Grupa finansijskih organizacija poslala je otvoreno pismo američkoj agenciji za sajber bezbjednost CISA, pozivajući je da poništi i ponovo objavi predloženu implementaciju Zakona o izvještavanju o sajber incidentima za kritičnu infrastrukturu iz 2022. (CIRCIA).
CIRCIA, koji je potpisan u martu 2022., zahtijeva od obuhvaćenih subjekata da prijave svaki veći incident u vezi s sajber bezbjednošću u roku od 72 sata i da prijave plaćanja ransomware-a u roku od 24 sata od uplate.
Prošle godine, CISA je zatražila javni komentar o predloženom donošenju pravila, rekavši da će CIRCIA dovesti do boljeg razumijevanja sajber prijetnji i da će pravilo o izvještavanju o sajber incidentima vjerovatno utjecati na otprilike 316.000 subjekata.
Predložena pravila CISA za implementaciju CIRCIA-e trebalo bi da stupe na snagu u oktobru 2025. godine, ali Američko udruženje bankara, Institut za bankovnu politiku, Institut međunarodnih bankara i Udruženje za industriju hartija od vrijednosti i finansijska tržišta smatraju da bi to imalo štetne posljedice u svom trenutnom obliku.
Prema zastupničkoj grupi, dok se od CIRCIA očekuje da „uspostavi jedinstven standard za izvještavanje o incidentima u svim sektorima kritične infrastrukture“, CISA-ino obavještenje o predloženom donošenju pravila (NPRM) odstupa od početne namjere i zahtijeva od organizacija da preusmjere resurse od odgovora i oporavka.
„Tražimo da sarađujete sa industrijom na izradi novog pravila koje omogućava kompaniji da fokusira svoje resurse na odgovor na napad, a ne na podnošenje vladinih izvještaja“, stoji u otvorenom pismu (PDF) finansijskih organizacija.
Pozivajući se na javne ličnosti koje izražavaju zabrinutost zbog toga što CISA-in NPRM propušta oznaku i dodaje dodatno opterećenje obuhvaćenim entitetima, grupa traži da CISA prilagodi predloženo donošenje propisa prije CIRCIA-inog statutarnog roka za izdavanje konačnog pravila u oktobru 2025. godine.
“Pozdravili bismo stalni dijalog s vama kako bismo postigli ravnotežu koju je Kongres namjeravao ‘između brzog dobijanja informacija i dopuštanja žrtvama da odgovore na napad bez nametanja opterećujućih zahtjeva’”, navodi se u otvorenom pismu.
Kako je Reuven Aronashvili, osnivač i izvršni direktor CYE, nedavno rekao za SecurityWeek , to je upravo vrsta izazova sa kojima bi se propisi mogli suočiti 2025. godine, kada “uvedu neizvjesnost za organizacije koje rade na ispunjavanju standarda sajber bezbjednost “.
„Na primjer, zakoni kao što je CIRCIA, koji zahtijevaju promptno prijavljivanje sajber incidenata, mogli bi biti pod pojačanom kontrolom i pravnim sporovima. To može poremetiti konzistentnost i pouzdanost obaveza izvještavanja, što predstavlja izazove za CISO u razvoju efikasnih strategija odgovora”, rekao je Aronashvili.
Izvor: SecurityWeek
