« 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果 | Main | 米国 FBIが新たに仮想資産課 (VAU) を設立... »

2022.03.17

米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

こんにちは、丸山満彦です。

バイデン大統領が9月までの歳出を決める歳出法案 (H.R.2471 - Consolidated Appropriations Act, 2022) にサインしましたね。。。

White House - Briefing Room

・2022.03.15 Remarks by President Biden at Signing of H.R. 2471, “Consolidated Appropriations Act, 2022”

Fig1_20210802074601

この法案にサインしたことは、日本のメディアでも取り上げられています。。。法案については、次...

● Congress

・H.R.2471 - Consolidated Appropriations Act, 2022

この法案は2400ページもあるもので、、、Consolidatedというとおり、いろな項目が含まれています。Cyber Incident Reportingについては、DIVISION Y(つまり25章目!)に、Cyber Incident Reporting for Critical Infrastructure Act of 2022として、記載されています。これは、H.R.5440 - Cyber Incident Reporting for Critical Infrastructure Act of 2021がもとになっていますね。。。

ということで、この法律の条文を読めば、重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられたことがわかります...(^^)

上院の国土安全保障・政府問題委員会のウェブページでもとりあげられているので、こちらも参考に...


U.S. Senate Committee on Homeland Security & Governmental Affairs

・2022.03.15 Peters & Portman Landmark Provision Requiring Critical Infrastructure to Report Cyber-Attacks Signed into Law as Part of Funding Bill

Peters & Portman Landmark Provision Requiring Critical Infrastructure to Report Cyber-Attacks Signed into Law as Part of Funding Bill Peters & Portman 重要インフラにサイバー攻撃の報告を義務付ける画期的な条項が、歳出法案の一部として署名されました。
WASHINGTON, D.C. – A landmark provision authored by U.S. Senators Gary Peters (D-MI) and Rob Portman (R-OH), Chairman and Ranking Member of the Homeland Security and Governmental Affairs Committee, to significantly enhance our nation’s ability to combat ongoing cybersecurity threats against critical infrastructure has been signed into law as a part of the government funding legislation. The provision, which matches a provision in a bill the senators previously introduced and passed out the Senate unanimously, would require critical infrastructure owners and operators to report to the Cybersecurity and Infrastructure Security Agency (CISA) if they experience a substantial cyber-attack or if they make a ransomware payment. The new law is a significant step to help the United States combat potential cyber-attacks sponsored by foreign adversaries, including potential threats from the Russian government in retaliation for U.S. support in Ukraine. ワシントン D.C. - 米国の国土安全保障・政府問題委員会のゲーリー・ピータース上院議員(民主党)とロブ・ポートマン上院議員(共和党)が作成した、重要インフラに対する進行中のサイバーセキュリティの脅威に対抗する米国の能力を大幅に強化する画期的な条項が、政府予算案の一部として法律に署名されました。この条項は、同議員が以前提出し、上院を全会一致で通過した法案の条項と一致しており、重要インフラの所有者および運営者は、大規模なサイバー攻撃を受けた場合、またはランサムウェアの支払いを行った場合、サイバーセキュリティおよびインフラセキュリティ局(CISA)に報告することが義務づけられることになります。この新法は、ウクライナにおける米国の支援に対する報復としてロシア政府が行う可能性のある脅威など、外国の敵対者が主催する潜在的なサイバー攻撃に米国が対抗するための重要なステップとなるものです。
“In the face of significant cybersecurity threats to our country – including potential retaliatory cyber-attacks from Russia for our support in Ukraine – we must ensure our nation is prepared to defend our most essential networks. This historic, new law will make major updates to our cybersecurity policy to ensure that, for the first time ever, every single critical infrastructure owner and operator in American is reporting cyber-attacks and ransomware payments to the federal government,” said Senator Peters. “I applaud President Biden for signing this historic effort into law to provide CISA – our lead cybersecurity agency – with the insight and resources needed to help critical infrastructure companies respond to and recover from network breaches so they can continue providing essential services to the American people.” 「ウクライナへの支援に対するロシアからの報復的なサイバー攻撃の可能性など、わが国に対する重大なサイバーセキュリティの脅威に直面する中、わが国は最も重要なネットワークを守るための準備を確実にしなければなりません。この歴史的な新法は、サイバーセキュリティ政策を大幅に更新し、史上初めて、米国の重要インフラの所有者および運営者が、サイバー攻撃やランサムウェアの支払いを連邦政府に報告することを確実にします」と、Peters 上院議員は述べています。 「バイデン大統領がこの歴史的な取り組みに署名し、サイバーセキュリティの主導的機関である CISA に、重要インフラ企業がネットワーク侵害に対応し、回復して米国民に不可欠なサービスを提供し続けられるよう支援するために必要な洞察力と資源を提供したことを称賛します。
“As our nation rightly supports Ukraine during Russia’s illegal unjustifiable assault, I am concerned the threat of Russian cyber and ransomware attacks against U.S. critical infrastructure will increase. The federal government must be able to quickly coordinate a response and hold these bad actors accountable,” said Senator Portman. “Now that our bipartisan legislation has been signed into law, it will give the National Cyber Director, CISA, and other appropriate agencies broad visibility into the cyberattacks taking place across our nation on a daily basis to enable a whole-of-government response, mitigation, and warning to critical infrastructure and others of ongoing and imminent attacks. The legislation strikes a balance between getting information quickly and letting victims respond to an attack without imposing burdensome requirements.” ロシアの違法不当な攻撃を受けているウクライナを我が国が正しく支援する中、米国の重要インフラに対するロシアのサイバー攻撃やランサムウェアの脅威が高まることを懸念しています。連邦政府は迅速に対応を調整し、これらの悪質業者の責任を追及しなければならない」とポートマン上院議員は述べた。 私たちの超党派の法案が署名されたことで、国家サイバー長官、CISA、その他の適切な機関が、日々米国内で起きているサイバー攻撃を幅広く把握できるようになり、政府全体で対応、緩和、重要インフラなどに対する進行中および差し迫った攻撃の警告ができるようになります」と述べています。この法案は、情報を迅速に入手することと、負担の大きい要件を課さずに被害者が攻撃に対応できるようにすることのバランスをとるものである。
Last year, cybercriminals breached the network of a major oil pipeline forcing the company to shut down over 5,500 miles of pipeline – leading to increased prices and gas shortages for communities across the East Coast. Last summer, the country’s largest beef supplier was hit by a cyber-attack, prompting shutdowns at company plants and threatening meat supplies all across the nation. As these kinds of attacks continue to rise, Peters and Portman’s historic law will ensure critical infrastructure entities such as banks, electric grids, water networks, and transportation systems report to CISA in the event of a cyber-attack so that CISA can warn others of the threat, prepare for widespread impacts, and help get these essential systems back online as soon as possible. 昨年、サイバー犯罪者が大手石油パイプラインのネットワークに侵入し、同社は5,500マイル以上のパイプラインの停止を余儀なくされ、東海岸の地域社会では価格の上昇とガス不足につながった。昨年夏には、米国最大の牛肉サプライヤーがサイバー攻撃を受け、工場が閉鎖され、全米の食肉供給が脅かされました。この種の攻撃が増え続ける中、ピーターズとポートマンの歴史的な法律により、銀行、電力網、水道網、輸送システムなどの重要インフラ事業体がサイバー攻撃を受けた際にCISAに報告し、CISAが脅威を警告し、広範囲にわたる影響に備え、これらの重要システムをできるだけ早くオンラインに戻す手助けができるようになります。
The provision, which is based on the senators’ Cyber Incident Reporting Act, requires critical infrastructure owners and operators to report to CISA within 72 hours if they are experiencing a substantial cyber-attack and within 24 hours of making a ransomware payment. The provision gives CISA the authority to subpoena entities that fail to report cybersecurity incidents or ransomware payments. Organizations that fail to comply with the subpoena can be referred to the Department of Justice. The provision requires CISA to launch a program that will warn organizations of vulnerabilities that ransomware actors exploit, and directs the Director of CISA to establish a joint ransomware task force to coordinate federal efforts, in consultation with industry, to prevent and disrupt ransomware attacks. The federal rulemaking process that will formalize aspects of this legislation also requires substantial consultation with industry and the provision creates a federal council to coordinate, deconflict, and harmonize federal incident reporting requirements to reduce duplicative regulations. この条項は、上院のサイバーインシデント報告法に基づいており、重要インフラの所有者および運営者は、実質的なサイバー攻撃に遭遇した場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられています。この規定は、サイバーセキュリティ事件やランサムウェアの支払いを報告しない事業者を召喚する権限をCISAに与えています。召喚に応じない組織は、司法省に照会することができる。この規定は、ランサムウェアの攻撃者が悪用する脆弱性について組織に警告するプログラムを立ち上げるようCISAに要求し、ランサムウェアの攻撃を防止および妨害するために、産業界と協議しながら連邦政府の取り組みを調整するランサムウェア合同タスクフォースを設置するようCISA長官を指示しています。また、本法案の一部を正式決定する連邦規則制定プロセスでは、産業界との実質的な協議を必要とし、重複する規制を減らすために、連邦インシデント報告要件を調整、矛盾、調和させる連邦評議会を設立する条項が含まれています。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

 

 

