Un funzionario della Casa Bianca sostiene che il Congresso debba intervenire per semplificare il panorama normativo della cybersecurity, attualmente troppo frammentato e complesso.
Il Congresso deve intervenire per semplificare il panorama normativo della cybersecurity. Questo è quanto affermato da un funzionario della Casa Bianca durante un’audizione in cui legislatori e testimoni hanno criticato quello che ritengono essere un mosaico troppo complicato di regole sulla cybersecurity, che ostacola la capacità del settore privato di difendersi dalle minacce.
Nonostante non sia stata ancora introdotta una soluzione legislativa di questo tipo, durante l’audizione è stato citato più volte un progetto di legge del presidente della commissione, il senatore Gary Peters, come possibile rimedio al problema. Il progetto di legge di Peters, denominato “Cybersecurity Regulation Harmonization Act”, prevede la creazione di un comitato interagenzia per coordinare le normative sulla cybersecurity.
Nicholas Leiserson, assistente del direttore nazionale per la politica e i programmi di cybersecurity, ha affermato che l’armonizzazione normativa “è un problema che esiste da decenni e la tendenza generale è verso una maggiore frammentazione, non verso una maggiore armonizzazione”. Ha sottolineato che “è un problema che richiede la leadership del Congresso e del settore privato”.
Leiserson ha dichiarato che l’amministrazione Biden sostiene la legislazione di Peters, definendola “in linea con le opinioni” precedentemente condivise con la commissione. Il disegno di legge, ha aggiunto, “permetterebbe di portare le commissioni di regolamentazione indipendenti al tavolo insieme all’interagenzia in un processo di elaborazione delle politiche”.
Il senatore James Lankford ha fatto eco alle preoccupazioni di Peters, in particolare riguardo alle agenzie indipendenti che “hanno ancora bisogno di ulteriori supervisioni”.
Leiserson ha sottolineato che l’ONCD è “limitato” nella sua capacità di controllare le commissioni di regolamentazione indipendenti, sottolineando la necessità di un coinvolgimento del Congresso. Ha aggiunto che è fondamentale coinvolgere tutte le parti interessate, come è emerso chiaramente dall’analisi delle oltre 2000 pagine di commenti in risposta alla richiesta di informazioni dell’ONCD.
La mancanza di armonizzazione federale della cybersecurity ha anche un impatto negativo sulla capacità delle aziende statunitensi di competere a livello internazionale, ha detto Leiserson, sottolineando che le aziende europee devono solo preoccuparsi di operare nel quadro dell’UE. E in un momento in cui Russia e Cina stanno diventando sempre più audaci nei loro attacchi alle infrastrutture critiche degli Stati Uniti, l’armonizzazione delle norme diventa ancora più critica.
Creare un quadro adeguato, ha detto Leiserson, significherebbe essenzialmente mostrare ai settori “come dovrebbero affrontare la sicurezza dei loro sistemi IT aziendali, che sono ciò che gli avversari stanno prendendo di mira per ottenere quel primo accesso per stabilire quelle teste di ponte”.
Amy Chang, senior fellow su cybersecurity e minacce emergenti presso l’R Street Institute, ha dichiarato che durante l’audizione e nel rapporto dell’ONCD è emerso un “messaggio più coerente” sull’armonizzazione rispetto a quanto precedentemente comunicato al settore privato.
Chang ha affermato che in futuro l’ONCD e, in parte, il Congresso, “devono generare ulteriore consenso da parte dei regolatori a favore dell’armonizzazione, e allineare le priorità e le aspettative con gli stakeholder come i responsabili delle politiche, gli organi di regolamentazione, i professionisti del settore e gli esperti di cybersecurity”.