米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)
こんにちは、丸山満彦です。
米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集をしていますね。。。各地で説明会(公聴会)も開催されるようですね。。。
CIRCIAの条文は、このブログの
・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...
にありますので、参考にしてくださいませ。。。
● CISA
・2022.09.09 CISA WELCOMES INPUT ON NEW CYBER INCIDENT REPORTING REQUIREMENTS
| CISA WELCOMES INPUT ON NEW CYBER INCIDENT REPORTING REQUIREMENTS | CISAは、新しいサイバーインシデント報告要件に関する意見を歓迎する。 |
| WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announced their plans to issue a Request for Information (RFI) soliciting public input on approaches to implementing the cyber incident reporting requirements, pursuant to the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), which President Biden signed into law in March 2022. The RFI will publish in the Federal Register on Monday, September 12 and provide the public with 60 days to provide their written submissions. | ワシントン - 本日、サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、2022年3月にバイデン大統領が署名した2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)に基づき、サイバーインシデント報告要件の実施方法について一般の意見を求める情報要求(RFI)を発行する計画を発表した。RFIは9月12日(月)に連邦官報に掲載され、一般市民は60日以内に書面による提出を行うことができる。 |
| CIRCIA requires CISA to develop and publish a Notice of Proposed Rulemaking (NPRM) for public comment and review, containing proposed regulations for cyber incident and ransom payment reporting. The RFI solicits input from the critical infrastructure community and other members of the public, and that input will inform the agency’s development of the proposed regulations. | CIRCIAは、CISAに対し、サイバーインシデントおよび身代金支払報告に関する規制案を含む、パブリックコメントとレビューのための提案型規則制定通知(NPRM)を作成・公表するよう求めている。RFIは、重要インフラのコミュニティやその他の一般市民から意見を募り、その意見は規制案の策定に反映される。 |
| Timely cyber incident reporting allows CISA to rapidly deploy resources and render assistance to victims suffering attacks, identify emerging threats and trends, and quickly share threat information with federal partners and network defenders to take protective action and warn other potential victims. | サイバーインシデントのタイムリーな報告により、CISAは攻撃に苦しむ被害者に迅速にリソースを配備して支援を提供し、新たな脅威と傾向を特定し、脅威情報を連邦政府のパートナーやネットワーク防御者と迅速に共有して、保護措置を講じ、他の潜在的被害者に警告を発することができるようになる。 |
| “The Cyber Incident Reporting for Critical Infrastructure Act of 2022 is a game changer for the whole cybersecurity community and everyone invested in protecting our nation’s critical infrastructure. It will allow us to better understand the threats we are facing, to spot adversary campaigns earlier, and to take more coordinated action with our public and private sector partners in response,” said CISA Director Jen Easterly. “We can’t defend what we don’t know about and the information we receive will help us fill critical information gaps that will inform the guidance we share with the entire community, ultimately better defending the nation against cyber threats. We look forward to continuing to learn from the critical infrastructure community – through our request for information and our coast-to-coast listening sessions – to understand how we can implement the new cyber incident reporting legislation in the most effective way possible to protect the nation’s critical infrastructure.” | CISAディレクターのジェン・イースタリーは、以下のように述べている。「2022年の重要インフラのためのサイバーインシデント報告法は、サイバーセキュリティ・コミュニティ全体と、わが国の重要インフラの保護に投資するすべての人々にとって、大きな変化をもたらすものである。我々が直面している脅威をよりよく理解し、敵対者のキャンペーンを早期に発見し、それに対して官民のパートナーとより協調した行動をとることができるようになる。我々は知らないことを守ることはできない。我々が受け取った情報は、コミュニティ全体と共有するガイダンスに反映される重要な情報ギャップを埋めるのに役立ち、最終的にはサイバー脅威から国家をよりよく守ることになる。我々は、情報提供の要請や各地での聴聞会を通じて、重要インフラのコミュニティから引き続き学び、国の重要インフラを守るために最も効果的な方法で新しいサイバーインシデント報告法を実施する方法を理解したいと考えている。 |
| In addition to providing the opportunity to submit written comments in response to the RFI, CISA announced today it will be hosting public listening sessions across the country to receive in-person input from the American people to inform the development of the proposed regulations. | CISAは、RFIに対応した意見書を提出する機会を提供することに加え、規制案の策定に資するため、米国民から直接意見を聞く公聴会を全米で開催すると本日発表した。 |
| The Department of Homeland Security is also leading the newly established Cyber Incident Reporting Council, which was created by CIRCIA to better harmonize the various existing federal cyber incident reporting structures. The work of the Council will inform, as appropriate, the new proposed rule. | また、国土安全保障省は、既存の様々な連邦政府のサイバーインシデント報告体制をより調和させるために、CIRCIAによって新たに設立されたサイバーインシデント報告協議会を主導している。この協議会の作業は、適宜、新しい規則案に反映される予定である。 |
意見募集はこちらから...