DIVISION Y—Cyber Incident Reporting for Critical Infrastructure Act of 2022 第Y部 2022年重要インフラのためのサイバーインシデント報告法
SEC. 101. Short title. 第101条 短いタイトル
This division may be cited as the “Cyber Incident Reporting for Critical Infrastructure Act of 2022”. 本部は、「2022年重要インフラのためのサイバーインシデント報告法」と引用されることがある。
SEC. 102. Definitions. 第102条 定義
In this division: 本部において、
(1) COVERED CYBER INCIDENT; COVERED ENTITY; CYBER INCIDENT; INFORMATION SYSTEM; RANSOM PAYMENT; RANSOMWARE ATTACK; SECURITY VULNERABILITY.—The terms “covered cyber incident”, “covered entity”, “cyber incident”, “information system”, “ransom payment”, “ransomware attack”, and “security vulnerability” have the meanings given those terms in section 2240 of the Homeland Security Act of 2002, as added by section 103 of this division. (1) 対象サイバーインシデント、対象事業者、サイバーインシデント、情報システム、身代金の支払い、ランサムウェア攻撃、セキュリティの脆弱性。 -対象サイバーインシデント」、「対象事業体」、「サイバーインシデント」、「情報システム」、「身代金支払い」、「ランサムウェア攻撃」及び「セキュリティ脆弱性」という用語は、2002年国土安全保障法第2240条においてこれらの用語に与えられた意味を持ち、本節の第103条により追加されるものとする。
(2) DIRECTOR.—The term “Director” means the Director of the Cybersecurity and Infrastructure Security Agency. (2) 長官:「長官」という用語は、サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁の長官を意味する。
SEC. 103. Cyber incident reporting. 第103条 サイバーインシデント報告
Cyber incident reporting.—Title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended— (a) 2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIを改正する。
(1) in section 2209(c) (6 U.S.C. 659(c))— (1) 第2209条(c)項(6 U.S.C. 659(c))において、次のとおりとする。
(A) in paragraph (11), by striking “; and” and inserting a semicolon; (A) 第(11)項において、「;および」を削除し、セミコロンを挿入することにより、「;および」を削除する。
(B) in paragraph (12), by striking the period at the end and inserting “; and”; and (B) (12)項において、末尾のピリオドを削除し、「、」を挿入することにより、及び
(C) by adding at the end the following: (C) 末尾に以下を追加する
(13) receiving, aggregating, and analyzing reports related to covered cyber incidents (as defined in section 2240) submitted by covered entities (as defined in section 2240) and reports related to ransom payments (as defined in section 2240) submitted by covered entities (as defined in section 2240) in furtherance of the activities specified in sections 2202(e), 2203, and 2241, this subsection, and any other authorized activity of the Director, to enhance the situational awareness of cybersecurity threats across critical infrastructure sectors.”; and (13) 重要インフラ部門全体のサイバーセキュリティ脅威の状況認識を強化するために、第2202条(e)、2203条、および2241条、本節、および長官の他の認可された活動で規定された活動を促進するために、対象事業者(第2240条で定義)から提出された対象サイバーインシデント(同)に関連する報告および身代金の支払い(同)関連の報告を受けて集約し、分析する」、および。
(2) by adding at the end the following: (2) 末尾に以下を追加する。
subtitle D—Cyber Incident Reporting 第D章-サイバーインシデント報告
SEC. 2240. Definitions. 第2240条 定義
In this subtitle: この章において
(1) CENTER.—The term ‘Center’ means the center established under section 2209. (1) 「センター」とは、第2209条に基づき設立されたセンターをいう。
(2) CLOUD SERVICE PROVIDER.—The term ‘cloud service provider’ means an entity offering products or services related to cloud computing, as defined by the National Institute of Standards and Technology in NIST Special Publication 800–145 and any amendatory or superseding document relating thereto. (2) クラウドサービスプロバイダ -「クラウドサービスプロバイダ」という用語は、NIST Special Publication 800-145およびこれに関連する修正または代替文書において米国国立標準技術研究所が定義する、クラウドコンピューティングに関連する製品またはサービスを提供する事業者を意味する。
(3) COUNCIL.—The term ‘Council’ means the Cyber Incident Reporting Council described in section 2246. (3) 協議会:「協議会」という用語は、第2246条に記載されているサイバーインシデント報告協議会を意味する。
(4) COVERED CYBER INCIDENT.—The term ‘covered cyber incident’ means a substantial cyber incident experienced by a covered entity that satisfies the definition and criteria established by the Director in the final rule issued pursuant to section 2242(b). (4) 対象サイバーインシデントとは、第2242条(b)に従って発行された最終規則において長官が定めた定義と基準を満たす、対象事業者が経験した実質的なサイバーインシデントを意味する。
(5) COVERED ENTITY.—The term ‘covered entity’ means an entity in a critical infrastructure sector, as defined in Presidential Policy Directive 21, that satisfies the definition established by the Director in the final rule issued pursuant to section 2242(b). (5) 対象事業者-「対象事業者」という用語は、大統領政策指令21で定義された重要インフラ部門の事業者で、第2242条(b)に従って発行された最終規則の中で長官が確立した定義を満たす事業者を意味する。
(6) CYBER INCIDENT.—The term ‘cyber incident’— (6) サイバーインシデント-「サイバーインシデント」という用語は、以下のとおりである。
(A) has the meaning given the term ‘incident’ in section 2209; and (A) 第 2209 条において「インシデント」という用語が与えられている意味を有し、かつ、 (B) 第 2209 条において「インシデント」という用語が与えられている意味を有する。
(B) does not include an occurrence that imminently, but not actually, jeopardizes— (B) 差し迫っているが、実際には危害を加えていない事象は含まれない。
(i) information on information systems; or (i) 情報システム上の情報、または
(ii) information systems. (ii) 情報システム。
(7) CYBER THREAT.—The term ‘cyber threat’ has the meaning given the term ‘cybersecurity threat’ in section 2201. (7) サイバー脅威:「サイバー脅威」という用語は、第2201条において「サイバーセキュリティの脅威」という用語が与えられている意味を有する。
(8) CYBER THREAT INDICATOR; CYBERSECURITY PURPOSE; DEFENSIVE MEASURE; FEDERAL ENTITY; SECURITY VULNERABILITY.—The terms ‘cyber threat indicator’, ‘cybersecurity purpose’, ‘defensive measure’, ‘Federal entity’, and ‘security vulnerability’ have the meanings given those terms in section 102 of the Cybersecurity Act of 2015 (6 U.S.C. 1501). (8) サイバー脅威指標、サイバーセキュリティ目的、防御措置、連邦機関、セキュリティ脆弱性:「サイバー脅威指標」、「サイバーセキュリティ目的」、「防御措置」、「連邦機関」、「セキュリティ脆弱性」という用語は、2015年サイバーセキュリティ法(6 U.S.C. 1501)第102条においてこれらの用語に与えられている意味を有する。
(9) INCIDENT; SHARING.—The terms ‘incident’ and ‘sharing’ have the meanings given those terms in section 2209. (9) インシデント、共有:「インシデント」および「共有」という用語は、第2209条においてこれらの用語に与えられている意味を有する。
(10) INFORMATION SHARING AND ANALYSIS ORGANIZATION.—The term ‘Information Sharing and Analysis Organization’ has the meaning given the term in section 2222. (10) 情報共有・分析組織:「情報共有・分析組織」という用語は、第2222条に規定される意味を有する。
(11) INFORMATION SYSTEM.—The term ‘information system’— (11) 情報システム:「情報システム」という用語は、
(A) has the meaning given the term in section 3502 of title 44, United States Code; and (A)合衆国法典第44編第3502節に規定される意味を有する。
(B) includes industrial control systems, such as supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. (B) 監視制御およびデータ収集システム、分散型制御システム、プログラマブルロジックコントローラなどの産業用制御システムを含む。
(12) MANAGED SERVICE PROVIDER.—The term ‘managed service provider’ means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on the premises of a customer, in the data center of the entity (such as hosting), or in a third party data center. (12) マネージドサービスプロバイダ:「マネージドサービスプロバイダ」という用語は、ネットワーク、アプリケーション、インフラ、またはセキュリティサービスなどのサービスを、顧客の敷地内、事業者のデータセンター(ホスティングなど)、または第三者のデータセンターで、継続的かつ定期的にサポートと能動的管理によって提供する事業者を意味する。
(13) RANSOM PAYMENT.—The term ‘ransom payment’ means the transmission of any money or other property or asset, including virtual currency, or any portion thereof, which has at any time been delivered as ransom in connection with a ransomware attack. (13) 身代金支払い - 用語「身代金支払い」とは、ランサムウェア攻撃に関連して身代金とし て引き渡された、仮想通貨を含む金銭その他の財産もしくは資産またはその一部の送金をい う。
(14) RANSOMWARE ATTACK.—The term ‘ransomware attack’— (14) ランサムウェア攻撃 - 用語「ランサムウェア攻撃」は、以下のとおりです。
(A) means an incident that includes the use or threat of use of unauthorized or malicious code on an information system, or the use or threat of use of another digital mechanism such as a denial of service attack, to interrupt or disrupt the operations of an information system or compromise the confidentiality, availability, or integrity of electronic data stored on, processed by, or transiting an information system to extort a demand for a ransom payment; and (A) 身代金の支払いを要求するために、情報システム上で未許可のもしくは悪意のあるコードを使用もしくは使用する脅威、またはサービス拒否攻撃などの他のデジタル機構を使用もしくは使用する脅威を含み、情報システムの運用を中断もしくは停止させ、情報システム上に保存、処理、または通過する電子データの秘密性、利用性、完全性を侵害するインシデントを意味する。
(B) does not include any such event where the demand for payment is— (B) 支払いの要求が以下のような場合は含まれない。
(i) not genuine; or (i)真正でない。
(ii) made in good faith by an entity in response to a specific request by the owner or operator of the information system. (ii) 情報システムの所有者または運営者による特定の要求に応じて、事業者が善意で行ったものであること。
(15) SECTOR RISK MANAGEMENT AGENCY.—The term ‘Sector Risk Management Agency’ has the meaning given the term in section 2201. (15) セクターリスク管理機関:「セクターリスク管理機関」という用語は、第2201条で与えられている意味を有する。
(16) SIGNIFICANT CYBER INCIDENT.—The term ‘significant cyber incident’ means a cyber incident, or a group of related cyber incidents, that the Secretary determines is likely to result in demonstrable harm to the national security interests, foreign relations, or economy of the United States or to the public confidence, civil liberties, or public health and safety of the people of the United States. (16) 重大なサイバーインシデントとは、米国の国家安全保障上の利益、外交関係、経済、または国民の信頼、市民的自由、公衆衛生および安全に対して実証的な損害を与える可能性があると長官が判断したサイバーインシデントまたは関連するサイバーインシデントのグループを意味する。
(17) SUPPLY CHAIN COMPROMISE.—The term ‘supply chain compromise’ means an incident within the supply chain of an information system that an adversary can leverage or does leverage to jeopardize the confidentiality, integrity, or availability of the information system or the information the system processes, stores, or transmits, and can occur at any point during the life cycle. (17) サプライ・チェーン侵害(SUPPLY CHAIN COMPROMISE)とは、情報システムのサプライ・チェーン内で、敵対者が情報システムまたはそのシステムが処理、保存、伝送する情報の機密性、完全性、可用性を危険にさらすために利用できる、または利用する事象であって、ライフサイクル中のいかなる時点でも発生しうるものをいう。
(18) VIRTUAL CURRENCY.—The term ‘virtual currency’ means the digital representation of value that functions as a medium of exchange, a unit of account, or a store of value. (18) 仮想通貨:「仮想通貨」という用語は、交換手段、勘定単位、または価値の貯蔵として機能する、価値のデジタル表現を意味する。
(19) VIRTUAL CURRENCY ADDRESS.—The term ‘virtual currency address’ means a unique public cryptographic key identifying the location to which a virtual currency payment can be made. (19) 仮想通貨アドレスとは、仮想通貨の支払先を特定する一意の公開暗号鍵を意味する。
SEC. 2241. Cyber incident review. 第2241条 サイバーインシデントレビュー
(a) Activities.—The Center shall— (a) 活動 - センターは以下を行う。
(1) receive, aggregate, analyze, and secure, using processes consistent with the processes developed pursuant to the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501 et seq.) reports from covered entities related to a covered cyber incident to assess the effectiveness of security controls, identify tactics, techniques, and procedures adversaries use to overcome those controls and other cybersecurity purposes, including to assess potential impact of cyber incidents on public health and safety and to enhance situational awareness of cyber threats across critical infrastructure sectors; (1) 2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501 et seq)に従って策定されたプロセスと整合性のあるプロセスを用いて、対象となるサイバーインシデントに関連する対象事業者からの報告を受領、集約、分析、確保し、セキュリティ管理の有効性の評価、敵がこれらの管理を乗り越えるために用いる戦術、技術、手続きの特定、その他のサイバーセキュリティ目的(公共の健康と安全に対するサイバーインの潜在的影響の評価、重要インフラ部門にわたるサイバー脅威の状況認識向上など)を実施すること。
(2) coordinate and share information with appropriate Federal departments and agencies to identify and track ransom payments, including those utilizing virtual currencies; (2) 仮想通貨を利用したものを含む身代金支払いを特定し追跡するために、適切な連邦省庁との間で情報を調整し共有する。
(3) leverage information gathered about cyber incidents to— (3) サイバーインシデントについて収集された情報を活用し、以下のことを行う。
(A) enhance the quality and effectiveness of information sharing and coordination efforts with appropriate entities, including agencies, sector coordinating councils, Information Sharing and Analysis Organizations, State, local, Tribal, and territorial governments, technology providers, critical infrastructure owners and operators, cybersecurity and cyber incident response firms, and security researchers; and (A) 政府機関、部門別調整会議、情報共有・分析組織、州・地方・部族・準州政府、技術プロバイダ、重要インフラ所有者および運営者、サイバーセキュリティおよびサイバーインシデント対応企業、セキュリティ研究者など適切な主体との情報共有・調整努力の質と効果を高めること。
(B) provide appropriate entities, including sector coordinating councils, Information Sharing and Analysis Organizations, State, local, Tribal, and territorial governments, technology providers, cybersecurity and cyber incident response firms, and security researchers, with timely, actionable, and anonymized reports of cyber incident campaigns and trends, including, to the maximum extent practicable, related contextual information, cyber threat indicators, and defensive measures, pursuant to section 2245; (B) セクター調整協議会、情報共有・分析機関、州・地方・部族・準州政府、技術提供者、サイバーセキュリティ・サイバーインシデント対応企業、セキュリティ研究者など適切な主体に、第2245条に従い、実行可能な最大限の関連文脈情報、サイバー脅威指標、防御策を含むサイバーインシデントキャンペーンとトレンドに関するタイムリーで実行可能、かつ匿名化した報告を提供すること。
