Euroopan komission viestinnän, verkkojen, sisältöjen ja teknologian pääosasto (DG CONNECT) ja Yhdysvaltojen sisäisen turvallisuuden ministeriö (DHS) ilmoittivat tänään aloitteesta, jolla verrataan kyberpoikkeamien raportointielementtejä, jotka antavat tietoa Yhdysvaltojen ja Euroopan unionin (EU) NIS 2 -direktiivin mukaisista kyberturvallisuuspoikkeamista koskevista raportointivaatimuksista. Tämä EU:n ja Yhdysvaltojen välinen transatlanttinen yhteistyö perustuu niiden pyrkimyksiin turvata kansalaistensa, kriittisen infrastruktuurinsa ja yritystensä haitalliselta kybertoiminnalta.
CONNECT- ja DHS-pääosaston laatimassa yhteisessä raportissa, jonka ne laativat kyberturvallisuusvirastojensa, Euroopan kyberturvallisuusviraston (ENISA) ja kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) tuella, esitetään vertaileva arviointi ja tosiseikkoihin perustuva yleiskatsaus Yhdysvaltojen kyberturvallisuuspoikkeamien raportointineuvoston suosituksiin ja vuoden 2023 DHS-raporttiin, joka koskee kyberturvallisuuden yhdenmukaistamista liittohallitukselle ja EU:n direktiiviä 2022/2555 toimenpiteistä kyberturvallisuuden korkean tason varmistamiseksi koko unionissa (NIS2-direktiivi) määrittämällä tärkeimmät yhtäläisyydet ja erot. Tässä kertomuksessa esitetyt havainnot auttavat tiedottamaan CONNECT-pääosaston ja DHS:n lähestymistavasta verkkopoikkeamien raportointiprosessien arviointiin tulevaisuudessa. Raportissa yksilöidään kuusi keskeistä osa-aluetta DHS:n raportin ja EU:n direktiivin välistä vertailevaa analyysia varten. Niitä ovat muun muassa seuraavat: I) määritelmät ja raportointikynnykset, ii) kyberpoikkeamista koskevien ilmoitusten aikataulut, laukaisimet ja tyypit, iii) kyberpoikkeamia koskevien ilmoitusten sisältö, iv) raportointimekanismit, v) poikkeamia koskevien tietojen yhdistäminen ja vi) kyberpoikkeamia koskevien tietojen julkistaminen.
Kyberpoikkeamissa ei tunnusteta rajoja, ja monikansallisten yritysten on usein raportoitava poikkeamista useilla lainkäyttöalueilla. Olemme sitoutuneet yhdenmukaistamaan vaaratilanteista ilmoittamista koskevat säännöt kotimaassa ja samanmielisten kumppanien, kuten Euroopan unionin, kanssa aina kun se on mahdollista. Lähestymistapamme antaa valtion viranomaisille mahdollisuuden saada tietoverkkopuolustusta varten tarvitsemansa tiedot ja samalla virtaviivaistaa uhrijärjestöjen prosessia.
sanoi Robert Silvers, DHS:n politiikasta vastaava valtiosihteeri ja Cyber Incident Reporting Councilin puheenjohtaja.
Atlantin yli pyrimme yhdessä vertailemaan asiaankuuluvia raportointivaatimuksia, mukaan lukien pyydettyjen tietojen muoto tai muoto, joilla pyritään minimoimaan raportoiville yhteisöille aiheutuva hallinnollinen taakka.
sanoi Roberto Viola, viestintäverkkojen, sisältöjen ja teknologian pääosaston pääjohtaja
Tämä aloite – joka on yhdenmukainen sisäisen turvallisuuden sihteerin Alejandro N. Mayorkasin ja sisämarkkinoista vastaavan komission jäsenen Thierry Bretonin vuoden 2024 yhteisen julkilausuman kanssa – merkitsee prosessin aloittamista transatlanttisten kyberpoikkeamien raportoinnin yhdenmukaistamiseksi mahdollisuuksien mukaan. DHS ja CONNECT-pääosasto pyytävät teollisuutta sekä Yhdysvalloista että EU:sta jakamaan panoksensa ja reaktionsa yhteiseen yhteistyöhön ja lähestymistapaan kyberpoikkeamien raportointiprosessien arvioimiseksi.
