SecurityWorldMarket

27-08-2024

Amerikanske virksomheder kritiske over for regeringsforslag om cybersikkerhed

En række store amerikanske virksomheder, der vurderes at være en del af landets kritiske infrastruktur, er ifølge Wall Street Journal kritiske over for et fremlagt regeringsforslag vedrørende cybersikkerhed. Virksomhederne har opfordret den amerikanske regering til at revidere sine regler for rapportering af cyberangreb. Det foreslåede føderale lovforslag er ifølge kritikerne forvirrende, alt for omfattende og ofte overlappende med allerede eksisterende regler.

De foreslåede regler fra ’Cybersecurity and Infrastructure Security Agency’ (CISA), som blev offentliggjort i foråret, kræver, at virksomheder, der håndterer kritisk infrastruktur, rapporterer betydelige cybersikkerhedshændelser inden for 72 timer og eventuelle løsesumsbetalinger inden for 24 timer.

CISA’s forslag er en videreudvikling af Cyber Incident Reporting For Critical Infrastructure Act (CIRCIA), som kongressen vedtog i 2022 med det formål at give regeringen indsigt i angreb på tværs af forskellige brancher. I næsten 300 breve fra virksomheder, lovgivere og brancheorganisationer har myndighederne fået vide, at reglerne er så omfattende, at det er uklart, hvad der udgør et rapporteringspligtigt angreb.

Finansielle brancheorganisationer påpeger, at begrebet "betydelig cyberhændelse" er så løst defineret, at CISA risikerer at blive overvældet af rapporter om relativt mindre hændelser – da deres medlemmer sandsynligvis vil være overdrevent omhyggelige og rapportere for meget.

Lobbygrupperne, som inkluderer Securities Industry and Financial Markets Association, American Bankers Association, Bank Policy Institute og Institute of International Bankers, har endvidere i et fælles brev opfordret myndighederne til at præcisere, hvordan reglerne vil påvirke virksomheder, når deres leverandører rammes af nedbrud på grund af et cyberangreb, samt ansvaret for medlemmernes internationale datterselskaber.

— De foreslåede regler vil i deres nuværende form også pålægge en allerede omfattende incidentrapportering et alt for byrdefuldt krav, mener kritikerne.

Der er også yderligere forvirring for børsnoterede virksomheder, som også skal rapportere cyberhændelser til Securities and Exchange Commission (SEC), hvor kravene adskiller sig markant fra CIRCIA. Ifølge SEC's regler skal virksomheder rapportere en hændelse fire dage efter, at de har vurderet, at den sandsynligvis vil have en væsentlig indvirkning på driften, og dette skal gøres offentligt.



Leverandører
Tilbage til toppen