(4) establish mechanisms to receive feedback from stakeholders on how the Agency can most effectively receive covered cyber incident reports, ransom payment reports, and other voluntarily provided information, and how the Agency can most effectively support private sector cybersecurity; (4) 対象となるサイバーインシデント報告、身代金支払い報告、およびその他の自発的に提供された情報を、どのようにすれば最も効果的に受け取ることができるか、また、どのようにすれば最も効果的に民間部門のサイバーセキュリティを支援できるかについて利害関係者からフィードバックを受ける仕組みを確立すること。
(5) facilitate the timely sharing, on a voluntary basis, between relevant critical infrastructure owners and operators of information relating to covered cyber incidents and ransom payments, particularly with respect to ongoing cyber threats or security vulnerabilities and identify and disseminate ways to prevent or mitigate similar cyber incidents in the future; (5) 特に継続的なサイバー脅威またはセキュリティの脆弱性に関して、対象となるサイバーインシデントおよび身代金支払いに関連する情報を関連する重要インフラの所有者および運営者間で自発的に適時に共有することを促進し、将来的に同様のサイバーインを防止または軽減する方法を特定して普及させること。
(6) for a covered cyber incident, including a ransomware attack, that also satisfies the definition of a significant cyber incident, or is part of a group of related cyber incidents that together satisfy such definition, conduct a review of the details surrounding the covered cyber incident or group of those incidents and identify and disseminate ways to prevent or mitigate similar incidents in the future; (6) ランサムウェア攻撃を含む対象サイバーインシデントで、重要なサイバーインシデントの定義も満たすもの、または共にその定義を満たす関連サイバーインシデント群の一部であるものについては、対象サイバーインシデントまたはそれらのインシデント群を取り巻く詳細についてレビューを実施し、将来的に類似のインシデントを防止または軽減する方法を特定し普及させること。
(7) with respect to covered cyber incident reports under section 2242(a) and 2243 involving an ongoing cyber threat or security vulnerability, immediately review those reports for cyber threat indicators that can be anonymized and disseminated, with defensive measures, to appropriate stakeholders, in coordination with other divisions within the Agency, as appropriate; (7) 継続的なサイバー脅威またはセキュリティの脆弱性に関わるセクション2242(a)および2243に基づく対象サイバーインシデント報告に関して、必要に応じて庁内の他の部門と連携し、匿名化できるサイバー脅威指標を直ちに検討し、防御策を講じて適切なステークホルダーに普及させること。
(8) publish quarterly unclassified, public reports that describe aggregated, anonymized observations, findings, and recommendations based on covered cyber incident reports, which may be based on the unclassified information contained in the briefings required under subsection (c); (8) 対象となるサイバーインシデント報告に基づき、集約され、匿名化された観察、所見、及び勧告を記載する非公開の公開報告書を四半期ごとに発行する。この報告書は、第(c)項に基づき義務付けられる説明会に含まれる非公開情報に基づいてもよい。
(9) proactively identify opportunities, consistent with the protections in section 2245, to leverage and utilize data on cyber incidents in a manner that enables and strengthens cybersecurity research carried out by academic institutions and other private sector organizations, to the greatest extent practicable; and (9) 実現可能な最大限の範囲において、学術機関及びその他の民間部門組織が実施するサイバーセキュリティ研究を可能にし強化する方法でサイバーインシデントに関するデータを活用し利用する機会を、第2245条の保護に整合する形で積極的に特定する。
(10) in accordance with section 2245 and subsection (b) of this section, as soon as possible but not later than 24 hours after receiving a covered cyber incident report, ransom payment report, voluntarily submitted information pursuant to section 2243, or information received pursuant to a request for information or subpoena under section 2244, make available the information to appropriate Sector Risk Management Agencies and other appropriate Federal agencies. (10) 第2245条および本節(b)に従い、対象となるサイバーインシデント報告、身代金支払い報告、第2243条に従った自発的提出情報、または第2244条に従った情報要求または召喚に従って受け取った情報を受け取ってから24時間以内、できるだけ早く、該当セクターリスク管理機関およびその他の該当連邦機関が情報を利用できるようにする。
(b) Interagency sharing.—The President or a designee of the President— (b) 省庁間共有:大統領または大統領が指名する者は、以下のことを行う。
(1) may establish a specific time requirement for sharing information under subsection (a)(10); and (1) (a)(10)項に基づく情報共有のための特定の時間要件を設定することができる。
(2) shall determine the appropriate Federal agencies under subsection (a)(10). (2) (a)(10)に基づいて適切な連邦政府機関を決定すること。
(c) Periodic briefing.—Not later than 60 days after the effective date of the final rule required under section 2242(b), and on the first day of each month thereafter, the Director, in consultation with the National Cyber Director, the Attorney General, and the Director of National Intelligence, shall provide to the majority leader of the Senate, the minority leader of the Senate, the Speaker of the House of Representatives, the minority leader of the House of Representatives, the Committee on Homeland Security and Governmental Affairs of the Senate, and the Committee on Homeland Security of the House of Representatives a briefing that characterizes the national cyber threat landscape, including the threat facing Federal agencies and covered entities, and applicable intelligence and law enforcement information, covered cyber incidents, and ransomware attacks, as of the date of the briefing, which shall— (c) 定期的なブリーフィング。 -2242(b)項に基づいて要求される最終規則の発効日から60日以内に、そしてその後毎月1日に、長官は国家サイバー長官、司法長官、国家情報長官と協議して、上院の多数指導者、上院の少数指導者、下院の議長、下院の少数指導者に、以下の事項を提供しなければならない。上院の国土安全保障・政府問題委員会、および下院の国土安全保障委員会は、連邦機関および対象団体が直面している脅威、該当する情報および法執行情報、対象サイバーインシデント、ランサムウェア攻撃を含む国家のサイバー脅威状況を特徴付ける報告書を、報告書の日付の時点で作成し、その内容は、以下のとおりとする。
(1) include the total number of reports submitted under sections 2242 and 2243 during the preceding month, including a breakdown of required and voluntary reports; (1) 前月に第2242条および第2243条に基づいて提出された報告書の総数(義務的な報告書と自発的な報告書の内訳を含む)を含むこと。
(2) include any identified trends in covered cyber incidents and ransomware attacks over the course of the preceding month and as compared to previous reports, including any trends related to the information collected in the reports submitted under sections 2242 and 2243, including— (2) 前月の間及び以前の報告書と比較して、対象となるサイバーインシデント及びランサムウェア攻撃について確認された傾向を含み、以下を含む、第2242条及び第2243条の下で提出された報告書に収集された情報に関連する傾向を含む。
(A) the infrastructure, tactics, and techniques malicious cyber actors commonly use; and (A) 悪意のあるサイバーアクターが通常使用するインフラ、戦術、技術
(B) intelligence gaps that have impeded, or currently are impeding, the ability to counter covered cyber incidents and ransomware threats; (B) 対象となるサイバーインシデントおよびランサムウェアの脅威に対抗する能力を妨げてきた、または現在妨げている情報格差。
(3) include a summary of the known uses of the information in reports submitted under sections 2242 and 2243; and (3) 第2242条及び第2243条に基づいて提出された報告書の情報の既知の用途の要約を含む。
(4) include an unclassified portion, but may include a classified component. (4) 非分類部分を含むが、分類された部分を含んでもよい。
SEC. 2242. Required reporting of certain cyber incidents. 第2242条 特定のサイバーインシデントの報告義務
(a) In general.— (a) 一般的に、
(1) COVERED CYBER INCIDENT REPORTS.— (1) 対象となるサイバーインシデントの報告
(A) IN GENERAL.—A covered entity that experiences a covered cyber incident shall report the covered cyber incident to the Agency not later than 72 hours after the covered entity reasonably believes that the covered cyber incident has occurred. (A) 一般に、対象となるサイバーインシデントを経験した対象事業者は、対象事業者が対象となるサイバーインシデントが発生したと合理的に考えてから72時間以内に、当該サイバーインシデントを庁に報告しなければならない。
(B) LIMITATION.—The Director may not require reporting under subparagraph (A) any earlier than 72 hours after the covered entity reasonably believes that a covered cyber incident has occurred. (B)制限.-長官は、(A)号に基づく報告を、対象事業体が対象サイバーインシデントが発生したと合理的に考えてから72時間より早く要求してはならない。
(2) RANSOM PAYMENT REPORTS.— (2) 身代金支払報告書。
(A) IN GENERAL.—A covered entity that makes a ransom payment as the result of a ransomware attack against the covered entity shall report the payment to the Agency not later than 24 hours after the ransom payment has been made. (A) 一般に、対象事業体に対するランサムウェア攻撃の結果として身代金の支払いを行う対象事業体は、身代金の支払いが行われた後24時間以内に、その支払いを長官に報告するものとする。
(B) APPLICATION.—The requirements under subparagraph (A) shall apply even if the ransomware attack is not a covered cyber incident subject to the reporting requirements under paragraph (1). (B) 適用:(A)号に基づく要件は、ランサムウェア攻撃が第1項に基づく報告要件の対象となるサイバーインシデントでない場合にも適用されるものとする。
(3) SUPPLEMENTAL REPORTS.—A covered entity shall promptly submit to the Agency an update or supplement to a previously submitted covered cyber incident report if substantial new or different information becomes available or if the covered entity makes a ransom payment after submitting a covered cyber incident report required under paragraph (1), until such date that such covered entity notifies the Agency that the covered cyber incident at issue has concluded and has been fully mitigated and resolved. (3) 補足報告:対象事業者は、当該対象事業者が、問題となっている対象サイバーインシデントが終結し、完全に緩和され解決されたと当庁に通知するその日まで、実質的に新しいまたは異なる情報が入手可能になった場合、または第1項に基づき要求される対象サイバーインシデント報告書を提出した後に対象事業者が身代金の支払いを行った場合、以前に提出した対象サイバーインシデント報告書の更新または補足を速やかに当庁に提出するものとする。
(4) PRESERVATION OF INFORMATION.—Any covered entity subject to requirements of paragraph (1), (2), or (3) shall preserve data relevant to the covered cyber incident or ransom payment in accordance with procedures established in the final rule issued pursuant to subsection (b). (4) 情報の保存-(1)、(2)、(3)項の要件に従う対象事業者は、(b)項に従って発行された最終規則で定められた手続に従って、対象サイバーインシデントまたは身代金の支払いに関連するデータを保存するものとする。
(5) EXCEPTIONS.— (5)例外
(A) REPORTING OF COVERED CYBER INCIDENT WITH RANSOM PAYMENT.—If a covered entity is the victim of a covered cyber incident and makes a ransom payment prior to the 72 hour requirement under paragraph (1), such that the reporting requirements under paragraphs (1) and (2) both apply, the covered entity may submit a single report to satisfy the requirements of both paragraphs in accordance with procedures established in the final rule issued pursuant to subsection (b). (A)身代金支払を伴う対象サイバーインシデントの報告-対象事業体が対象サイバーインシデントの被害者であり、(1)項に基づく72時間の要件より前に身代金の支払いを行い、(1)項と(2)項の両方の報告要件が適用される場合、対象事業体は、(b)に従って発行された最終規則に定められた手順に従って両項の要件を満たす一つの報告書を提出することができる。
(B) SUBSTANTIALLY SIMILAR REPORTED INFORMATION.— (b) 実質的に類似した報告された情報-
(i) IN GENERAL.—Subject to the limitation described in clause (ii), where the Agency has an agreement in place that satisfies the requirements of section 104(a) of the Cyber Incident Reporting for Critical Infrastructure Act of 2022, the requirements under paragraphs (1), (2), and (3) shall not apply to a covered entity required by law, regulation, or contract to report substantially similar information to another Federal agency within a substantially similar timeframe. (i)一般的に-(ii)項に記載された制限を条件として、機関が2022年重要インフラ用サイバーインシデント報告法第104条(a)の要件を満たす契約を締結している場合、法律、規制又は契約により実質的に同様の時間枠内で別の連邦機関に実質的に同様の情報を報告するよう要求された対象事業者には、第(1)、(2)、(3)に基づく要件は適用しないものとする。
(ii) LIMITATION.—The exemption in clause (i) shall take effect with respect to a covered entity once an agency agreement and sharing mechanism is in place between the Agency and the respective Federal agency, pursuant to section 104(a) of the Cyber Incident Reporting for Critical Infrastructure Act of 2022. (ii) 制限-(i)項の免除は、2022年重要インフラ用サイバーインシデント報告法の104(a)項に従って、庁とそれぞれの連邦機関との間で機関協定および共有メカニズムが整備された時点で、対象事業者に関して効力を発するものとする。
(iii) RULES OF CONSTRUCTION.—Nothing in this paragraph shall be construed to— (iii) 構成の規則-本項のいかなる内容も、以下のように解釈されないものとする。
(I) exempt a covered entity from the reporting requirements under paragraph (3) unless the supplemental report also meets the requirements of clauses (i) and (ii) of this paragraph; (I)補足的な報告が本項(i)及び(ii)の要件も満たす場合を除き、対象事業者を第(3)項に基づく報告要件から免除すること。
(II) prevent the Agency from contacting an entity submitting information to another Federal agency that is provided to the Agency pursuant to section 104 of the Cyber Incident Reporting for Critical Infrastructure Act of 2022; or (II) 2022年重要インフラ用サイバーインシデント報告法の第104条に従って機関に提供される情報を他の連邦機関に提出する事業体に機関が連絡することを妨げること。
(III) prevent an entity from communicating with the Agency. (III)事業者が弊庁と通信することを妨げること。
