DHS i DG CONNECT ogłaszają inicjatywę porównującą zgłaszanie incydentów cybernetycznych w celu lepszego dostosowania podejść transatlantyckich

Dyrekcja Generalna Komisji Europejskiej ds. Komunikacji, Sieci, Treści i Technologii (DG CONNECT) oraz Departament Bezpieczeństwa Wewnętrznego USA (DHS) ogłosiły inicjatywę mającą na celu porównanie elementów zgłaszania incydentów cybernetycznych, które będą informować o wymogach dotyczących zgłaszania incydentów cybernetycznych przez Stany Zjednoczone i Unię Europejską (UE) na mocy dyrektywy NIS 2. Ta transatlantyckia współpraca między UE a USA opiera się na ich wysiłkach na rzecz zabezpieczenia swoich obywateli, infrastruktury krytycznej i przedsiębiorstw przed szkodliwymi działaniami cybernetycznymi. 

Wspólne sprawozdanie opracowane przez DG CONNECT i DHS, przy wsparciu ich odpowiednich agencji ds. cyberbezpieczeństwa, Europejskiej Agencji ds. Cyberbezpieczeństwa (ENISA) i Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), zawiera ocenę porównawczą i faktyczny przegląd zaleceń amerykańskiej Rady ds. Zgłaszania Cyberincydentów oraz sprawozdania DHS z 2023 r. w sprawie harmonizacji zgłaszania incydentów cybernetycznych dla rządu federalnego i unijnej dyrektywy 2022/2555 w sprawie środków na rzecz wysokiego poziomu cyberbezpieczeństwa w całej Unii (dyrektywa NIS2) poprzez określenie głównych podobieństw i rozbieżności. Ustalenia zawarte w niniejszym sprawozdaniu pomogą poinformować DG CONNECT i DHS o podejściu do oceny procesów zgłaszania incydentów cybernetycznych w przyszłości. W sprawozdaniu określono sześć głównych obszarów analizy porównawczej między sprawozdaniem DHS a dyrektywą UE, w tym: (i) definicje i progi zgłaszania incydentów, (ii) harmonogramy, wyzwalacze i rodzaje zgłaszania incydentów cybernetycznych, (iii) treść zgłoszeń o cyberincydentach, (iv) mechanizmy zgłaszania, (v) agregacja danych dotyczących incydentów oraz (vi) publiczne ujawnianie informacji o cyberincydentach. 

Cyberincydenty nie uznają granic, a przedsiębiorstwa wielonarodowe są często zobowiązane do zgłaszania incydentów w wielu jurysdykcjach. Zobowiązujemy się do harmonizacji przepisów dotyczących zgłaszania incydentów na szczeblu krajowym i z partnerami o podobnych poglądach, takimi jak Unia Europejska, gdy jest to możliwe. Nasze podejście pozwoli władzom rządowym uzyskać informacje potrzebne do zapewnienia cyberobrony przy jednoczesnym usprawnieniu procesu dla organizacji będących ofiarami.

Robert Silvers, podsekretarz ds. polityki i przewodniczący Rady ds. 

Na całym Atlantyku dążymy do współpracy w celu porównania odpowiednich wymogów w zakresie sprawozdawczości, w tym formy lub formatu żądanych informacji, w celu znalezienia sposobów zminimalizowania obciążeń administracyjnych spoczywających na jednostkach sprawozdawczych,

Roberto Viola, dyrektor generalny KE ds. sieci komunikacyjnych, treści i technologii 

Inicjatywa ta – zgodna ze wspólnym oświadczeniem sekretarza bezpieczeństwa wewnętrznego Alejandro N. Mayorkasa i komisarza ds. rynku wewnętrznego Thierry’ego Bretona z 2024 r. – stanowi początek procesu dostosowywania transatlantyckiego zgłaszania incydentów cybernetycznych tam, gdzie jest to możliwe. DHS i DG CONNECT zapraszają przemysł z USA i UE do podzielenia się swoimi uwagami i reakcjami na naszą wspólną współpracę i podejście do oceny procesów zgłaszania incydentów cybernetycznych. 

Ta dziedzina ma kluczowe znaczenie, ponieważ właściwe organy rządowe muszą mieć dostęp do informacji o cyberincydentach, które mają wpływ na ich obywateli lub w inny sposób budzą obawy dotyczące bezpieczeństwa i ochrony. Ponadto zdajemy sobie sprawę, że w ciągu najbliższych miesięcy zarówno Stany Zjednoczone, jak i Unia Europejska będą kontynuować prace nad wprowadzeniem w życie obowiązkowych systemów zgłaszania, w tym poprzez wdrożenie bardziej precyzyjnych przepisów dotyczących procesu zgłaszania incydentów, treści zgłoszeń i terminów. Ważne jest, aby pozostać w kontakcie w tych kwestiach i dostosowywać się tam, gdzie to możliwe.

Lorena Boix Alonso, dyrektor KE ds. społeczeństwa cyfrowego, zaufania i cyberbezpieczeństwa

W przyszłym roku nasze zespoły planują kontynuować współpracę na poziomie bardziej technicznym, w tym poprzez mapowanie elementów takich jak taksonomie dotyczące incydentów cyberbezpieczeństwa, szablony sprawozdawcze oraz treść raportów i formatów. Przeprowadzimy dogłębny spacer po opracowanym przez DHS Modelowym Formularzu Sprawozdawczości wobec wymaganej zawartości raportów NIS 2, aby określić, gdzie występują nakładanie się i różnice w typach danych, które są wymagane. Kontynuując te wysiłki, musimy zachować zwinność i dostosować się do szybko zmieniającego się krajobrazu cyberzagrożeń, ponieważ nic nie pozostaje statyczne w naszym cyfrowym świecie przez długi czas.

Iranga Kahangama, zastępca sekretarza DHS ds. cyberbezpieczeństwa, infrastruktury, ryzyka i odporności.

Ustawa o cyberincydentach dla infrastruktury krytycznej (Circia), podpisana przez prezydenta Bidena w 2022 r., ustanowiła Radę ds. W 2023 r. DHS przedstawiła Kongresowi sprawozdanie zawierające zalecenia Rady zatytułowane Harmonizacja zgłaszania incydentów cybernetycznych rządowi federalnemu.

W styczniu 2023 r. weszła w życie dyrektywa NIS2, dając państwom członkowskim UE 21 miesięcy na jej transpozycję do prawa krajowego. Dyrektywa w sprawie bezpieczeństwa sieci i informacji opiera się na wymaganiach poprzedniej dyrektywy (UE) 2016/1148 dotyczących środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii (dyrektywa w sprawie bezpieczeństwa sieci i informacji), obowiązującej od 2016 r., ale podnosi ona wspólny poziom ambicji UE w zakresie bezpieczeństwa cybernetycznego dzięki szerszemu zakresowi, jaśniejszym przepisom i wzmocnionym narzędziom nadzoru. Dyrektywa NIS2 harmonizuje, wzmacnia i usprawnia wymogi w zakresie bezpieczeństwa i zgłaszania incydentów w odniesieniu do większej liczby podmiotów, które mają kluczowe znaczenie dla europejskiej gospodarki i społeczeństwa.