Sisejulgeolekuministeerium ja sidevõrkude, sisu ja tehnoloogia peadirektoraat teatasid algatusest, milles võrreldakse küberintsidentidest teatamist, et paremini ühtlustada Atlandi-üleseid lähenemisviise

Euroopa Komisjoni kommunikatsiooni, võrkude, sisu ja tehnoloogia peadirektoraat (DG CONNECT) ja USA Sisejulgeolekuministeerium (DHS) teatasid täna algatusest võrrelda küberintsidentidest teatamise elemente, mis annavad teavet küberintsidentidest teatamise nõuete kohta USA ja Euroopa Liidu (EL) küberturvalisuse 2. direktiivi alusel. Atlandi-ülene koostöö ELi ja USA vahel tugineb nende jõupingutustele kaitsta oma inimesi, elutähtsat taristut ja ettevõtteid kahjuliku kübertegevuse eest. 

Sidevõrkude, sisu ja tehnoloogia peadirektoraadi ja sisejulgeoleku peadirektoraadi koostatavas ühisaruandes, mida toetavad nende vastavad küberturvalisuse asutused, Euroopa Küberturvalisuse Amet (ENISA) ning küberturvalisuse ja taristu turvalisuse amet (CISA), esitatakse võrdlev hinnang ja faktiline ülevaade USA küberintsidentidest teatamise nõukogu soovitustest ja sisejulgeolekuministeeriumi 2023. aasta aruandest liiduvalitsusele küberintsidentidest teatamise ühtlustamise kohta ning ELi direktiivist 2022/2555 küberturvalisuse kõrge taseme meetmete kohta kogu liidus (NIS2 direktiiv), tehes kindlaks peamised sarnasused ja erinevused. Käesolevas aruandes esitatud järeldused aitavad anda teavet sidevõrkude, sisu ja tehnoloogia peadirektoraadi ning sisejulgeolekuministeeriumi lähenemisviisi kohta küberintsidentidest teatamise protsesside hindamisel tulevikus. Aruandes määratletakse sisejulgeolekuministeeriumi aruande ja ELi direktiivi vahelise võrdleva analüüsi kuus peamist valdkonda, sealhulgas: i) mõisted ja teatamiskünnised, ii) küberintsidentidest teatamise tähtajad, käivitajad ja liigid, iii) küberintsidentidest teatamise sisu, iv) teatamismehhanismid, v) intsidendiandmete koondamine ja vi) küberintsidendiga seotud teabe avalikustamine. 

Küberintsidendid ei tunnista piire ja hargmaised ettevõtted peavad sageli teatama intsidentidest paljudes jurisdiktsioonides. Me oleme pühendunud intsidentidest teatamise eeskirjade ühtlustamisele riigisiseselt ja sarnaselt meelestatud partneritega, nagu Euroopa Liit, kui see on teostatav. Meie lähenemisviis võimaldab valitsusasutustel saada teavet, mida nad vajavad küberkaitse tagamiseks, ühtlustades samal ajal protsessi ohvriorganisatsioonide jaoks;

ütles sisejulgeolekuministeeriumi poliitika asesekretär ja küberintsidentidest teatamise nõukogu esimees Robert Silvers. 

Kogu Atlandi ookeanis püüame teha koostööd, et võrrelda asjakohaseid aruandlusnõudeid, sealhulgas nõutava teabe vormi või vormi, et vähendada aruandvate üksuste halduskoormust;

ütles Euroopa Komisjoni sidevõrkude, sisu ja tehnoloogia peadirektor Roberto Viola. 

See algatus, mis on kooskõlas sisejulgeolekuministri Alejandro N. Mayorkase ja Euroopa Komisjoni siseturuvoliniku Thierry Bretoni 2024. aasta ühisavaldusega, tähistab võimaluse korral Atlandi-ülese küberintsidentidest teatamise ühtlustamise protsessi algust. Sisejulgeolekuministeerium ja sidevõrkude, sisu ja tehnoloogia peadirektoraat kutsuvad nii USA kui ka ELi tööstust üles jagama oma panust ja reaktsioone meie ühisele koostööle ja lähenemisviisile küberintsidentidest teatamise protsesside hindamisel. 

