La nuova proposta di normativa CISA rivela le sfide e il cambiamento nel panorama della cyber security per infrastrutture critiche.
Una delle innovazioni normative più significative nel campo della cyber security è stata recentemente annunciate dalla Cybersecurity and Infrastructure Security Agency (CISA). Questa agenzia federale statunitense ha presentato un progetto di regolamentazione che impone alle organizzazioni appartenenti alle infrastrutture critiche di riferire incidenti informatici allo scopo di fornire al governo una comprensione più approfondita delle violazioni che riguardano entità ad alta sensibilità, come ad esempio gli enti che gestiscono acqua e energia.
Il documento di proposta normativa, collocato cronologicamente nell’iter legislativo in seguito all’approvazione del Cyber Incident Reporting for Critical Infrastructure Act nel marzo del 2022, richiede alle compagnie di segnalare eventuali incidenti non oltre le 72 ore dalla presa di coscienza dell’evento e i pagamenti di ransomware entro 24 ore dalla transazione, salvo in caso di concomitanza con l’incidente, per il quale si estende il limite a 72 ore.
Una delle principali innovazioni prevede che le aziende dovranno indicare incidenti che impattano la sicurezza, portano a interruzioni dei servizi o sono effettuati mediante terze parti, come i fornitori di servizi cloud.
Le linee guida proposte dalla CISA sono state elaborate con l’intenzione di essere applicate tenendo conto delle specificità di ciascun settore critico e presentano un’ampia serie di eccezioni che potrebbero essere oggetto di modifiche durante la fase di revisione delle osservazioni provenienti dagli stakeholder interessati.
Una categoria fortemente interessata è quella del settore delle tecnologie dell’informazione, che prevede si debba relazionare un incidente nel caso in cui le organizzazioni forniscono “hardware, software, sistemi o servizi IT” al governo federale.
La varietà delle nuove normative in materia di comunicazione degli incidenti di cybersecurity complica il panorama regolamentare. Ad esempio, l’anno scorso, la Securities and Exchange Commission ha introdotto l’obbligo per le società quotate in borsa di segnalare le violazioni “di rilievo” agli investitori, una mossa che appariva in conflitto con le competenze della CISA.
Tuttavia, l’armonizzazione tra i vari requisiti di segnalazione è una sfida importante per i policy maker del ramo esecutivo. Mentre le regole della CISA sono rivolte all’industria delle infrastrutture critiche che sperimentano interruzioni legate al cyber, i regolamenti della SEC sono focalizzati sulle società quotate in borsa, ma questi requisiti potrebbero in alcuni casi sovrapporsi, seppure molti esperti li vedano come complementari anziché in conflitto.
L’anticipata regolamentazione CISA si prevede che avrà un costo combinato per l’industria e il governo di circa 2,6 miliardi di dollari fino al 2033, con l’aspettativa di ricevere circa 25.000 rapporti all’anno. Membri del comitato della sicurezza nazionale hanno espresso il desiderio di vedere una riduzione dei costi di conformità per consentire investimenti aggiuntivi in sicurezza.
Nonostante l’apparente onere imposto alle entità coperte, vi sono preoccupazioni che i criteri basati sulle dimensioni e le regole specifiche per settore possano lasciare spazi vuoti significativi. Esperti come Josh Corman, fondatore di I Am the Cavalry e ex stratega della CISA, sottolineano che non è la dimensione dell’organizzazione a contare, bensì la gravità del danno alle funzioni nazionali critiche e alle infrastrutture.
Le preoccupazioni sono acuite dai recenti avvertimenti da parte degli ufficiali della sicurezza nazionale statunitensi riguardo le operazioni sempre più aggressive della Cina rivolte alle infrastrutture critiche americane. La necessità di una maggiore copertura e di strumenti più aggiornati è vitale.
Tale esigenza si estende anche alle risorse economiche necessarie per l’implementazione delle regole. Si dubita che tutte le entità, come i sistemi idrici comunitari, possano adottare misure di sicurezza adeguate per individuare e segnalare le violazioni.