Le organizzazioni di infrastrutture critiche desiderano che CISA ridimensioni i requisiti di segnalazione degli incidenti informatici.
Le nuove normative imposte dall’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture (CISA) stanno attirando l’attenzione e le critiche da parte delle organizzazioni di infrastrutture critiche. Il mandato per la segnalazione degli incidenti informatici, parte dell’atto normativo CIRCIA 2022, richiede che i proprietari e gli operatori di infrastrutture critiche segnalino gli incidenti cyber significativi e i pagamenti di ransomware entro 24 ore.
Definizione di un incidente informatico
Una delle principali preoccupazioni riguarda la definizione di cosa costituisce un “incidente informatico”. In molti sostengono che il regolamento di 447 pagine non sia sufficientemente dettagliato al riguardo. In particolare, gli avvocati del settore richiedono termini chiari e specifici per definire un “incidente informatico significativo” e includere una lista di esclusioni possibili, basata eventualmente sul settore specifico.
Chi deve segnalare?
L’altro fulcro di dibattito è su quali organizzazioni siano tenute a segnalare gli incidenti. CISA propone di seguire alcune linee guida settoriali specifiche per le infrastrutture critiche e di utilizzare un sistema federale per definire le piccole imprese. Tuttavia, molte organizzazioni desiderano maggiori dettagli ed eccezioni nella normativa.
Conseguenze e risorse
Le imprese manifestano preoccupazioni riguardo alle possibili conseguenze del mancato rispetto della legge. Ad esempio, l’American Hospital Association ha sottolineato che le potenziali penalità per la non conformità potrebbero essere “vaghe e potenzialmente severe”, finendo per punire le vittime degli attacchi.
Altre problematiche riguardano la disponibilità di risorse. Molte istituzioni segnalano di non avere i fondi e le risorse per seguire le nuove regole proposte. Gruppi come l’American Council on Education suggeriscono che il governo dovrebbe restringere il campo di applicazione delle entità coperte sotto l’istruzione superiore.
Importanza della cooperazione
Un aspetto critico sollevato è il timore che la burocrazia possa ostacolare una cooperazione efficace tra settore pubblico e privato. Ad esempio, alcune entità cittadine come la Città di Dallas hanno suggerito di eliminare l’obbligo di segnalare i pagamenti di ransomware, per evitare danni reputazionali e scrutinio finanziario che potrebbero frenare una cultura di trasparenza e collaborazione.
Armonizzazione delle normative
Un altro importante obiettivo del CIRCIA è armonizzare le normative di segnalazione degli incidenti informatici. La legge punta a eliminare le ridondanze e a ridurre i costi delle difese informatiche. Ma numerose organizzazioni del settore energetico hanno già regolamenti esistenti che dovrebbero avere la precedenza. Per esempio, alcune norme richiedono tempi di segnalazione più rapidi rispetto a quelli proposti da CIRCIA, creando un potenziale conflitto.
Sicurezza e condivisione dei dati
Infine, vi è una generale preoccupazione riguardo la capacità del governo di condividere e proteggere efficacemente le informazioni sensibili. Organizzazioni come il Maritime Transportation System Information Sharing and Analysis Center esprimono dubbi sul fatto che il governo federale, già vittima di numerosi incidenti informatici, possa garantire la sicurezza dei dati raccolti o condividerli tempestivamente con le parti interessate.