Tämä ala on kriittinen, koska asianomaisten viranomaisten on voitava saada tietoa tietoverkkopoikkeamista, jotka vaikuttavat niiden kansalaisiin tai aiheuttavat muuten turvallisuusongelmia. Lisäksi tunnustamme, että sekä Yhdysvallat että Euroopan unioni jatkavat seuraavien kuukausien aikana työtä pakollisten raportointijärjestelmien täytäntöönpanemiseksi muun muassa panemalla täytäntöön tarkempia säännöksiä poikkeamien ilmoittamisprosessista, raporttien sisällöstä ja määräajoista. On tärkeää pysyä yhteydessä näihin kysymyksiin ja sovittaa ne mahdollisuuksien mukaan yhteen.
lisätty Lorena Boix Alonso, digitaalisesta yhteiskunnasta, luottamuksesta ja kyberturvallisuudesta vastaava komission johtaja
Seuraavan vuoden aikana tiimimme aikovat jatkaa yhteistyötämme teknisemmällä tasolla muun muassa kartoittamalla kyberturvallisuuspoikkeamien taksonomioita, raportointimalleja sekä raporttien ja formaattien sisältöä. Suoritamme DHS:n kehittämän malliraportointilomakkeen syvällisen risteyksen suhteessa NIS 2 -raporttien vaadittuun sisältöön sen selvittämiseksi, missä on päällekkäisyyksiä ja eroja pyydettyjen tietojen tyypeissä. Kun jatkamme näitä ponnisteluja eteenpäin, meidän on pysyttävä ketterinä ja mukauduttava nopeasti kehittyvään kyberuhkaympäristöön, koska mikään ei pysy staattisena digitaalisessa maailmassamme pitkään.
Iranga Kahangama, DHS:n apulaissihteeri kyberturvallisuudesta, infrastruktuurista, riskeistä ja häiriönsietokyvystä.
Presidentti Bidenin vuonna 2022 allekirjoittama Cyber Incident Reporting for Critical Infrastructure Act (Circia) perusti Cyber Incident Reporting Councilin (CIRC), jota DHS johtaa koordinoimaan, purkamaan ja yhdenmukaistamaan liittovaltion poikkeamien raportointivaatimuksia, mukaan lukien säännöt. Vuonna 2023 DHS toimitti kongressille raportin, joka sisälsi neuvoston suosituksia kyberhäiriöiden yhdenmukaistamisesta liittovaltion hallitukselle.
Verkko- ja tietoturvadirektiivi tuli voimaan tammikuussa 2023, jolloin EU:n jäsenvaltioilla oli 21 kuukautta aikaa saattaa se osaksi kansallista lainsäädäntöään. Verkko- ja tietoturvadirektiivi perustuu sen edeltäjän direktiivin (EU) 2016/1148 vaatimuksiin, jotka koskevat toimenpiteitä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (verkko- ja tietoturvadirektiivi), joka on ollut voimassa vuodesta 2016, mutta se nostaa EU:n yhteistä tavoitetasoa kyberturvallisuuden alalla laajemman soveltamisalan, selkeämpien sääntöjen ja vahvempien valvontavälineiden avulla. NIS2-direktiivillä yhdenmukaistetaan, lujitetaan ja virtaviivaistetaan turvallisuus- ja poikkeamien raportointivaatimuksia useammille tahoille, jotka ovat ratkaisevan tärkeitä Euroopan talouden ja yhteiskunnan kannalta.
Related content
Policy and legislation | 20 maaliskuuta 2024
Sisäisen turvallisuuden ministeriö ja Euroopan komission CONNECT-pääosasto julkaisevat tämän yhteisen raportin, jossa yksilöidään tärkeimmät samankaltaisuudet ja eroavaisuudet, jotta voidaan tiedottaa kriittisiä infrastruktuureja koskevan vuoden 2022 lain ja kyberturvallisuuden korkeasta tasosta kaikkialla unionissa annetun EU:n direktiivin (NIS 2 -direktiivi) meneillään olevasta täytäntöönpanosta ja tukea useilla lainkäyttöalueilla toimivia yhteisöjä niiden pyrkimyksissä vastata kyberpoikkeamiin.