See valdkond on kriitilise tähtsusega, kuna asjaomastel valitsusasutustel peab olema juurdepääs teabele küberintsidentide kohta, mis mõjutavad nende kodanikke või tekitavad muul viisil ohutuse ja julgeolekuga seotud probleeme. Lisaks tunnistame, et lähikuudel jätkavad nii Ameerika Ühendriigid kui ka Euroopa Liit tööd kohustusliku teatamiskorra jõustamiseks, sealhulgas rakendades täpsemaid sätteid intsidentidest teatamise protsessi, teadete sisu ja tähtaegade kohta. Oluline on jääda nende küsimustega seotuks ja võimaluse korral omavahel vastavusse viia.

lisatud Lorena Boix Alonso, Euroopa Komisjoni digitaalühiskonna, usalduse ja küberturvalisuse direktor

Järgmisel aastal plaanivad meie meeskonnad jätkata koostööd tehnilisemal tasandil, sealhulgas kaardistades selliseid elemente nagu küberturvalisuse intsidentide taksonoomiad, aruandlusmallid ning aruannete ja vormingute sisu. Me viime läbi põhjaliku läbimurde sisejulgeolekuministeeriumi väljatöötatud aruandlusvormist NIS 2 nõutud aruannete sisuga, et teha kindlaks, kus esineb kattuvusi ja erinevusi taotletavate andmete liikides. Kui me neid jõupingutusi jätkame, peame jääma paindlikuks ja kohanema kiiresti areneva küberohtude maastikuga, sest meie digitaalmaailmas ei jää kaua midagi staatiliseks.

ütles Iranga Kahangama, sisejulgeolekuministeeriumi küber-, taristu-, riski- ja vastupanuvõime asesekretär.

Elutähtsate infrastruktuuride küberintsidentidest teatamise seadusega (Circia), mille president Biden allkirjastas 2022. aastal, loodi küberintsidentidest teatamise nõukogu (CIRC), mida juhtis sisejulgeolekuministeerium, et „koordineerida, hajutada ja ühtlustada föderaalsete intsidentidest teatamise nõudeid, sealhulgas määrustega kehtestatud nõudeid.“ CIRC, mida juhib sisejulgeolekuministeerium ja mis hõlmab rohkem kui 30 asutuse esindust, esitas mitu rakendatavat soovitust selle kohta, kuidas USA valitsus saaks küberintsidentidest teatamist ühtlustada ja ühtlustada, et paremini kaitsta riigi elutähtsat taristut. 2023. aastal esitas sisejulgeolekuministeerium kongressile aruande, mis sisaldas nõukogu soovitusi „Küberintsidentidest teatamise ühtlustamine föderaalvalitsusele “.

2023. aasta jaanuaris jõustus küberturvalisuse 2. direktiiv, millega anti ELi liikmesriikidele 21 kuud aega selle ülevõtmiseks siseriiklikku õigusesse. Teise küberturvalisuse direktiiv põhineb selle eelkäija, direktiivi (EL) 2016/1148 nõuetel, mis käsitlevad meetmeid, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (võrgu- ja infoturbe direktiiv), mis on jõus alates 2016. aastast, kuid sellega tõstetakse ELi küberturvalisuse ambitsioone laiema kohaldamisala, selgemate eeskirjade ja tugevamate järelevalvevahendite kaudu. Teise küberturvalisuse direktiiviga ühtlustatakse, tugevdatakse ja ühtlustatakse turva- ja intsidentidest teatamise nõudeid suurema arvu üksuste jaoks, mis on Euroopa majanduse ja ühiskonna jaoks kriitilise tähtsusega.