DHS och GD CONNECT tillkännager initiativ som jämför rapportering av cyberincidenter för att bättre anpassa de transatlantiska strategierna

I dag tillkännagav Europeiska kommissionens generaldirektorat för kommunikation, nätverk, innehåll och teknik (GD CONNECT) och USA:s Department of Homeland Security (DHS) ett initiativ för att jämföra rapporteringselement för cyberincidenter som kommer att ligga till grund för kraven på rapportering av cyberincidenter från USA och Europeiska unionen (EU) enligt NIS 2-direktivet. Detta transatlantiska samarbete mellan EU och USA bygger på deras insatser för att säkra deras befolkning, kritisk infrastruktur och företag mot skadlig it-verksamhet. 

Den gemensamma rapport som utarbetats av GD CONNECT och DHS, med stöd från deras respektive cybersäkerhetsbyråer, Europeiska byrån för cybersäkerhet (Enisa) och byrån för cybersäkerhet och infrastruktursäkerhet (CISA), ger en jämförande bedömning och en faktaöversikt över rekommendationerna från U.S. Cyberincident Reporting Council och 2023 års DHS -rapport om harmonisering av cyberincidentrapportering till den federala regeringen och EU:s direktiv 2022/2555 om åtgärder för hög cybersäkerhet i hela unionen (NIS2-direktivet) genom att identifiera de viktigaste likheterna och skillnaderna. Resultaten i denna rapport kommer att bidra till att informera GD CONNECT och DHS tillvägagångssätt för att utvärdera processer för rapportering av cyberincidenter i framtiden. I rapporten identifieras sex huvudområden för jämförande analys mellan DHS-rapporten och EU:s direktiv, bland annat följande: i) definitioner och rapporteringströsklar, ii) tidsplaner, utlösare och typer av rapportering av cyberincidenter, iii) innehåll i cyberincidentrapporter, iv) rapporteringsmekanismer, v) aggregering av incidentdata och vi) offentliggörande av information till cyberincidenter. 

Cyberincidenter känner inte igen gränser och multinationella företag är ofta skyldiga att rapportera incidenter i många jurisdiktioner. Vi är fast beslutna att harmonisera reglerna för rapportering av incidenter inom landet och med likasinnade partner som Europeiska unionen när så är möjligt. Vårt tillvägagångssätt kommer att göra det möjligt för statliga myndigheter att få den information de behöver för att tillhandahålla cyberförsvar samtidigt som processen för brottsofferorganisationer effektiviseras.

sade Robert Silvers, DHS under sekreterare för politik och ordförande för Cyber Incident Reporting Council. 

Över Atlanten strävar vi efter att arbeta tillsammans för att jämföra relevanta rapporteringskrav, inklusive formen eller formatet för den information som efterfrågas för att minimera den administrativa bördan för rapporterande enheter.

Roberto Viola, kommissionens generaldirektör för kommunikationsnät, innehåll och teknik 

Detta initiativ – som ligger i linje med det gemensamma uttalandet från 2024 mellan sekreteraren för inrikes säkerhet Alejandro N. Mayorkas och kommissionsledamoten med ansvar för den inre marknaden Thierry Breton – markerar början på en process för att anpassa rapporteringen av transatlantiska it-incidenter där så är möjligt. DHS & GD CONNECT uppmanar industrin från både USA och EU att dela med sig av sina synpunkter och reaktioner på vårt gemensamma samarbete och vår strategi för att utvärdera rapporteringsprocesser för cyberincidenter. 

Detta område är av avgörande betydelse eftersom relevanta statliga myndigheter måste ha tillgång till information om cyberincidenter som påverkar deras medborgare eller på annat sätt väcker säkerhets- och säkerhetsfrågor. Dessutom erkänner vi att både Förenta staterna och Europeiska unionen under de kommande månaderna kommer att fortsätta arbetet med att genomföra obligatoriska rapporteringssystem, bland annat genom att införa mer exakta bestämmelser om processen för incidentrapportering, rapporternas innehåll och tidsfrister. Det är viktigt att hålla kontakten med dessa frågor och anpassa sig där det är möjligt.

Lorena Boix Alonso, EC Director för Digital Society, Trust and Cybersecurity

Under det kommande året planerar våra team att fortsätta vårt samarbete på en mer teknisk nivå, bland annat genom att kartlägga element som cybersäkerhetsincidenttaxonomier, rapporteringsmallar och innehållet i rapporter och format. Vi kommer att genomföra en djupgående korsning av DHS-utvecklade modellrapporteringsformuläret mot NIS 2 som krävs för att identifiera var det finns överlappningar och skillnader i de typer av data som begärs. När vi fortsätter dessa ansträngningar måste vi vara flexibla och anpassa oss till det snabbt föränderliga cyberhotlandskapet eftersom ingenting förblir statiskt i vår digitala värld under lång tid.

Iranga Kahangama, DHS biträdande sekreterare för cyber, infrastruktur, risk och resiliens.

Cyber Incident Reporting for Critical Infrastructure Act (Circia), som undertecknades i lag av president Biden 2022, inrättade Cyber Incident Reporting Council (CIRC), som leds av DHS för att ”samordna, deconflict, och harmonisera federala rapporteringskrav, inklusive de som utfärdas genom förordningar.” CIRC, som leds av DHS och omfattar representation från mer än 30 byråer, skisserade en rad genomförbara rekommendationer om hur den amerikanska regeringen kan effektivisera och harmonisera rapporteringen av cyberincidenter för att bättre skydda landets kritiska infrastruktur. År 2023 lämnade DHS en rapport till kongressen med rekommendationer från rådet med titeln Harmonization of Cyber Incident Reporting to the Federal Government.

I januari 2023 trädde NIS2-direktivet i kraft, vilket gav EU:s medlemsstater 21 månader på sig att införliva det i nationell lagstiftning. NIS2-direktivet bygger på kraven i dess föregångare, direktiv (EU) 2016/1148, om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet), som är i kraft sedan 2016, men höjer EU:s gemensamma ambitionsnivå för it-säkerhet genom ett bredare tillämpningsområde, tydligare regler och starkare tillsynsverktyg. NIS2-direktivet harmoniserar, stärker och effektiviserar säkerhets- och incidentrapporteringskraven för ett större antal enheter, som är avgörande för den europeiska ekonomin och det europeiska samhället.