(C) DOMAIN NAME SYSTEM.—The requirements under paragraphs (1), (2) and (3) shall not apply to a covered entity or the functions of a covered entity that the Director determines constitute critical infrastructure owned, operated, or governed by multi-stakeholder organizations that develop, implement, and enforce policies concerning the Domain Name System, such as the Internet Corporation for Assigned Names and Numbers or the Internet Assigned Numbers Authority. (C) ドメイン名システム:(1)、(2)、(3)項に基づく要件は、Internet Corporation for Assigned Names and NumbersまたはInternet Assigned Numbers Authorityなどのドメインネームシステムに関するポリシーを開発、実施、執行するマルチステークホルダー組織が所有、運営、管理する重要インフラであると長官が判断する対象組織または対象組織の機能には適用しないものとする。
(6) MANNER, TIMING, AND FORM OF REPORTS.—Reports made under paragraphs (1), (2), and (3) shall be made in the manner and form, and within the time period in the case of reports made under paragraph (3), prescribed in the final rule issued pursuant to subsection (b). (6) 報告の方法、時期、および形式 - (1)、(2)、(3)項に基づく報告は、(b)項に従って発行される最終規則に定められた方法および形式により、(3)項に基づく報告の場合は期間内に行わなければならない。
(7) EFFECTIVE DATE.—Paragraphs (1) through (4) shall take effect on the dates prescribed in the final rule issued pursuant to subsection (b). (7)発効日:(1)~(4)項は(b)に従って発行された最終規則に定められた日付に発効するものとする。
(b) Rulemaking.— (b) 規則制定
(1) NOTICE OF PROPOSED RULEMAKING.—Not later than 24 months after the date of enactment of this section, the Director, in consultation with Sector Risk Management Agencies, the Department of Justice, and other Federal agencies, shall publish in the Federal Register a notice of proposed rulemaking to implement subsection (a). (1) 規則作成提案の通知-本節の成立日から24カ月以内に、長官は、セクター・リスク管理機関、司法省、および他の連邦機関と協議の上、(a)項を実施するための規則作成提案の通知を連邦官報に掲載するものとする。
(2) FINAL RULE.—Not later than 18 months after publication of the notice of proposed rulemaking under paragraph (1), the Director shall issue a final rule to implement subsection (a). (2) 最終規則-第(1)項に基づく規則制定案の公告から18ヶ月以内に、長官は第(a)項を実施するための最終規則を発布するものとする。
(3) SUBSEQUENT RULEMAKINGS.— (3)その後の規則制定-。
(A) IN GENERAL.—The Director is authorized to issue regulations to amend or revise the final rule issued pursuant to paragraph (2). (A)一般的に-長官は(2)に従って発行された最終規則を修正または改定するための規則を発行する権限を有する。
(B) PROCEDURES.—Any subsequent rules issued under subparagraph (A) shall comply with the requirements under chapter 5 of title 5, United States Code, including the issuance of a notice of proposed rulemaking under section 553 of such title. (B) 手順-(A)項に基づいて発行される後続規則は、合衆国法典第5章553節に基づく規則立案通知の発行を含む、同章の要件に従わなければならない。
(c) Elements.—The final rule issued pursuant to subsection (b) shall be composed of the following elements: (c) 要素-第(b)項に従って発行される最終規則は、以下の要素で構成されるものとする。
(1) A clear description of the types of entities that constitute covered entities, based on— (1) 対象事業者を構成する事業者の種類を、以下に基づき明確に記述すること。
(A) the consequences that disruption to or compromise of such an entity could cause to national security, economic security, or public health and safety; (A) 当該事業体の混乱または侵害が、国家安全保障、経済安全保障、または公衆衛生および安全性に及ぼし得る結果。
(B) the likelihood that such an entity may be targeted by a malicious cyber actor, including a foreign country; and (B) 当該事業者が外国を含む悪意のあるサイバー行為者の標的となる可能性。
(C) the extent to which damage, disruption, or unauthorized access to such an entity, including the accessing of sensitive cybersecurity vulnerability information or penetration testing tools or techniques, will likely enable the disruption of the reliable operation of critical infrastructure. (C) 機密性の高いサイバーセキュリティ脆弱性情報または侵入テストのツールや技術へのアクセスを含む、当該事業体への損害、混乱、または不正アクセスが、重要インフラの信頼できる運用の中断を可能にする可能性がある程度。
(2) A clear description of the types of substantial cyber incidents that constitute covered cyber incidents, which shall— (2) 対象となるサイバーインシデントを構成する実質的なサイバーインシデントの種類を明確に説明し、その内容は以下のとおりとする。
(A) at a minimum, require the occurrence of— (A) 少なくとも、以下の事象が発生することが必要である。
(i) a cyber incident that leads to substantial loss of confidentiality, integrity, or availability of such information system or network, or a serious impact on the safety and resiliency of operational systems and processes; (i) 当該情報システム又はネットワークの機密性、完全性若しくは可用性の実質的な喪失、又は運用システム及びプロセスの安全性及び回復力に重大な影響を及ぼすサイバーインシデント。
(ii) a disruption of business or industrial operations, including due to a denial of service attack, ransomware attack, or exploitation of a zero day vulnerability, against (ii) サービス妨害攻撃、ランサムウェア攻撃又はゼロデイ脆弱性の悪用によるものを含む、以下に対する事業又は産業運営の混乱。
(I) an information system or network; or (I) 情報システムまたはネットワーク、または
(II) an operational technology system or process; or (II) 業務用技術システムまたはプロセス、または
(iii) unauthorized access or disruption of business or industrial operations due to loss of service facilitated through, or caused by, a compromise of a cloud service provider, managed service provider, or other third-party data hosting provider or by a supply chain compromise; (iii) クラウドサービスプロバイダ、マネージドサービスプロバイダ、その他の第三者データホスティングプロバイダの侵害を通じて、またはサプライチェーンの侵害によって促進されたサービスの損失による、不正アクセスまたは事業もしくは産業運営の混乱。
(B) consider— (B) 考慮すべき事項
(i) the sophistication or novelty of the tactics used to perpetrate such a cyber incident, as well as the type, volume, and sensitivity of the data at issue; (i) そのようなサイバーインシデントを実行するために使用された戦術の精巧さまたは新規性、ならびに問題となるデータの種類、量、および機密性。
(ii) the number of individuals directly or indirectly affected or potentially affected by such a cyber incident; and (ii) 当該サイバーインシデントにより直接的又は間接的に影響を受ける又は受ける可能性のある個人の数。
(iii) potential impacts on industrial control systems, such as supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers; and (iii) 監視制御およびデータ収集システム、分散制御システム、プログラマブルロジックコントローラなどの産業用制御システムに対する潜在的な影響。
(C) exclude— (C) 除外
(i) any event where the cyber incident is perpetrated in good faith by an entity in response to a specific request by the owner or operator of the information system; and (i) サイバーインシデントが、情報システムの所有者又は運営者による特定の要求に応えて、事業者によって誠実に実行される場合。
(ii) the threat of disruption as extortion, as described in section 2240(14)(A). (ii) 第2240条(14)(A)に記載されている、強要としての破壊の脅威。
(3) A requirement that, if a covered cyber incident or a ransom payment occurs following an exempted threat described in paragraph (2)(C)(ii), the covered entity shall comply with the requirements in this subtitle in reporting the covered cyber incident or ransom payment. (3) (2)(C)(ii)に記載された除外される脅威の後に、対象となるサイバーインシデントまたは身代金の支払いが発生した場合、対象となる事業者は、対象となるサイバーインシデントまたは身代金の支払いの報告において本副題の要件に従わなければならないという要件を定めること。
(4) A clear description of the specific required contents of a report pursuant to subsection (a)(1), which shall include the following information, to the extent applicable and available, with respect to a covered cyber incident: (4) (a)(1)項に基づく報告書の具体的な要求内容の明確な説明。この報告書には、対象となるサイバーインシデントに関して、適用可能かつ利用可能な範囲で、以下の情報を含めるものとする。
(A) A description of the covered cyber incident, including— (A) 対象となるサイバーインシデントの説明(以下を含む)。
(i) identification and a description of the function of the affected information systems, networks, or devices that were, or are reasonably believed to have been, affected by such cyber incident; (i) 当該サイバーインシデントにより影響を受けた、又は受けたと合理的に考えられる情報システム、ネットワーク又はデバイスの特定及び機能の説明。
(ii) a description of the unauthorized access with substantial loss of confidentiality, integrity, or availability of the affected information system or network or disruption of business or industrial operations; (ii) 影響を受けた情報システムもしくはネットワークの機密性、完全性もしくは可用性の実質的な損失を伴う不正アクセス、または事業もしくは産業運営の中断の説明。
(iii) the estimated date range of such incident; and (iii) 当該インシデントの推定発生日範囲。
(iv) the impact to the operations of the covered entity. (iv) 対象事業者の業務への影響
(B) Where applicable, a description of the vulnerabilities exploited and the security defenses that were in place, as well as the tactics, techniques, and procedures used to perpetrate the covered cyber incident. (B) 該当する場合、悪用された脆弱性及び実施されたセキュリティ防御、並びに対象となるサイバーインシデントを実行するために使用された戦術、技術及び手続きの説明。
(C) Where applicable, any identifying or contact information related to each actor reasonably believed to be responsible for such cyber incident. (C) 該当する場合、当該サイバーインシデントに責任があると合理的に考えられる各関係者に関する識別情報または連絡先情報。
(D) Where applicable, identification of the category or categories of information that were, or are reasonably believed to have been, accessed or acquired by an unauthorized person. (D) 該当する場合、権限のない者によってアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー又はカテゴリーの識別。
(E) The name and other information that clearly identifies the covered entity impacted by the covered cyber incident, including, as applicable, the State of incorporation or formation of the covered entity, trade names, legal names, or other identifiers. (E) 該当する場合、対象事業体の設立または形成の州、商号、法的名称、またはその他の識別子を含む、対象サイバーインシデントにより影響を受けた対象事業体を明確に識別する名称およびその他の情報。
(F) Contact information, such as telephone number or electronic mail address, that the Agency may use to contact the covered entity or an authorized agent of such covered entity, or, where applicable, the service provider of such covered entity acting with the express permission of, and at the direction of, the covered entity to assist with compliance with the requirements of this subtitle. (F) 本款の要件の遵守を支援するために、対象事業者又は当該対象事業者の権限のある代理人、又は該当する場合、対象事業者の明示的な許可及び指示により行動する当該対象事業者のサービス提供者に連絡するために機関が使用できる電話番号又は電子メールアドレス等の連絡先情報。
(5) A clear description of the specific required contents of a report pursuant to subsection (a)(2), which shall be the following information, to the extent applicable and available, with respect to a ransom payment: (5) (a)項(2)に基づく報告書の具体的な要求内容の明確な説明。身代金の支払いに関しては、該当し利用できる範囲において、以下の情報とする。
(A) A description of the ransomware attack, including the estimated date range of the attack. (A) ランサムウェアの攻撃に関する説明(攻撃の推定される日付範囲を含む)。
(B) Where applicable, a description of the vulnerabilities, tactics, techniques, and procedures used to perpetrate the ransomware attack. (B) 該当する場合、ランサムウェア攻撃を実行するために使用された脆弱性、戦術、技術及び手続の説明。
(C) Where applicable, any identifying or contact information related to the actor or actors reasonably believed to be responsible for the ransomware attack. (C) 該当する場合、ランサムウェア攻撃に責任を負うと合理的に考えられる行為者又は行為者に関連する識別情報又は連絡先情報。
(D) The name and other information that clearly identifies the covered entity that made the ransom payment or on whose behalf the payment was made. (D) 身代金の支払いを行った、またはその支払いを代行した適用対象事業者を明確に特定する名前およびその他の情報。
(E) Contact information, such as telephone number or electronic mail address, that the Agency may use to contact the covered entity that made the ransom payment or an authorized agent of such covered entity, or, where applicable, the service provider of such covered entity acting with the express permission of, and at the direction of, that covered entity to assist with compliance with the requirements of this subtitle. (E) 身代金の支払いを行った対象事業者、当該対象事業者の権限のある代理人、または該当する場合、当該対象事業者の明示的な許可を得て、当該対象事業者の指示により行動する当該対象事業者のサービスプロバイダに連絡して、本款の要件の遵守を支援するために機関が使用できる電話番号または電子メールアドレスなどの連絡先情報。
(F) The date of the ransom payment. (F) 身代金の支払日。
(G) The ransom payment demand, including the type of virtual currency or other commodity requested, if applicable. (G) 身代金の支払要求(該当する場合、要求された仮想通貨又はその他の商品の種類を含む)。
(H) The ransom payment instructions, including information regarding where to send the payment, such as the virtual currency address or physical address the funds were requested to be sent to, if applicable. (H) 身代金の支払いに関する指示(該当する場合、資金の送付先として要求された仮想通貨アドレスまたは物理的なアドレスなど、支払先に関する情報を含む)。
(I) The amount of the ransom payment. (I) 身代金の支払額。
(6) A clear description of the types of data required to be preserved pursuant to subsection (a)(4), the period of time for which the data is required to be preserved, and allowable uses, processes, and procedures. (6) (a)(4)項に従って保存が求められるデータの種類、データの保存が求められる期間、許容される用途、プロセス、手順に関する明確な記述。
(7) Deadlines and criteria for submitting supplemental reports to the Agency required under subsection (a)(3), which shall— (7) (a)(3)項に基づき必要とされる当庁への補足報告書の提出期限及び基準(以下「期限」という。
(A) be established by the Director in consultation with the Council; (A) 審議会と協議の上、長官が制定すること。
(B) consider any existing regulatory reporting requirements similar in scope, purpose, and timing to the reporting requirements to which such a covered entity may also be subject, and make efforts to harmonize the timing and contents of any such reports to the maximum extent practicable; (B) 対象事業者が受ける可能性のある報告要件と範囲、目的、時期が類似した既存の規制当局の報告要件を考慮し、実行可能な範囲で、そのような報告の時期及び内容を調和させるよう努力すること。
