https://www.csoonline.com/article/3653254/cyber-incident-reporting-measures-approved-in-the-omnibus-spending-bill.html#tk.rss_all
これは、水曜日に下院で可決された1.5兆ドルの包括的歳出法案の一部であり、今年の残りの期間、連邦政府に資金を提供します。
法案に含まれるインシデント報告要件では、重要なインフラストラクチャエンティティと連邦政府機関が、対象となるサイバーインシデントが発生し、ランサムウェアの支払いを行った場合は24時間以内。
特に、包括法案のランサムウェア支払い報告要件は、「ランサムウェア攻撃が報告要件の対象となるサイバーインシデントではない場合でも適用されるものとします」
事件や身代金の支払いを報告しなかった重要なインフラストラクチャ組織や連邦機関は、CISAの局長による召喚状の対象となり、CISAは、米国の地方裁判所で民事訴訟を起こすために、この問題を検事総長に照会することができます。
法案は、制定後180日以内に、CISA局長が、国家サイバー局長、司法長官、および連邦捜査局(FBI)の局長と協議して、以下からなる合同ランサムウェアタスクフォースを設立し、議長を務めることを求めています。
イースターリーとCISAは、インシデント報告要件がないために、サイバー脅威とインシデントに関して連邦政府が暗闇にさらされていると長い間不満を漏らしてきました。
シンシア・ブラムフィールドの包括的歳出法案で承認されたサイバー事件報告措置
security summary
コメント