SecurityWorldMarket

2024-08-26

Amerikanska företag kritiska till regeringsförslag om cybersäkerhet

Stark amerikansk företagskritik mot rapporteringslagförslag för cyberincidenter

Amerikanska företag som bedöms vara del av landets kritiska infrastruktur är kritiska till ett framlagt regeringsförslaget som avser cybersäkerhet, skriver Wall Street Journal.

Amerikanska företag som klassificeras som del av landets kritiska infrastruktur uppmanade den amerikanska regeringen att omarbeta sina regler för rapportering av cyberattacker. De hävdar att det föreslagna federala lagförslaget är förvirrande, alltför omfattande och ofta duplicerar redan befintliga regler.

De föreslagna reglerna från ’Cybersecurity and Infrastructure Security Agency’ (CISA), som publicerades i våras, skulle kräva att företag som hanterar kritisk infrastruktur rapporterar betydande cybersäkerhetsincidenter inom 72 timmar och eventuella lösensummebetalningar inom 24 timmar.

Utveckling av tidigare rapporteringslag

CISA:s förslag är en utveckling av Cyber Incident Reporting For Critical Infrastructure Act (CIRCIA) som kongressen antog 2022 med syfte att ge regeringen insyn i attacker inom olika branscher. I närmare 300 brev som skickats från företag, lagstiftare och branschorganisationer sas till myndigheten att reglerna var så omfattande att det är oklart vad som utgör en rapporteringspliktig attack.

Olika synpunkter

Finansiella branschorganisationer sade att termen "betydande cyberincident" är så löst definierad att CISA riskerar att bli överväldigad av rapporter om relativt smärre incidenter – detta eftersom deras medlemmar sannolikt kommer att vara överdrivet regelnoggranna och rapportera alltför mycket.

Lobbygrupperna, som inkluderar Securities Industry and Financial Markets Association, American Bankers Association, Bank Policy Institute och Institute of International Bankers, uppmanade också myndigheten i ett gemensamt brev att klargöra hur reglerna skulle påverka företag när deras leverantörer drabbas av driftstopp på grund av en cyberattack och skyldigheterna för medlemmarnas internationella dotterbolag.

— De föreslagna reglerna kommer, i sin nuvarande form, också att läggas till ett överdrivet betungande krav på en redan omfattande incidentrapportering, sade grupperna.

Ytterligare förvirring finns även kring börsnoterade företag, som också måste rapportera cyberincidenter till Securities and Exchange Commission (SEC), med märkbart olika krav än CIRCIA. Enligt SEC:s regler måste företag rapportera en incident fyra dagar efter att de bedömt att det sannolikt kommer att ha en materiell inverkan på verksamheten, och detta måste göras offentligt.


Taggar


Leverantörer
Till toppen av sidan