(C) balance the need for situational awareness with the ability of the covered entity to conduct cyber incident response and investigations; and (C) 状況把握の必要性と、対象事業者がサイバーインシデント対応及び調査を行う能力とのバランスをとる。
(D) provide a clear description of what constitutes substantial new or different information. (D) 何が実質的に新しいまたは異なる情報であるかを明確に説明すること。
(8) Procedures for— (8) 手続き
(A) entities, including third parties pursuant to subsection (d)(1), to submit reports required by paragraphs (1), (2), and (3) of subsection (a), including the manner and form thereof, which shall include, at a minimum, a concise, user-friendly web-based form; (A) (d)(1)項に基づく第三者を含む事業者が、(a)項(1)、(2)、(3)で要求される報告を提出する方法および様式(少なくとも、簡潔で使いやすいウェブ上の様式を含むものとする)。
(B) the Agency to carry out— (B) 以下を実施するための機関
(i) the enforcement provisions of section 2244, including with respect to the issuance, service, withdrawal, referral process, and enforcement of subpoenas, appeals and due process procedures; (i) 召喚状の発行、送達、取下げ、照会手続き、執行、上訴、適正手続きに関するものを含む、第2244条の執行規定。
(ii) other available enforcement mechanisms including acquisition, suspension and debarment procedures; and (ii) 買収、一時停止、資格剥奪の手続きを含む、その他の利用可能な執行メカニズム。
(iii) other aspects of noncompliance; (iii) コンプライアンス違反のその他の側面。
(C) implementing the exceptions provided in subsection (a)(5); and (C) (a)(5)項に規定される例外を実施すること。
(D) protecting privacy and civil liberties consistent with processes adopted pursuant to section 105(b) of the Cybersecurity Act of 2015 (6 U.S.C. 1504(b)) and anonymizing and safeguarding, or no longer retaining, information received and disclosed through covered cyber incident reports and ransom payment reports that is known to be personal information of a specific individual or information that identifies a specific individual that is not directly related to a cybersecurity threat. (D) 2015年サイバーセキュリティ法(6 U.S.C. 1504(b))の105(b)項に従って採用されたプロセスと一致するプライバシーと国民の自由を保護し、特定の個人の個人情報またはサイバーセキュリティ脅威と直接関係しない特定の個人を識別する情報であることが分かっている対象サイバーインシデント報告および身代金支払報告を通じて受領・開示された情報を匿名化して保護するか、保存しないようにする。
(9) Other procedural measures directly necessary to implement subsection (a). (9) (a)項を実施するために直接必要なその他の手続き上の措置。
(d) Third party report submission and ransom payment.— (d) 第三者による報告書の提出および身代金の支払い。
(1) REPORT SUBMISSION.—A covered entity that is required to submit a covered cyber incident report or a ransom payment report may use a third party, such as an incident response company, insurance provider, service provider, Information Sharing and Analysis Organization, or law firm, to submit the required report under subsection (a). (1) 報告書の提出-対象となるサイバーインシデント報告書または身代金支払報告書を提出する必要がある対象事業者は、インシデント対応会社、保険会社、サービスプロバイダー、情報共有分析機関、または法律事務所などの第三者を利用して、第(a)項に基づく必要な報告書を提出することができる。
(2) RANSOM PAYMENT.—If a covered entity impacted by a ransomware attack uses a third party to make a ransom payment, the third party shall not be required to submit a ransom payment report for itself under subsection (a)(2). (2) 身代金支払い-ランサムウェア攻撃の影響を受けた対象事業体が第三者を利用して身代金の支払いを行う場合、当該第三者は、第(a)(2)項に基づき自身の身代金支払い報告書を提出する必要はないものとする。
(3) DUTY TO REPORT.—Third-party reporting under this subparagraph does not relieve a covered entity from the duty to comply with the requirements for covered cyber incident report or ransom payment report submission. (3) 報告義務:本サブパラグラフに基づく第三者による報告は、対象事業者が対象サイバーインシデント報告または身代金支払い報告の提出に関する要件を遵守する義務を免除するものではない。
(4) RESPONSIBILITY TO ADVISE.—Any third party used by a covered entity that knowingly makes a ransom payment on behalf of a covered entity impacted by a ransomware attack shall advise the impacted covered entity of the responsibilities of the impacted covered entity regarding reporting ransom payments under this section. (4) 通知する責任:ランサムウェア攻撃の影響を受けた対象事業体に代わって故意に身代金の支払いを行う対象事業体が使用する第三者は、影響を受けた対象事業体が本条に基づく身代金の支払いを報告することについて、その責任について通知するものとする。
(e) Outreach to covered entities.— (e) 対象事業体への支援活動
(1) IN GENERAL.—The Agency shall conduct an outreach and education campaign to inform likely covered entities, entities that offer or advertise as a service to customers to make or facilitate ransom payments on behalf of covered entities impacted by ransomware attacks and other appropriate entities of the requirements of paragraphs (1), (2), and (3) of subsection (a). (1)一般的に-当庁は、可能性の高い対象事業体、ランサムウェア攻撃の影響を受けた対象事業体に代わって身代金の支払いを行う、または促進するサービスを顧客に提供または宣伝する事業体、その他の適切な事業体に、第(a)項(1)、(2)、(3)の要件を知らせるために、支援・教育キャンペーンを行うものとする。
(2) ELEMENTS.—The outreach and education campaign under paragraph (1) shall include the following: (2) 要素 - (1)項に基づく支援活動および教育キャンペーンは、以下を含むものとする。
(A) An overview of the final rule issued pursuant to subsection (b). (A)第(b)項に従って発行された最終規則の概要。
(B) An overview of mechanisms to submit to the Agency covered cyber incident reports, ransom payment reports, and information relating to the disclosure, retention, and use of covered cyber incident reports and ransom payment reports under this section. (B) 本条に基づき、対象となるサイバーインシデント報告、身代金支払報告、および対象となるサイバーインシデント報告および身代金支払報告の開示、保管、および使用に関連する情報を同庁に提出するための仕組みの概要。
(C) An overview of the protections afforded to covered entities for complying with the requirements under paragraphs (1), (2), and (3) of subsection (a). (C) (a)項の(1)、(2)、(3)に基づく要件を遵守するために対象事業者に与えられる保護措置の概要。
(D) An overview of the steps taken under section 2244 when a covered entity is not in compliance with the reporting requirements under subsection (a). (D) 対象事業者が(a)項の報告要件を遵守していない場合に、第2244条の下で取られる措置の概要。
(E) Specific outreach to cybersecurity vendors, cyber incident response providers, cybersecurity insurance entities, and other entities that may support covered entities. (E) サイバーセキュリティベンダー、サイバーインシデント対応プロバイダー、サイバーセキュリティ保険会社、および対象事業者を支援する可能性があるその他の事業者に対する具体的な働きかけ。
(F) An overview of the privacy and civil liberties requirements in this subtitle. (F) 本サブタイトルにおけるプライバシー及び市民的自由の要求の概要。
(3) COORDINATION.—In conducting the outreach and education campaign required under paragraph (1), the Agency may coordinate with— (3) 協調:(1)項に基づき要求されるアウトリーチ及び教育キャンペーンを実施するにあたり、同庁は、以下と協調することができる。
(A) the Critical Infrastructure Partnership Advisory Council established under section 871; (A) 第871条に基づいて設立された重要インフラストラクチャー・パートナーシップ諮問委員会。
(B) Information Sharing and Analysis Organizations; (B) 情報共有・分析組織。
(C) trade associations; (c) 業界団体
(D) information sharing and analysis centers; (D) 情報共有・分析センター
(E) sector coordinating councils; and (E) 部門調整協議会、及び
(F) any other entity as determined appropriate by the Director. (F) 長官が適切と判断したその他の団体。
(f) Exemption.—Sections 3506(c), 3507, 3508, and 3509 of title 44, United States Code, shall not apply to any action to carry out this section. (f) 適用除外:合衆国法典第44編第3506(c)項、第3507項、第3508項、および第3509項は、本項を実施するためのいかなる行動にも適用されないものとする。
(g) Rule of construction.—Nothing in this section shall affect the authorities of the Federal Government to implement the requirements of Executive Order 14028 (86 Fed. Reg. 26633; relating to improving the nation’s cybersecurity), including changes to the Federal Acquisition Regulations and remedies to include suspension and debarment. (g) 構成規則:本節のいかなる内容も、連邦調達規則の変更および停止と剥奪を含む救済措置を含む、大統領令14028(86 Fed. Reg. 26633;国家のサイバーセキュリティの改善に関するもの)の要件を実施する連邦政府の権限に影響を与えないものとする。
(h) Savings provision.—Nothing in this section shall be construed to supersede or to abrogate, modify, or otherwise limit the authority that is vested in any officer or any agency of the United States Government to regulate or take action with respect to the cybersecurity of an entity. (h) 節約条項:本節のいかなる内容も、ある企業のサイバーセキュリティに関して規制または行動を起こすために、米国政府のいかなる役員または機関に付与された権限に取って代わる、またはそれを破棄、修正、あるいは制限すると解釈されてはならない。
SEC. 2243. Voluntary reporting of other cyber incidents. 第2243条 その他のサイバーインシデントの自主的な報告
(a) In general.—Entities may voluntarily report cyber incidents or ransom payments to the Agency that are not required under paragraph (1), (2), or (3) of section 2242(a), but may enhance the situational awareness of cyber threats. (a) 一般に、事業体は、第2242条(a)の(1)、(2)、(3)項の下で要求されないが、サイバー脅威の状況認識を強化する可能性があるサイバーインシデントまたは身代金の支払いを、自発的に当庁に報告することができる。
(b) Voluntary provision of additional information in required reports.—Covered entities may voluntarily include in reports required under paragraph (1), (2), or (3) of section 2242(a) information that is not required to be included, but may enhance the situational awareness of cyber threats. (b) 要求される報告書における追加情報の自発的な提供:対象事業者は、第 2242 条(a)の (1)、(2)、(3)項に基づき求められる報告書に、記載が要求されないが、サイバー脅威の状況認識を強化する可能性のある情報を自発的に含めることができる。
(c) Application of protections.—The protections under section 2245 applicable to reports made under section 2242 shall apply in the same manner and to the same extent to reports and information submitted under subsections (a) and (b). (c) 保護の適用: 第2242条に基づく報告に適用される第2245条の保護は、第(a)項および第(b)項に基づいて提出された報告および情報と同じ方法および同じ程度に適用されるものとする。
SEC. 2244. Noncompliance with required reporting. 第2244条 報告義務の不履行
(a) Purpose.—In the event that a covered entity that is required to submit a report under section 2242(a) fails to comply with the requirement to report, the Director may obtain information about the cyber incident or ransom payment by engaging the covered entity directly to request information about the cyber incident or ransom payment, and if the Director is unable to obtain information through such engagement, by issuing a subpoena to the covered entity, pursuant to subsection (c), to gather information sufficient to determine whether a covered cyber incident or ransom payment has occurred. (a) 目的 - 第2242条(a)に基づき報告書を提出することが要求されている対象事業者が報告する義務を遵守しない場合、長官は、対象事業者に直接関与してサイバーインシデントまたは身代金支払いに関する情報を要求し、長官がかかる関与を通じて情報を取得できない場合、対象サイバーインシデントまたは身代金支払いが発生したかどうかを確認するために、第(c)項に基づき、対象事業者に対して召喚状を発し情報を収集することにより、当該サイバーインシデントまたは身代金支払いに関する情報を取得できるものとする。
(b) Initial request for information.— (b) 最初の情報提供の要請
(1) IN GENERAL.—If the Director has reason to believe, whether through public reporting or other information in the possession of the Federal Government, including through analysis performed pursuant to paragraph (1) or (2) of section 2241(a), that a covered entity has experienced a covered cyber incident or made a ransom payment but failed to report such cyber incident or payment to the Agency in accordance with section 2242(a), the Director may request additional information from the covered entity to confirm whether or not a covered cyber incident or ransom payment has occurred. (1) 一般的に-長官は、公的報告または連邦政府が保有する他の情報(第2241条(a)の(1)または(2)に従って行われる分析によるものを含む)により、対象団体が対象サイバーインシデントを経験したか身代金の支払いを行ったが第2242条(a)に従って当庁に当該サイバーインシデントまたは支払いの報告をしなかったと信じる理由があれば、長官は対象団体に追加情報を要求して対象サイバーインシデントまたは身代金支払いが起きたか否かを確認することができる。
(2) TREATMENT.—Information provided to the Agency in response to a request under paragraph (1) shall be treated as if it was submitted through the reporting procedures established in section 2242. (2) 取り扱い:(1)に基づく要請に応じて長官に提供された情報は、第2242条で確立された報告手続きを通じて提出されたものとして扱われるものとする。
(c) Enforcement.— (c) 施行
(1) IN GENERAL.—If, after the date that is 72 hours from the date on which the Director made the request for information in subsection (b), the Director has received no response from the covered entity from which such information was requested, or received an inadequate response, the Director may issue to such covered entity a subpoena to compel disclosure of information the Director deems necessary to determine whether a covered cyber incident or ransom payment has occurred and obtain the information required to be reported pursuant to section 2242 and any implementing regulations, and assess potential impacts to national security, economic security, or public health and safety. (1) 一般的に。 - (b)項の情報の要請を行った日から72時間経過した後、長官が当該情報を要請された対象事業者から何の回答も得られなかった場合、または不十分な回答を得た場合、長官は当該対象事業者に対して、対象サイバーインシデントまたは身代金の支払いが発生したかどうかを判断し、第2242条および施行規則に従って報告することが求められる情報を入手し、国家の安全、経済安全または公衆衛生および安全に対する潜在的影響を評価するために長官が必要と考える情報を強制開示する召喚状を発布できるものとする。
(2) CIVIL ACTION.— (2) 民事訴訟
