Astăzi, Direcția Generală Comunicații, Rețele, Conținut și Tehnologie a Comisiei Europene (DG CONNECT) și Departamentul pentru Securitate Internă al SUA (DHS) au anunțat o inițiativă de comparare a elementelor de raportare a incidentelor cibernetice care vor informa cerințele de raportare a incidentelor cibernetice de către SUA și Uniunea Europeană (UE) în temeiul Directivei NIS 2. Această colaborare transatlantică dintre UE și SUA se bazează pe eforturile lor de a-și asigura cetățenii, infrastructura critică și întreprinderile împotriva activităților cibernetice dăunătoare.
Raportul comun elaborat de DG CONNECT și DHS, cu sprijinul agențiilor lor de securitate cibernetică, al Agenției Europene pentru Securitate Cibernetică (ENISA) și al Agenției pentru Securitatea Cibernetică și Securitatea Infrastructurii (CISA), oferă o evaluare comparativă și o imagine de ansamblu factuală a recomandărilor Consiliului pentru raportarea incidentelor cibernetice din SUA și ale Raportului DHS din 2023 privind armonizarea raportării incidentelor cibernetice către guvernul federal și a Directivei UE 2022/2555 privind măsurile pentru un nivel ridicat de securitate cibernetică în întreaga Uniune (Directiva NIS2), prin identificarea principalelor asemănări și divergențe. Constatările din prezentul raport vor contribui la informarea abordării DG CONNECT și DHS în ceea ce privește evaluarea proceselor de raportare a incidentelor cibernetice în viitor. Raportul identifică șase domenii principale de analiză comparativă între raportul DHS și directiva UE, inclusiv: (i) definițiile și pragurile de raportare, (ii) termenele, factorii declanșatori și tipurile de raportare a incidentelor cibernetice, (iii) conținutul rapoartelor privind incidentele cibernetice, (iv) mecanismele de raportare, (v) agregarea datelor privind incidentele și (vi) divulgarea publică a informațiilor privind incidentele cibernetice.
Incidentele cibernetice nu recunosc frontierele, iar companiile multinaționale sunt adesea obligate să raporteze incidente în numeroase jurisdicții. Ne angajăm să armonizăm normele de raportare a incidentelor la nivel național și cu parteneri care împărtășesc aceeași viziune, cum ar fi Uniunea Europeană, ori de câte ori acest lucru este fezabil. Abordarea noastră va permite autorităților guvernamentale să obțină informațiile de care au nevoie pentru a oferi apărare cibernetică, eficientizând în același timp procesul pentru organizațiile victimelor.
a declarat Robert Silvers, Subsecretar pentru Politici al DHS și președinte al Consiliului de Raportare a Incidentelor Cibernetice.
De-a lungul Atlanticului, încercăm să colaborăm pentru a compara cerințele de raportare relevante, inclusiv forma sau formatul informațiilor solicitate, căutând modalități de a reduce la minimum sarcina administrativă asupra entităților raportoare.
a declarat Roberto Viola, director general al CE pentru rețele de comunicații, conținut și tehnologie
Această inițiativă – care se aliniază Declarației comune din 2024 a secretarului pentru securitate internă Alejandro N. Mayorkas și comisarul european pentru piața internă Thierry Breton – marchează începutul unui proces de aliniere a raportării transatlantice a incidentelor cibernetice acolo unde este posibil. DHS & DG CONNECT invită industria atât din SUA, cât și din UE să își împărtășească contribuțiile și reacțiile la colaborarea și abordarea noastră comună în ceea ce privește evaluarea proceselor de raportare a incidentelor cibernetice.
Acest domeniu este esențial, deoarece autoritățile guvernamentale relevante trebuie să aibă acces la informații despre incidentele cibernetice care le afectează cetățenii sau care ridică în alt mod probleme de siguranță și securitate. În plus, recunoaștem că, în următoarele luni, atât Statele Unite, cât și Uniunea Europeană vor continua activitatea de punere în aplicare a regimurilor de raportare obligatorie, inclusiv prin punerea în aplicare a unor dispoziții mai precise privind procesul de raportare a incidentelor, conținutul rapoartelor și termenele. Este important să rămânem conectați la aceste aspecte și să ne aliniem acolo unde este posibil.
a fost adăugată Lorena Boix Alonso, directoarea CE pentru societatea digitală, încredere și securitate cibernetică
Pe parcursul anului viitor, echipele noastre intenționează să continue cooperarea la un nivel mai tehnic, inclusiv prin cartografierea elementelor precum taxonomiile incidentelor de securitate cibernetică, modelele de raportare și conținutul rapoartelor și formatelor. Vom efectua o trecere aprofundată a formularului de raportare model dezvoltat de DHS împotriva conținutului rapoartelor NIS 2 necesare pentru a identifica unde există suprapuneri și disparități în ceea ce privește tipurile de date solicitate. Pe măsură ce continuăm aceste eforturi, trebuie să rămânem agili și să ne adaptăm la peisajul amenințărilor cibernetice care evoluează rapid, deoarece nimic nu rămâne static în lumea noastră digitală pentru mult timp.
a declarat Iranga Kahangama, secretar adjunct al DHS pentru Cibernetică, Infrastructură, Risc și Reziliență.
Legea privind raportarea incidentelor cibernetice pentru infrastructura critică (Circia), semnată de președintele Biden în 2022, a instituit Consiliul de Raportare a Incidentelor Cibernetice (CIRC), condus de DHS pentru a „coordona, deconflict și armoniza cerințele federale de raportare a incidentelor, inclusiv cele emise prin reglementări.” CIRC, care este prezidat de DHS și include reprezentarea a peste 30 de agenții, a prezentat o serie de recomandări privind modul în care guvernul SUA poate raționaliza și armoniza raportarea incidentelor cibernetice pentru a proteja mai bine infrastructura critică a națiunii. În 2023, DHS a prezentat Congresului un raport care include recomandările Consiliului intitulat Armonizarea raportării incidentelor cibernetice către guvernul federal.
În ianuarie 2023, Directiva NIS2 a intrat în vigoare, oferind statelor membre ale UE 21 de luni pentru a o transpune în legislația națională. Directiva NIS2 se bazează pe cerințele anterioare ale Directivei (UE) 2016/1148 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune (Directiva NIS), în vigoare din 2016, dar ridică nivelul comun de ambiție al UE în materie de securitate cibernetică, printr-un domeniu de aplicare mai larg, norme mai clare și instrumente de supraveghere mai stricte. Directiva NIS2 armonizează, consolidează și raționalizează cerințele de securitate și de raportare a incidentelor pentru un număr mai mare de entități, care sunt esențiale pentru economia și societatea europeană.
Related content
Policy and legislation | 20 Martie 2024
Pentru a informa punerea în aplicare în curs a Legii privind raportarea incidentelor cibernetice pentru infrastructura critică din 2022 și a Directivei UE privind un nivel ridicat de securitate cibernetică în întreaga Uniune (Directiva NIS 2) de către autoritățile respective și pentru a sprijini entitățile active în mai multe jurisdicții în eforturile lor de a răspunde incidentelor cibernetice, Departamentul pentru Securitate Internă (DHS) și DG CONNECT a Comisiei Europene publică prezentul raport comun care identifică principalele asemănări și divergențe.