MDV in GD CONNECT napovedujeta pobudo za primerjavo poročanja o kibernetskih incidentih za boljšo uskladitev čezatlantskih pristopov

Generalni direktorat Evropske komisije za komunikacije, omrežja, vsebine in tehnologijo (GD CONNECT) in Ministrstvo za domovinsko varnost ZDA (DHS) sta danes napovedala pobudo za primerjavo elementov poročanja o kibernetskih incidentih, ki bodo podlaga za zahteve ZDA glede poročanja o kibernetskih incidentih in Evropske unije (EU) v skladu z direktivo o varnosti omrežij in informacij 2. Čezatlantsko sodelovanje med EU in ZDA temelji na njihovih prizadevanjih za zaščito svojih ljudi, kritične infrastrukture in podjetij pred škodljivimi kibernetskimi dejavnostmi. 

Skupno poročilo, ki sta ga pripravila GD CONNECT in MDV ob podpori njunih agencij za kibernetsko varnost, Evropske agencije za kibernetsko varnost (ENISA) ter Agencije za kibernetsko varnost in varnost infrastrukture (CISA), zagotavlja primerjalno oceno in dejanski pregled priporočil ameriškega sveta za poročanje o kibernetskih incidentih ter poročila ministrstva za zdravje iz leta 2023 o usklajevanju poročanja o kibernetskih incidentih zvezni vladi in Direktivi EU 2022/2555 o ukrepih za visoko raven kibernetske varnosti v Uniji (direktiva o kibernetski varnosti 2) z opredelitvijo glavnih podobnosti in razlik. Ugotovitve iz tega poročila bodo v pomoč pri obveščanju GD CONNECT in pristopa MDV k ocenjevanju postopkov poročanja o kibernetskih incidentih v prihodnosti. Poročilo opredeljuje šest glavnih področij za primerjalno analizo med poročilom MDV in direktivo EU, med drugim: (I) opredelitve pojmov in pragov za poročanje, (ii) pravočasnost, sprožilci in vrste poročanja o kibernetskih incidentih, (iii) vsebina poročil o kibernetskih incidentih, (iv) mehanizmi poročanja, (v) združevanje podatkov o incidentih in (vi) javno razkritje informacij o kibernetskih incidentih. 

Kibernetski incidenti ne priznavajo meja, multinacionalna podjetja pa morajo pogosto poročati o incidentih v številnih jurisdikcijah. Zavezani smo k uskladitvi pravil o poročanju o incidentih doma in s podobno mislečimi partnerji, kot je Evropska unija, kadar je to izvedljivo. Naš pristop bo vladnim organom omogočil, da dobijo informacije, ki jih potrebujejo za zagotavljanje kibernetske obrambe, hkrati pa racionalizirajo postopek za organizacije žrtev,

Robert Silvers, podsekretar za politiko in predsednik sveta za poročanje o kibernetskih incidentih. 

Po vsem Atlantskem oceanu si prizadevamo za sodelovanje pri primerjavi ustreznih zahtev glede poročanja, vključno z obliko ali obliko zahtevanih informacij, ki iščejo načine za zmanjšanje upravnega bremena za poročevalske subjekte,

Roberto Viola, generalni direktor Evropske komisije za komunikacijska omrežja, vsebine in tehnologijo 

Ta pobuda, ki je v skladu s skupno izjavo ministra za domovinsko varnost Alejandra N. Mayorkasa in evropskega komisarja za notranji trg Thierryja Bretona iz leta 2024, označuje začetek procesa za uskladitev poročanja o čezatlantskih kibernetskih incidentih, kjer je to izvedljivo. DHS in GD CONNECT pozivata industrijo iz ZDA in EU, naj delita svoje prispevke in odzive na naše skupno sodelovanje in pristop k ocenjevanju postopkov poročanja o kibernetskih incidentih. 

To področje je ključnega pomena, saj morajo imeti ustrezni vladni organi dostop do informacij o kibernetskih incidentih, ki vplivajo na njihove državljane ali kako drugače vzbujajo pomisleke glede varnosti in zaščite. Poleg tega priznavamo, da si bosta ZDA in Evropska unija v naslednjih mesecih še naprej prizadevali za uveljavitev sistemov obveznega poročanja, vključno z izvajanjem natančnejših določb o postopku poročanja o incidentih, vsebini poročil in rokih. Pomembno je, da ostanete povezani s temi vprašanji in se po možnosti uskladite.

Lorena Boix Alonso, direktorica Evropske komisije za digitalno družbo, zaupanje in kibernetsko varnost

V naslednjem letu naše ekipe načrtujejo nadaljnje sodelovanje na bolj tehnični ravni, vključno z evidentiranjem elementov, kot so taksonomije incidentov na področju kibernetske varnosti, predloge za poročanje ter vsebina poročil in oblik. Izvedli bomo poglobljen prehod vzorčnega obrazca za poročanje, ki ga je razvila MDV, glede na zahtevano vsebino poročil NIS 2, da bi ugotovili, kje se prekrivajo in razlikujejo vrste zahtevanih podatkov. Ko nadaljujemo s temi prizadevanji, moramo ostati prožni in se prilagajati hitro razvijajočim se kibernetskim grožnjam, saj v digitalnem svetu nič dolgo ne ostane statično.

Iranga Kahangama, pomočnik sekretarja DHS za kibernetsko varnost, infrastrukturo, tveganje in odpornost.

Z zakonom o poročanju o kibernetskih incidentih za kritično infrastrukturo (Circia), ki ga je leta 2022 podpisal predsednik Biden, je bil ustanovljen svet za poročanje o kibernetskih incidentih (CIRC), ki ga vodi MDV za „usklajevanje, odpravljanje konfliktov in harmonizacijo zveznih zahtev glede poročanja o incidentih, vključno s tistimi, ki se izdajajo s predpisi.“ CIRC, ki mu predseduje MDV in vključuje predstavnike več kot 30 agencij, je predstavil vrsto izvedljivih priporočil o tem, kako lahko vlada ZDA racionalizira in uskladi poročanje o kibernetskih incidentih, da bi bolje zaščitila kritično infrastrukturo države. MDV je leta 2023 kongresu predložila poročilo, vključno s priporočili Sveta z naslovom Usklajevanje poročanja o kibernetskih incidentih zvezni vladi.

Januarja 2023 je začela veljati direktiva o varnosti omrežij in informacij, ki državam članicam EU daje 21 mesecev, da jo prenesejo v nacionalno zakonodajo. Direktiva o varnosti omrežij in informacijskih sistemov temelji na zahtevah iz njene predhodne Direktive (EU) 2016/1148 v zvezi z ukrepi za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (direktiva o varnosti omrežij in informacijskih sistemov), ki velja od leta 2016, vendar povečuje skupno raven ambicij EU na področju kibernetske varnosti s širšim področjem uporabe, jasnejšimi pravili in močnejšimi orodji za nadzor. Direktiva VOIS2 usklajuje, krepi in racionalizira zahteve glede varnosti in poročanja o incidentih za večje število subjektov, ki so ključni za evropsko gospodarstvo in družbo.