(A) IN GENERAL.—If a covered entity fails to comply with a subpoena, the Director may refer the matter to the Attorney General to bring a civil action in a district court of the United States to enforce such subpoena. (A) 一般的に-対象事業者が召喚に従わない場合、長官は、当該召喚を執行するために米国の地方裁判所において民事訴訟を起こすよう司法長官に照会することができる。
(B) VENUE.—An action under this paragraph may be brought in the judicial district in which the covered entity against which the action is brought resides, is found, or does business. (B) 裁判地-本項に基づく訴訟は、訴訟を起こす対象団体が居住、所在、または事業を行う司法地区において提起することができる。
(C) CONTEMPT OF COURT.—A court may punish a failure to comply with a subpoena issued under this subsection as contempt of court. (C) 法廷侮辱罪:裁判所は、本項に基づき発行された召喚状への不遵守を法廷侮辱罪として罰することができる。
(3) NON-DELEGATION.—The authority of the Director to issue a subpoena under this subsection may not be delegated. (3) 非委任: 本款に基づき召喚状を発行する長官の権限は、委任することはできない。
(4) AUTHENTICATION.— (4) 認証
(A) IN GENERAL.—Any subpoena issued electronically pursuant to this subsection shall be authenticated with a cryptographic digital signature of an authorized representative of the Agency, or other comparable successor technology, that allows the Agency to demonstrate that such subpoena was issued by the Agency and has not been altered or modified since such issuance. (A) 一般に、このサブセクションに従って電子的に発行されるすべての召喚状は、当該召喚状が庁によって発行され、当該発行以降に変更または修正されていないことを庁が証明することができる、庁の権限を有する代表者の暗号デジタル署名、または他の同等の後継技術によって認証されるものとする。
(B) INVALID IF NOT AUTHENTICATED.—Any subpoena issued electronically pursuant to this subsection that is not authenticated in accordance with subparagraph (A) shall not be considered to be valid by the recipient of such subpoena. (B) 認証されないと無効 - 本款に従って電子的に発行された召喚状で、(A)号に従って認証されないものは、当該召喚状の受領者により有効とみなされないものとする。
(d) Provision of certain information to Attorney General.— (d)  司法長官への特定の情報の提供-
(1) IN GENERAL.—Notwithstanding section 2245(a)(5) and paragraph (b)(2) of this section, if the Director determines, based on the information provided in response to a subpoena issued pursuant to subsection (c), that the facts relating to the cyber incident or ransom payment at issue may constitute grounds for a regulatory enforcement action or criminal prosecution, the Director may provide such information to the Attorney General or the head of the appropriate Federal regulatory agency, who may use such information for a regulatory enforcement action or criminal prosecution. (1) 一般的に、第2245条(a)(5)および(b)(2)にかかわらず、長官が、(c)に従って出された召喚状に応じて提供された情報に基づき、問題となっているサイバーインシデントまたは身代金の支払いに関する事実は規制執行措置または刑事訴追の根拠となると判断する場合、長官から司法長官または適切な連邦規制機関の長に当該情報を提供でき、当該機関は当該情報を規制執行措置または刑事訴追に使用できるものとする。
(2) CONSULTATION.—The Director may consult with the Attorney General or the head of the appropriate Federal regulatory agency when making the determination under paragraph (1). (2)協議:長官は、(1)に基づく決定を行う際に、司法長官または適切な連邦規制機関の長と協議することができる。
(e) Considerations.—When determining whether to exercise the authorities provided under this section, the Director shall take into consideration— (e) 考慮事項: 本条に基づく権限を行使するかどうかを決定する際、長官は以下を考慮するものとする。
(1) the complexity in determining if a covered cyber incident has occurred; and (1) 対象となるサイバーインシデントが発生したかどうかを判断する際の複雑さ。
(2) prior interaction with the Agency or awareness of the covered entity of the policies and procedures of the Agency for reporting covered cyber incidents and ransom payments. (2) 当庁との事前のやり取り、または対象となるサイバーインシデントおよび身代金の支払いを報告するための当庁の方針および手続きに対する対象事業者の認識。
(f) Exclusions.—This section shall not apply to a State, local, Tribal, or territorial government entity. (f)除外:本項は、州、地方、部族、または準州の政府機関には適用されないものとする。
(g) Report to Congress.—The Director shall submit to Congress an annual report on the number of times the Director— (g) 議会への報告:長官は、以下の回数に関する年次報告書を議会に提出するものとする。
(1) issued an initial request for information pursuant to subsection (b); (1) 第(b)項に従って最初の情報請求を行う。
(2) issued a subpoena pursuant to subsection (c); or (2) (c)項に従って召喚状を発行した。
(3) referred a matter to the Attorney General for a civil action pursuant to subsection (c)(2). (3) (c)項(2)に従い、民事訴訟のために司法長官に案件を照会したこと。
(h) Publication of the annual report.—The Director shall publish a version of the annual report required under subsection (g) on the website of the Agency, which shall include, at a minimum, the number of times the Director— (h) 年次報告書の公表-長官は、第(g)項に基づき要求される年次報告書のバージョンを庁のウェブサイトに公表するものとし、それには少なくとも、長官が次のことを行った回数が含まれるものとする。
(1) issued an initial request for information pursuant to subsection (b); or (1) 第(b)項に従って最初の情報提供の要請を行った。
(2) issued a subpoena pursuant to subsection (c). (2) (c)項に従って召喚状を発行したこと。
(i) Anonymization of reports.—The Director shall ensure any victim information contained in a report required to be published under subsection (h) be anonymized before the report is published. (i) 報告書の匿名化-長官は、第(h)項に基づき公表が要求される報告書に含まれる被害者情報が、報告書が公表される前に匿名化されるよう保証するものとする。
SEC. 2245. Information shared with or provided to the Federal Government. 第2245条 連邦政府と共有する、または連邦政府に提供する情報
(a) Disclosure, retention, and use.— (a) 開示、保持、および使用。
(1) AUTHORIZED ACTIVITIES.—Information provided to the Agency pursuant to section 2242 or 2243 may be disclosed to, retained by, and used by, consistent with otherwise applicable provisions of Federal law, any Federal agency or department, component, officer, employee, or agent of the Federal Government solely for— (1) 許容される活動:第2242条または第2243条に従って機関に提供された情報は、連邦法の他の適用可能な規定と矛盾しないように、連邦機関の部局、構成要素、役員、職員または連邦政府の代理人に開示、保持、使用することができるが、その目的は以下のとおりである。
(A) a cybersecurity purpose; (A) サイバーセキュリティの目的。
(B) the purpose of identifying— (B) 識別する目的
(i) a cyber threat, including the source of the cyber threat; or (i) サイバー脅威(サイバー脅威の発生源を含む)、または
(ii) a security vulnerability; (ii) セキュリティの脆弱性。
(C) the purpose of responding to, or otherwise preventing or mitigating, a specific threat of death, a specific threat of serious bodily harm, or a specific threat of serious economic harm, including a terrorist act or use of a weapon of mass destruction; (C) テロ行為または大量破壊兵器の使用を含む、死亡の特定の脅威、深刻な身体的被害の特定の脅威、または深刻な経済的被害の特定の脅威に対応する、またはその他の方法で防止もしくは軽減する目的。
(D) the purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating, a serious threat to a minor, including sexual exploitation and threats to physical safety; or (D) 未成年者に対する深刻な脅威(性的搾取および身体の安全に対する脅威を含む)への対応、調査、訴追、またはその他の予防もしくは軽減を目的とする場合。
(E) the purpose of preventing, investigating, disrupting, or prosecuting an offense arising out of a cyber incident reported pursuant to section 2242 or 2243 or any of the offenses listed in section 105(d)(5)(A)(v) of the Cybersecurity Act of 2015 (6 U.S.C. 1504(d)(5)(A)(v)). (E) 第2242条もしくは第2243条に従って報告されたサイバーインシデントまたは2015年サイバーセキュリティ法(6 U.S.C. 1504 (d)(5)(A) (v))第105(d)(5)(A)項に記載の犯罪から生じる犯罪を防止、調査、混乱、または訴追する目的で行う。
(2) AGENCY ACTIONS AFTER RECEIPT.— (2) 受領後の機関の措置
(A) RAPID, CONFIDENTIAL SHARING OF CYBER THREAT INDICATORS.—Upon receiving a covered cyber incident or ransom payment report submitted pursuant to this section, the Agency shall immediately review the report to determine whether the cyber incident that is the subject of the report is connected to an ongoing cyber threat or security vulnerability and where applicable, use such report to identify, develop, and rapidly disseminate to appropriate stakeholders actionable, anonymized cyber threat indicators and defensive measures. (A) サイバー脅威指標の迅速かつ機密性の高い共有:本節に従って提出された対象となるサイバーインシデントまたは身代金支払報告を受け取ると、庁は直ちにその報告を確認し、報告の対象であるサイバーインシデントが進行中のサイバー脅威またはセキュリティ脆弱性に関連しているかどうかを判断し、該当する場合、当該報告を利用して、実行可能で匿名化したサイバー脅威指標および防御策を特定、開発、および関係者に迅速に普及させるものとする。
(B) PRINCIPLES FOR SHARING SECURITY VULNERABILITIES.—With respect to information in a covered cyber incident or ransom payment report regarding a security vulnerability referred to in paragraph (1)(B)(ii), the Director shall develop principles that govern the timing and manner in which information relating to security vulnerabilities may be shared, consistent with common industry best practices and United States and international standards. (B) セキュリティ脆弱性の共有に関する原則 - (1)(B)(ii)に言及されたセキュリティ脆弱性に関する対象サイバーインシデントまたは身代金支払報告書の情報に関して、長官は、一般業界のベストプラクティスおよび米国および国際標準と一致する、セキュリティ脆弱性に関する情報を共有できるタイミングと方法を規定する原則を策定するものとする。
(3) PRIVACY AND CIVIL LIBERTIES.—Information contained in covered cyber incident and ransom payment reports submitted to the Agency pursuant to section 2242 shall be retained, used, and disseminated, where permissible and appropriate, by the Federal Government in accordance with processes to be developed for the protection of personal information consistent with processes adopted pursuant to section 105 of the Cybersecurity Act of 2015 (6 U.S.C. 1504) and in a manner that protects personal information from unauthorized use or unauthorized disclosure. (3) プライバシーと国民の自由:第2242条に従って庁に提出された対象となるサイバーインシデントおよび身代金支払報告に含まれる情報は、許容かつ適切な場合には、2015年サイバーセキュリティ法(6 U.S.C. 1504)第105条に従って採用されたプロセスと一致する個人情報の保護のために策定されるプロセスに従って、かつ不正使用または不正開示から個人情報を守る方法で連邦政府が保持、使用および普及させるものとする。
(4) DIGITAL SECURITY.—The Agency shall ensure that reports submitted to the Agency pursuant to section 2242, and any information contained in those reports, are collected, stored, and protected at a minimum in accordance with the requirements for moderate impact Federal information systems, as described in Federal Information Processing Standards Publication 199, or any successor document. (4) デジタル・セキュリティ:当庁は、第2242条に従って当庁に提出された報告書、およびそれらの報告書に含まれるあらゆる情報が、連邦情報処理基準出版物199、または任意の後継文書に記載された、中程度の影響を与える連邦情報システムの要件に従って、少なくとも収集、保管、および保護されるようにするものとする。
(5) PROHIBITION ON USE OF INFORMATION IN REGULATORY ACTIONS.— (5) 規制措置における情報の使用禁止
(A) IN GENERAL.—A Federal, State, local, or Tribal government shall not use information about a covered cyber incident or ransom payment obtained solely through reporting directly to the Agency in accordance with this subtitle to regulate, including through an enforcement action, the activities of the covered entity or entity that made a ransom payment, unless the government entity expressly allows entities to submit reports to the Agency to meet regulatory reporting obligations of the entity. (A) 一般に、連邦、州、地方、または部族政府は、政府機関が、当該機関の規制報告義務を果たすために当該機関が報告書を提出することを明示的に許可しない限り、強制措置を通じた場合を含め、対象事業者または身代金支払いを行った事業者の活動を規制するために、本小文字に従って直接機関に報告することによってのみ取得した対象サイバーインシデントまたは身代金支払いに関する情報を使用しないものとする。
(B) CLARIFICATION.—A report submitted to the Agency pursuant to section 2242 or 2243 may, consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, inform the development or implementation of regulations relating to such systems. (B)明確化-第2242条または第2243条に従って庁に提出された報告は、情報システムに対するサイバーセキュリティの脅威の防止および軽減に特に関連する連邦または州の規制当局と一致し、当該システムに関する規制の策定または実施に情報を提供することができる。
(b) Protections for reporting entities and information.—Reports describing covered cyber incidents or ransom payments submitted to the Agency by entities in accordance with section 2242, as well as voluntarily-submitted cyber incident reports submitted to the Agency pursuant to section 2243, shall— (b) 報告主体および情報に対する保護 - 第2242条に従って主体がCIAに提出した対象となるサイバーインシデントまたは身代金の支払いを説明する報告書、および第2243条に従ってCIAに提出した自発的に提出されたサイバーインシデント報告書は、以下となる。
(1) be considered the commercial, financial, and proprietary information of the covered entity when so designated by the covered entity; (1) 対象事業者がそう指定した場合、対象事業者の商業、財務、および専有情報とみなされる。
(2) be exempt from disclosure under section 552(b)(3) of title 5, United States Code (commonly known as the ‘Freedom of Information Act’), as well as any provision of State, Tribal, or local freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records; (2) 米国法典第5編第552条(b)(3)(通称「情報公開法」)及び州、部族又は地域の情報公開法、公開政府法、公開会議法、公開記録法、日光法又は情報若しくは記録の開示を要求する同様の法律の規定による開示を免除されること。
(3) be considered not to constitute a waiver of any applicable privilege or protection provided by law, including trade secret protection; and (3) 企業秘密の保護を含め、適用されるあらゆる特権または法律による保護の放棄とはみなされないこと。
(4) not be subject to a rule of any Federal agency or department or any judicial doctrine regarding ex parte communications with a decision-making official. (4) 意思決定を行う役人との一方的なコミュニケーションに関する連邦機関や部署の規則、または司法の教義に従わないこと。
