrav vedrørende cyberhændelser i henhold til NIS 2-direktivet. Dette transatlantiske samarbejde mellem EU og USA bygger på deres bestræbelser på at sikre deres befolkninger, kritisk infrastruktur og virksomheder mod skadelige cyberaktiviteter. 

Den fælles rapport udarbejdet af GD CONNECT og DHS med støtte fra deres respektive cybersikkerhedsagenturer, Det Europæiske Agentur for Cybersikkerhed (ENISA) og Agenturet for Cybersikkerhed og Infrastruktursikkerhed (CISA) indeholder en sammenlignende vurdering og faktuel oversigt over anbefalingerne fra det amerikanske råd for rapportering om cyberhændelser og DHS-rapporten fra 2023 om harmonisering af indberetningen af cyberhændelser til forbundsregeringen og EU's direktiv 2022/2555 om foranstaltninger til sikring af et højt cybersikkerhedsniveau i hele Unionen (NIS2- direktivet) ved at identificere de vigtigste ligheder og forskelle. Resultaterne i denne rapport vil bidrage til at informere GD CONNECT og DHS' tilgang til evaluering af processer for indberetning af cyberhændelser i fremtiden. Rapporten identificerer seks hovedområder for komparativ analyse mellem DHS' rapport og EU's direktiv, herunder: i) definitioner og indberetningstærskler, ii) tidsfrister, udløsere og typer af indberetning af cyberhændelser, iii) indholdet af indberetninger af cyberhændelser, iv) indberetningsmekanismer, v) aggregering af hændelsesdata og vi) offentliggørelse af oplysninger om cyberhændelser. 

Cyberhændelser genkender ikke grænser, og multinationale virksomheder er ofte forpligtet til at indberette hændelser på tværs af mange jurisdiktioner. Vi er forpligtet til at harmonisere reglerne for indberetning af hændelser internt og med ligesindede partnere som Den Europæiske Union, når det er muligt. Vores tilgang vil gøre det muligt for statslige myndigheder at få de oplysninger, de har brug for til at yde cyberforsvar, samtidig med at processen strømlines for offerorganisationer.

Robert Silvers, DHS Undersekretær for Politik og formand for Cyber Incident Reporting Council. 

På tværs af Atlanten søger vi at arbejde sammen om at sammenligne relevante rapporteringskrav, herunder formen eller formatet af de oplysninger, der anmodes om, for at finde måder, hvorpå den administrative byrde for indberettende enheder kan minimeres.

Roberto Viola, Kommissionens generaldirektør for kommunikationsnet, indhold og teknologi 

Dette initiativ — som er i overensstemmelse med den fælles erklæring fra 2024 mellem sekretæren for indenrigssikkerhed Alejandro N. Mayorkas og EU-kommissæren for det indre marked Thierry Breton — markerer begyndelsen på en proces til tilpasning af transatlantisk rapportering om cyberhændelser, hvor det er muligt. DHS & DG CONNECT opfordrer industrien fra både USA og EU til at dele deres input og reaktioner på vores fælles samarbejde og tilgang til evaluering af processer for rapportering af cyberhændelser. 

Dette område er kritisk, da de relevante statslige myndigheder skal have adgang til oplysninger om cyberhændelser, der påvirker deres borgere eller på anden måde giver anledning til sikkerhedsproblemer. Desuden anerkender vi, at både USA og EU i de kommende måneder vil fortsætte arbejdet med at gennemføre obligatoriske indberetningsordninger, herunder ved at gennemføre mere præcise bestemmelser om processen for indberetning af hændelser, indholdet af rapporterne og tidsfristerne. Det er vigtigt at holde forbindelsen om disse spørgsmål og tilpasse sig, hvor det er muligt.

tilføjet Lorena Boix Alonso, Kommissionens direktør for det digitale samfund, tillid og cybersikkerhed

I løbet af det næste år planlægger vores teams at fortsætte vores samarbejde på et mere teknisk niveau, herunder ved at kortlægge elementer såsom taksonomier for cybersikkerhedshændelser, rapporteringsskabeloner og indholdet af rapporter og formater. Vi vil foretage en grundig gennemgang af den DHS-udviklede Model Reporting Form mod NIS 2 krævede indhold af rapporter for at identificere, hvor der er overlapning og forskelle i de typer af data, der anmodes om. Når vi fortsætter disse bestræbelser fremad, skal vi forblive agile og tilpasse os det hastigt voksende cybertrusselslandskab, da intet forbliver statisk i vores digitale verden i lang tid.

Iranga Kahangama, DHS Assistentsekretær for Cyber, Infrastruktur, Risiko og Modstandsdygtighed.

Cyber Incident Reporting for Critical Infrastructure Act (Circia), underskrevet i lov af præsident Biden i 2022, etablerede Cyber Incident Reporting Council (CIRC), ledet af DHS for at "koordinere, dekonflikt og harmonisere føderale rapporteringskrav, herunder dem, der er udstedt gennem forordninger." CIRC, der ledes af DHS og omfatter repræsentation fra mere end 30 agenturer, skitserede en række anvendelige anbefalinger om, hvordan den amerikanske regering kan strømline og harmonisere indberetningen af cyberhændelser for bedre at beskytte landets kritiske infrastruktur. I 2023 fremlagde DHS en rapport til Kongressen med henstillinger fra Rådet med titlen Harmonisering af Cyber Incident Reporting til forbundsregeringen.

I januar 2023 trådte NIS2-direktivet i kraft, hvilket gav EU-medlemsstaterne 21 måneder til at gennemføre det i national ret. NIS2-direktivet bygger på kravene i dets forgænger, direktiv (EU) 2016/1148, om foranstaltninger til et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-direktivet), der har været i kraft siden 2016, men det hæver EU's fælles ambitionsniveau for cybersikkerhed gennem et bredere anvendelsesområde, klarere regler og stærkere tilsynsværktøjer. NIS2-direktivet harmoniserer, styrker og strømliner kravene til indberetning af sikkerheds- og hændelser for et større antal enheder, som er afgørende for den europæiske økonomi og det europæiske samfund.