(c) Liability protections.— (c) 責任の保護
(1) IN GENERAL.—No cause of action shall lie or be maintained in any court by any person or entity and any such action shall be promptly dismissed for the submission of a report pursuant to section 2242(a) that is submitted in conformance with this subtitle and the rule promulgated under section 2242(b), except that this subsection shall not apply with regard to an action by the Federal Government pursuant to section 2244(c)(2). 一般的にこの副題および第2242条(b)に基づき公布された規則に準拠して提出された第2242条(a)に基づく報告書については、いかなる個人または団体も裁判所に訴因を認めず維持せず、かかる訴えは速やかに却下されるものとします。ただし、第2244条(c)(2)に基づく連邦政府による訴えについては、本項を適用しないものとする。
(2) SCOPE.—The liability protections provided in this subsection shall only apply to or affect litigation that is solely based on the submission of a covered cyber incident report or ransom payment report to the Agency. (2) 範囲:本小節に規定される責任保護は、対象となるサイバーインシデント報告書または身代金支払報告書を当庁に提出したことのみに基づく訴訟にのみ適用または影響されるものとする。
(3) RESTRICTIONS.—Notwithstanding paragraph (2), no report submitted to the Agency pursuant to this subtitle or any communication, document, material, or other record, created for the sole purpose of preparing, drafting, or submitting such report, may be received in evidence, subject to discovery, or otherwise used in any trial, hearing, or other proceeding in or before any court, regulatory body, or other authority of the United States, a State, or a political subdivision thereof, provided that nothing in this subtitle shall create a defense to discovery or otherwise affect the discovery of any communication, document, material, or other record not created for the sole purpose of preparing, drafting, or submitting such report. (3) 制限。 -(2)にかかわらず、このサブタイトルに従って省庁に提出された報告書、または当該報告書の準備、起草、提出のみを目的として作成された通信、文書、資料、その他の記録は、証拠受領、開示対象、または裁判所におけるもしくは裁判所におけるその他の手続で使用することができない。ただし、本款のいかなる規定も、当該報告書の準備、起草、または提出のみを目的として作成されていない通信、文書、資料、またはその他の記録の開示に対する抗弁を生じさせたり、その他の影響を与えたりするものではない。
(d) Sharing with non-Federal entities.—The Agency shall anonymize the victim who reported the information when making information provided in reports received under section 2242 available to critical infrastructure owners and operators and the general public. (d) 非連邦機関との共有:当庁は、第2242条に基づいて受領した報告書に記載された情報を重要インフラ所有者および運営者ならびに一般公衆に提供する際、情報を報告した被害者を匿名化するものとする。
(e) Stored Communications Act.—Nothing in this subtitle shall be construed to permit or require disclosure by a provider of a remote computing service or a provider of an electronic communication service to the public of information not otherwise permitted or required to be disclosed under chapter 121 of title 18, United States Code (commonly known as the ‘Stored Communications Act’). (e) 保存された通信法:本小論のいかなる内容も、リモート・コンピューティング・サービスのプロバイダまたは電子通信サービスのプロバイダが、合衆国法典第18編第121章(通称「保存された通信法」)の下で別途開示が許可または要求されていない情報を公衆に開示することを許可または要求すると解釈されてはならない。
SEC. 2246. Cyber Incident Reporting Council. 第2246条 サイバーインシデント報告協議会
(a) Responsibility of the secretary.—The Secretary shall lead an intergovernmental Cyber Incident Reporting Council, in consultation with the Director of the Office of Management and Budget, the Attorney General, the National Cyber Director, Sector Risk Management Agencies, and other appropriate Federal agencies, to coordinate, deconflict, and harmonize Federal incident reporting requirements, including those issued through regulations. (a) 長官の責任 - 長官は、行政管理予算長官官、司法長官、国家サイバー長官、セクターリスク管理機関、およびその他の適切な連邦機関と協議して、政府間サイバーインシデント報告協議会を主導し、規制を通じて発行されたものを含む連邦インシデント報告要件の調整、矛盾の解消、調和を図るものとする。
(b) Rule of construction.—Nothing in subsection (a) shall be construed to provide any additional regulatory authority to any Federal entity.”. (b) 構成規則:(a)項のいかなる内容も、いかなる連邦機関にも追加の規制権限を与えるものと解釈してはならない。
(b) Technical and conforming amendment.—The table of contents in section 1(b) of the Homeland Security Act of 2002 (Public Law 107–296; 116 Stat. 2135) is amended by inserting after the items relating to subtitle C of title XXII the following: (b) 技術的および適合的修正。2002年国土安全保障法(公法107-296;116 Stat. 2135)の第1節(b)の目次は、タイトルXXIIのサブタイトルCに関する項目の後に以下を挿入して修正される。
Subtitle D—Cyber Incident Reporting 第D章 - サイバーインシデント報告
“Sec. 2240. Definitions. 第2240条 定義
“Sec. 2241. Cyber Incident Review. 第2241条 サイバーインシデントのレビュー
“Sec. 2242. Required reporting of certain cyber incidents. 第2242条 特定のサイバーインシデントの報告義務
“Sec. 2243. Voluntary reporting of other cyber incidents. 第2243条 その他のサイバーインシデントの自主的な報告
“Sec. 2244. Noncompliance with required reporting. 第2244条 義務付けられた報告の不履行
“Sec. 2245. Information shared with or provided to the Federal Government. 第2245条 連邦政府との情報共有、または連邦政府に提供される情報。
“Sec. 2246. Cyber Incident Reporting Council.”. 第2246条 サイバーインシデント報告評議会」。
SEC. 104. Federal sharing of incident reports. 第2246条 104. インシデントレポートの連邦共有。
(a) Cyber incident reporting sharing.— (a) サイバーインシデント報告書の共有。
(1) IN GENERAL.—Notwithstanding any other provision of law or regulation, any Federal agency, including any independent establishment (as defined in section 104 of title 5, United States Code), that receives a report from an entity of a cyber incident, including a ransomware attack, shall provide the report to the Agency as soon as possible, but not later than 24 hours after receiving the report, unless a shorter period is required by an agreement made between the Department of Homeland Security (including the Cybersecurity and Infrastructure Security Agency) and the recipient Federal agency. The Director shall share and coordinate each report pursuant to section 2241(b) of the Homeland Security Act of 2002, as added by section 103 of this division. (1) 一般に、法律または規則の他の規定にかかわらず、ランサムウェア攻撃を含むサイバーインシデントについてエンティティから報告を受けた独立施設(合衆国法典第5編第104節に定義)を含む連邦機関は、国土安全保障省(サイバーセキュリティおよびインフラセキュリティ機関を含む)と受信した連邦機関の間でなされた合意によってより短い期間が要求されない限り、報告を受け取ってから24時間以内にできるだけ早く報告を機関に提供しなければならないものとする。長官は、本部第103条によって追加された2002年国土安全保障法第2241項(b)に従って、各報告書を共有し、調整するものとする。
(2) RULE OF CONSTRUCTION.—The requirements described in paragraph (1) and section 2245(d) of the Homeland Security Act of 2002, as added by section 103 of this division, may not be construed to be a violation of any provision of law or policy that would otherwise prohibit disclosure or provision of information within the executive branch. (2) 構成規則:(1)項および2002年国土安全保障法第2245条(d)項に記載された要件は、行政機関内の情報の開示または提供を禁止する法律または政策のいかなる条項にも違反すると解釈されてはならない。
(3) PROTECTION OF INFORMATION.—The Director shall comply with any obligations of the recipient Federal agency described in paragraph (1) to protect information, including with respect to privacy, confidentiality, or information security, if those obligations would impose greater protection requirements than this division or the amendments made by this division. (3) 情報の保護:長官は、プライバシー、機密性、情報セキュリティなど、(1)で述べた受領連邦機関の情報保護義務が、この部門またはこの部門による修正よりも大きな保護要件を課す場合、その義務を遵守するものとする。
(4) EFFECTIVE DATE.—This subsection shall take effect on the effective date of the final rule issued pursuant to section 2242(b) of the Homeland Security Act of 2002, as added by section 103 of this division. (4) 施行日:本節は、本節第103項で追加された2002年国土安全保障法第2242条(b)に従って発行された最終規則の施行日に施行されるものとする。
(5) AGENCY AGREEMENTS.— (5) 省庁間協定
(A) IN GENERAL.—The Agency and any Federal agency, including any independent establishment (as defined in section 104 of title 5, United States Code), that receives incident reports from entities, including due to ransomware attacks, shall, as appropriate, enter into a documented agreement to establish policies, processes, procedures, and mechanisms to ensure reports are shared with the Agency pursuant to paragraph (1). (A) 一般に、ランサムウェア攻撃によるものを含め、エンティティからインシデントレポートを受領する(合衆国法典第5編第104節に定義される)独立した施設を含む庁およびあらゆる連邦機関は、必要に応じて、(1)に従って庁とレポートを確実に共有する方針、プロセス、手順およびメカニズムを確立するために文書化した契約を締結しなければならない。
(B) AVAILABILITY.—To the maximum extent practicable, each documented agreement required under subparagraph (A) shall be made publicly available. (B) 利用可能性-実行可能な最大限の範囲において、(A)号に基づいて要求される各文書化された合意は、一般に利用可能とされるものとする。
(C) REQUIREMENT.—The documented agreements required by subparagraph (A) shall require reports be shared from Federal agencies with the Agency in such time as to meet the overall timeline for covered entity reporting of covered cyber incidents and ransom payments established in section 2242 of the Homeland Security Act of 2002, as added by section 103 of this division. (C) 要求事項:(A)項により要求される文書化された合意は、本節の第103項により追加された2002年国土安全保障法第2242項において確立された、対象となるサイバーインシデントおよび身代金の支払いに関する対象事業者の報告に関する全体のタイムラインを満たすように、連邦機関からCIAと報告を共有することを要求するものとする。
(b) Harmonizing reporting requirements.—The Secretary of Homeland Security, acting through the Director, shall, in consultation with the Cyber Incident Reporting Council described in section 2246 of the Homeland Security Act of 2002, as added by section 103 of this division, to the maximum extent practicable— (b) 報告要件の調和:国土安全保障長官は、長官を通じ、本部の第103条によって追加された 2002 年国土安全保障法第 2246 項に記載されたサイバーインシデント報告協議会と協議し、実行可能な最大限の範囲において、以下を行うものとする。
(1) periodically review existing regulatory requirements, including the information required in such reports, to report incidents and ensure that any such reporting requirements and procedures avoid conflicting, duplicative, or burdensome requirements; and (1) インシデントを報告するために、当該報告書に必要な情報を含む既存の規制要件を定期的に見直し、当該報告要件および手順が矛盾、重複、または負担となる要件を回避することを確実にすること。
(2) coordinate with appropriate Federal partners and regulatory authorities that receive reports relating to incidents to identify opportunities to streamline reporting processes, and where feasible, facilitate interagency agreements between such authorities to permit the sharing of such reports, consistent with applicable law and policy, without impacting the ability of the Agency to gain timely situational awareness of a covered cyber incident or ransom payment. (2) 報告プロセスを合理化する機会を特定するために、インシデントに関連する報告を受け取る適切な連邦パートナーおよび規制当局と調整し、実行可能な場合には、対象となるサイバーインシデントまたは身代金の支払いについて適時に状況認識を得る当局の能力に影響を与えずに、適用法および政策と整合する当該報告の共有を可能にする、当該当局間の省庁間合意を促進すること。
SEC. 105. Ransomware vulnerability warning pilot program. 第105条 ランサムウェア脆弱性警告パイロットプログラム。
(a) Program.—Not later than 1 year after the date of enactment of this Act, the Director shall establish a ransomware vulnerability warning pilot program to leverage existing authorities and technology to specifically develop processes and procedures for, and to dedicate resources to, identifying information systems that contain security vulnerabilities associated with common ransomware attacks, and to notify the owners of those vulnerable systems of their security vulnerability. (a) プログラム:この法律の制定日から1年以内に、長官は、既存の権限と技術を活用して、一般的なランサムウェア攻撃に関連するセキュリティ脆弱性を含む情報システムを特定し、それらの脆弱なシステムの所有者にセキュリティ脆弱性を通知するためのプロセスと手順を具体的に開発し、そのためのリソースを捧げるランサムウェア脆弱性警告パイロットプログラムを確立しなければならない。
(b) Identification of vulnerable systems.—The pilot program established under subsection (a) shall— (b) 脆弱なシステムの特定-第(a)項に基づいて設立されたパイロットプログラムは、以下を行うものとする。
(1) identify the most common security vulnerabilities utilized in ransomware attacks and mitigation techniques; and (1) ランサムウェアの攻撃に利用される最も一般的なセキュリティの脆弱性とその緩和技術を特定すること。
(2) utilize existing authorities to identify information systems that contain the security vulnerabilities identified in paragraph (1). (2) 既存の権限を活用し、(1)で特定されたセキュリティ上の脆弱性を含む情報システムを特定する。
(c) Entity notification.— (c) 事業者通知
(1) IDENTIFICATION.—If the Director is able to identify the entity at risk that owns or operates a vulnerable information system identified in subsection (b), the Director may notify the owner of the information system. (1) 識別:(b)項で識別された脆弱な情報システムを所有または運用するリスクのある事業体を識別できる場合、長官は当該情報システムの所有者に通知することができる。
(2) NO IDENTIFICATION.—If the Director is not able to identify the entity at risk that owns or operates a vulnerable information system identified in subsection (b), the Director may utilize the subpoena authority pursuant to section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659) to identify and notify the entity at risk pursuant to the procedures under that section. (2) 識別できない場合 - (b)項で識別される脆弱な情報システムを所有または運用する危険な事業体を識別できない場合、長官は2002年国土安全保障法(6 U.S.C. 659)の第2209条に基づく召喚権を利用して、同項に基づく手続きに従って危険な事業体を識別し通知することができる。
(3) REQUIRED INFORMATION.—A notification made under paragraph (1) shall include information on the identified security vulnerability and mitigation techniques. (3) 必要な情報 - 第(1)項に基づく通知には、特定されたセキュリティの脆弱性および緩和技術に関する情報を含めるものとする。
(d) Prioritization of notifications.—To the extent practicable, the Director shall prioritize covered entities for identification and notification activities under the pilot program established under this section. (d) 通知の優先順位:実務上可能な範囲において、長官は、本条に基づき設立されたパイロット・プログラムの下で特定および通知活動を行う対象事業者に優先順位を付けるものとする。
(e) Limitation on procedures.—No procedure, notification, or other authorities utilized in the execution of the pilot program established under subsection (a) shall require an owner or operator of a vulnerable information system to take any action as a result of a notice of a security vulnerability made pursuant to subsection (c). (e) 手続きの制限:(a)項の下に設立されたパイロットプログラムの実施に利用される手続き、通知、またはその他の権限は、(c)項に従って行われるセキュリティ脆弱性の通知の結果として、脆弱な情報システムの所有者または運用者に何らかの行動を取ることを要求してはならない。
(f) Rule of construction.—Nothing in this section shall be construed to provide additional authorities to the Director to identify vulnerabilities or vulnerable systems. (f) 構成規則:本節のいかなる規定も、脆弱性または脆弱なシステムを特定するための追加的な権限を長官に与えるものと解釈されてはならない。
(g) Termination.—The pilot program established under subsection (a) shall terminate on the date that is 4 years after the date of enactment of this Act. (g) 終了:(a)項に基づき設立されたパイロット・プログラムは、本法律の制定日から4年後の日に終了するものとする。
SEC. 106. Ransomware threat mitigation activities. 第106条 ランサムウェア脅威軽減活動
(a) Joint ransomware task force.— (a) ランサムウェアの合同タスクフォース。
(1) IN GENERAL.—Not later than 180 days after the date of enactment of this Act, the Director, in consultation with the National Cyber Director, the Attorney General, and the Director of the Federal Bureau of Investigation, shall establish and chair the Joint Ransomware Task Force to coordinate an ongoing nationwide campaign against ransomware attacks, and identify and pursue opportunities for international cooperation. (1) 一般に、本法律の制定日から180日以内に、長官は、国家サイバー長官、司法長官及び連邦捜査長官官と協議して、ランサムウェア攻撃に対する継続的な全国的キャンペーンを調整し、国際協力の機会を特定し追求するために、ランサムウェア合同タスクフォースを設立し、議長を務めるものとする。
(2) COMPOSITION.—The Joint Ransomware Task Force shall consist of participants from Federal agencies, as determined appropriate by the National Cyber Director in consultation with the Secretary of Homeland Security. (2) 構成:ランサムウェア合同タスクフォースは、国土安全保障長官と協議の上、国家サイバー長官が適切と判断した連邦機関の参加者で構成されるものとする。
(3) RESPONSIBILITIES.—The Joint Ransomware Task Force, utilizing only existing authorities of each participating Federal agency, shall coordinate across the Federal Government the following activities: (3) ランサムウェア合同タスクフォースは、参加する各連邦機関の既存の権限のみを活用し、連邦政府全体で以下の活動を調整するものとする。
(A) Prioritization of intelligence-driven operations to disrupt specific ransomware actors. (A)特定のランサムウェアを破壊するための情報主導型作戦の優先順位付け。
(B) Consult with relevant private sector, State, local, Tribal, and territorial governments and international stakeholders to identify needs and establish mechanisms for providing input into the Joint Ransomware Task Force. (B) 関連する民間部門、州、地方、部族、および領土の政府、および国際的な利害関係者と協議し、ニーズを特定し、ランサムウェア合同タスクフォースに意見を提供するための仕組みを確立すること。
(C) Identifying, in consultation with relevant entities, a list of highest threat ransomware entities updated on an ongoing basis, in order to facilitate— (C) 関連団体との協議により、継続的に更新される最も脅威の高いランサムウェアの団体のリストを特定し、以下を促進すること。
(i) prioritization for Federal action by appropriate Federal agencies; and (i) 適切な連邦政府機関による連邦政府の行動のための優先順位付け。
(ii) identify metrics for success of said actions. (ii) 当該措置の成功のための指標を特定すること。
(D) Disrupting ransomware criminal actors, associated infrastructure, and their finances. (D) ランサムウェアの犯罪者、関連インフラ、およびその資金を混乱させること。
(E) Facilitating coordination and collaboration between Federal entities and relevant entities, including the private sector, to improve Federal actions against ransomware threats. (E) ランサムウェアの脅威に対する連邦政府の行動を改善するために、連邦政府機関と民間企業を含む関連団体との間の調整と協力を促進すること。
(F) Collection, sharing, and analysis of ransomware trends to inform Federal actions. (F) ランサムウェアの動向を収集、共有、分析し、連邦政府の対策に反映させること。
(G) Creation of after-action reports and other lessons learned from Federal actions that identify successes and failures to improve subsequent actions. (G)連邦政府の行動から得られた、その後の行動を改善するための成功および失敗を特定する事後報告書およびその他の教訓の作成。
(H) Any other activities determined appropriate by the Joint Ransomware Task Force to mitigate the threat of ransomware attacks. (H) ランサムウェア攻撃の脅威を軽減するために、ランサムウェア合同タスクフォースが適切と判断したその他の活動。
(b) Rule of construction.—Nothing in this section shall be construed to provide any additional authority to any Federal agency. (b) 構成規則:本節のいかなる内容も、連邦機関に追加の権限を与えるものと解釈されてはならない。
SEC. 107. Congressional reporting. 第107条 議会報告
(a) Report on stakeholder engagement.—Not later than 30 days after the date on which the Director issues the final rule under section 2242(b) of the Homeland Security Act of 2002, as added by section 103 of this division, the Director shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report that describes how the Director engaged stakeholders in the development of the final rule. (a) 利害関係者の関与に関する報告:この部門の第 103 項によって追加された 2002 年国土安全保障法第2242条 (b) 項に基づく最終規則を長官が発行した日から 30 日以内に、長官は最終規則の策定において長官が利害関係者とどのように関わったかを記述した報告書を上院の国土安全・政府問題委員会と下院の国土安全委員会に提出するものとする。
(b) Report on opportunities to strengthen security research.—Not later than 1 year after the date of enactment of this Act, the Director shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report describing how the National Cybersecurity and Communications Integration Center established under section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659) has carried out activities under section 2241(a)(9) of the Homeland Security Act of 2002, as added by section 103 of this division, by proactively identifying opportunities to use cyber incident data to inform and enable cybersecurity research within the academic and private sector. (b) セキュリティ研究を強化する機会に関する報告書:本法律の制定日から1年以内に、長官は、2002年国土安全保障法第2209条(6 U.S.)に基づいて設立された国家サイバーセキュリティおよび通信統合センターがどのように機能しているかを説明する報告書を上院の国土安全保障・政府問題委員会と下院の国土安全保障委員会に提出するものとする。 S.C. 659)に基づき設立された国家サイバーセキュリティ通信統合センターが、学術・民間部門におけるサイバーセキュリティ研究に情報を提供し可能にするためにサイバーインシデントデータを使用する機会を積極的に特定し、この部門の第103項で追加された2002年国土安全保障法2241(a)(9)項の活動を実施したことを説明する報告書。
(c) Report on ransomware vulnerability warning pilot program.—Not later than 1 year after the date of enactment of this Act, and annually thereafter for the duration of the pilot program established under section 105, the Director shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report, which may include a classified annex, on the effectiveness of the pilot program, which shall include a discussion of the following: (c) ランサムウェア脆弱性警告パイロットプログラムに関する報告書:本法律の制定日から1年以内に、そしてその後第105節に基づいて設立されたパイロットプログラムの期間中は毎年、長官は、パイロットプログラムの効果に関する報告書を上院の国土安全保障・政府問題委員会と下院の国土安全保障委員会に提出するものとし、それには以下の議論を含むものとし、機密添付資料を含むことができるものとする。
(1) The effectiveness of the notifications under section 105(c) in mitigating security vulnerabilities and the threat of ransomware. (1) セキュリティの脆弱性及びランサムウェアの脅威を軽減するための第105条(c)に基づく通知の有効性。
(2) Identification of the most common vulnerabilities utilized in ransomware. (2) ランサムウェアに利用される最も一般的な脆弱性の特定。
(3) The number of notifications issued during the preceding year. (3)前年度に発行された通知書の数。
(4) To the extent practicable, the number of vulnerable devices or systems mitigated under the pilot program by the Agency during the preceding year. (4) 実践可能な範囲で、前年度中に同庁がパイロットプログラムの下で緩和した脆弱な機器またはシステムの数。
(d) Report on harmonization of reporting regulations.— (d) 報告規制の調和に関する報告書。
(1) IN GENERAL.—Not later than 180 days after the date on which the Secretary of Homeland Security convenes the Cyber Incident Reporting Council described in section 2246 of the Homeland Security Act of 2002, as added by section 103 of this division, the Secretary of Homeland Security shall submit to the appropriate congressional committees a report that includes— (1) 一般に、国土安全保障省長官が、2002年国土安全保障法第2246条(本節の第103節により追加される)に記載されたサイバーインシデント報告協議会を招集した日から180日以内に、国土安全保障省長官は、以下を含む報告書を該当する議会の委員会に提出する。
(A) a list of duplicative Federal cyber incident reporting requirements on covered entities; (A) 対象事業者に対する重複する連邦サイバーインシデント報告要件のリスト。
(B) a description of any challenges in harmonizing the duplicative reporting requirements; (B) 重複する報告要件を調和させる上での課題の説明。
(C) any actions the Director intends to take to facilitate harmonizing the duplicative reporting requirements; and (C)重複する報告要件の調和を促進するために長官が取る予定の行動。
(D) any proposed legislative changes necessary to address the duplicative reporting. (D) 重複報告に対処するために必要な法改正案。
(2) RULE OF CONSTRUCTION.—Nothing in paragraph (1) shall be construed to provide any additional regulatory authority to any Federal agency. (2) 構成規則: (1)項のいかなる内容も、連邦政府機関に追加の規制権限を与えるものと解釈されてはならない。
(e) GAO reports.— (e) GAO報告書。
(1) IMPLEMENTATION OF THIS DIVISION.—Not later than 2 years after the date of enactment of this Act, the Comptroller General of the United States shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report on the implementation of this division and the amendments made by this division. (1) 本節の実施:本法律の制定日から2年以内に、米国会計検査院は、上院の国土安全保障・政府問題委員会および下院の国土安全保障委員会に、本節および本節による改正の実施に関する報告書を提出するものとする。
(2) EXEMPTIONS TO REPORTING.—Not later than 1 year after the date on which the Director issues the final rule required under section 2242(b) of the Homeland Security Act of 2002, as added by section 103 of this division, the Comptroller General of the United States shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report on the exemptions to reporting under paragraphs (2) and (5) of section 2242(a) of the Homeland Security Act of 2002, as added by section 103 of this division, which shall include— (2) 報告の免除 -米国会計検査院は、院長が2002年国土安全保障法第2242条(b)に基づく最終規則を発行した日から1年以内に、上院国土安全保障・政府問題委員会および下院国土安全保障委員会に対し、本節第103項で追加された2002年国土安全保障法第2242条(a)の第(2)項および(5)項の報告の免除について報告するものとし、それには以下が含まれるものとする。
(A) to the extent practicable, an evaluation of the quantity of cyber incidents not reported to the Federal Government; (A) 実行可能な範囲で、連邦政府に報告されなかったサイバーインシデントの数量を評価する。
(B) an evaluation of the impact on impacted entities, homeland security, and the national economy due to cyber incidents, ransomware attacks, and ransom payments, including a discussion on the scope of impact of cyber incidents that were not reported to the Federal Government; (B) 連邦政府に報告されなかったサイバーインシデントの影響の範囲に関する議論を含む、サイバーインシデント、ランサムウェア攻撃、身代金の支払いによる影響を受ける団体、国土安全保障、および国民経済への影響の評価。
(C) an evaluation of the burden, financial and otherwise, on entities required to report cyber incidents under this division, including an analysis of entities that meet the definition of a small business concern under section 3 of the Small Business Act (15 U.S.C. 632); and (C) 小規模企業法(15 U.S.C. 632)第3条に基づく小規模企業の定義に合致する事業体の分析を含む、本区分に基づいてサイバーインシデントを報告することが求められる事業体の財政的及びその他の負担の評価、及び
(D) a description of the consequences and effects of limiting covered cyber incident and ransom payment reporting to only covered entities. (D) 対象となるサイバーインシデントおよび身代金支払報告を対象事業者のみに限定した場合の結果および効果に関する説明。
(f) Report on effectiveness of enforcement mechanisms.—Not later than 1 year after the date on which the Director issues the final rule required under section 2242(b) of the Homeland Security Act of 2002, as added by section 103 of this division, the Director shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report on the effectiveness of the enforcement mechanisms within section 2244 of the Homeland Security Act of 2002, as added by section 103 of this division. (f) 施行メカニズムの有効性に関する報告書:2002年国土安全保障法第2242条(b)に基づき要求される最終規則を長官が発行した日から1年以内に、長官は上院国土安全保障・政府問題委員会と下院国土安全保障委員会に、この部門の第103条で追加した2002年国土安全保障法第2244条の中の施行メカニズムの有効性に関する報告書を提出しなければならない。

|

« 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果 | Main | 米国 FBIが新たに仮想資産課 (VAU) を設立... »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果 | Main | 米国 FBIが新たに仮想資産課 (VAU) を設立... »