・2022.09.09 Request for Information on the Cyber Incident Reporting for Critical Infrastructure Act of 2022
| Request for Information on the Cyber Incident Reporting for Critical Infrastructure Act of 2022 | 2022年重要インフラ用サイバーインシデント報告法に関する情報提供の要請 |
| SUMMARY: | 概要 |
| The Cybersecurity and Infrastructure Security Agency (CISA) is issuing this Request for Information (RFI) to receive input from the public as CISA develops proposed regulations required by the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). Among other things, CIRCIA directs CISA to develop and oversee implementation of regulations requiring covered entities to submit to CISA reports detailing covered cyber incidents and ransom payments. CIRCIA requires CISA to publish a Notice of Proposed Rulemaking (NPRM) within 24 months of the date of enactment of CIRCIA as part of the process for developing these regulations. CISA is interested in receiving public input on potential aspects of the proposed regulation prior to publication of the NPRM and is issuing this RFI as a means to receive that input. While CISA welcomes input on other aspects of CIRCIA's regulatory requirements, CISA is particularly interested in input on definitions for and interpretations of the terminology to be used in the proposed regulations; the form, manner, content, and procedures for submission of reports required under CIRCIA; information regarding other incident reporting requirements including the requirement to report a description of the vulnerabilities exploited; and other policies and procedures, such as enforcement procedures and information protection policies, that will be required for implementation of the regulations. | サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CISAが2022年の重要インフラのためのサイバーインシデント報告法(CIRCIA)が要求する規制案を策定するにあたり、一般からの意見を受けるためにこの情報提供要請(RFI)を発行している。CIRCIAは、特に、対象事業者が対象となるサイバーインシデントおよび身代金の支払いに関する詳細な報告書をCISAに提出することを義務付ける規制の策定と実施の監督をCISAに指示している。CIRCIA は、これらの規制を策定するプロセスの一環として、CISA に対し、CIRCIA の成立日から 24 カ月以内に提案された規則策定の通知(NPRM)を公表するよう求めている。CISAは、NPRMの発行に先立って、提案された規制の潜在的な側面について一般の方々から意見をいただくことに関心があり、そのための手段としてこのRFIを発行している。CISAは、CIRCIAの規制要件の他の側面に関する意見も歓迎するが、規制案で使用される用語の定義と解釈、CIRCIAの下で要求される報告書の形式、方法、内容、提出手順、悪用された脆弱性の説明を報告するという要件を含む他のインシデント報告要件に関する情報、および規制の実施に必要となる実施手順や情報保護方針などの他の方針と手順に関する意見を特に希望している。 |
| ... | ... |
| II. Background | II. 背景 |
| The growing number of cyber incidents, including ransomware attacks, is one of the most serious economic and national security threats our nation faces. From the theft of private, financial, or other sensitive data, to cyber-attacks that damage computer networks or facilitate the manipulation of operational or other control systems, cyber incidents are capable of causing significant, lasting harm. | ランサムウェア攻撃を含むサイバー事件の増加は、我が国が直面する最も深刻な経済的および国家安全保障上の脅威の1つである。個人情報、財務情報、その他の機密データの盗難から、コンピュータネットワークに損害を与え、業務システムやその他の制御システムの操作を容易にするサイバー攻撃まで、サイバー事件は重大かつ持続的な被害を引き起こす可能性がある。 |
| Reporting cyber incidents and ransom payments to the government has many benefits. An organization that is a victim of a cyber incident, including those that result in ransom payments, can receive assistance from government agencies that are prepared to investigate the incident, mitigate its consequences, and help prevent future incidents through analysis and sharing of cyber threat information. CISA and our federal law enforcement partners have highly trained investigators who specialize in responding to cyber incidents for the express purpose of disrupting threat actors who caused the incident, and providing technical assistance to protect assets, mitigate vulnerabilities, and offer on-scene response personnel to aid in incident recovery. When supporting affected entities, the various agencies of the Federal Government work in tandem to leverage their collective response expertise, apply their knowledge of cyber threats, preserve key evidence, and use their combined authorities and capabilities both to minimize asset vulnerability and bring malicious actors to justice. Timely reporting of incidents also allows CISA to share information about indicators of compromise, tactics, techniques, procedures, and best practices to reduce the risk of a cyber incident propagating within and across sectors. | サイバー事件や身代金の支払いを政府に報告することには、多くの利点がある。身代金の支払いにつながるものも含め、サイバー事件の被害者となった組織は、事件を調査し、その影響を緩和し、サイバー脅威情報の分析と共有を通じて将来の事件の防止を支援する準備を整えている政府機関から支援を受けることができる。CISAと連邦法執行機関のパートナーは、高度な訓練を受けた捜査官で、インシデントを引き起こした脅威者を妨害することを明確な目的としてサイバーインシデントに対応し、資産の保護、脆弱性の緩和、インシデントの復旧を支援する現場対応要員の提供などの技術支援を専門としている。被害を受けた団体を支援する場合、連邦政府の様々な機関が連携して、対応に関する専門知識を結集し、サイバー脅威に関する知識を応用し、重要な証拠を保全し、資産の脆弱性を最小限に抑え、悪意ある行為者を裁くために、それぞれの権限と能力を駆使する。また、インシデントをタイムリーに報告することで、CISAは侵害の指標、戦術、技術、手順、ベストプラクティスに関する情報を共有し、サイバーインシデントが部門内および部門間で伝播するリスクを軽減することができる。 |
| Recognizing the importance of cyber incident and ransom payment reporting, in March 2022, Congress passed and President Biden signed the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), Public Law 117-103, Div. Y (2022) (to be codified at 6 U.S.C. 681-681g). Enactment of CIRCIA marks an important milestone in improving America's cybersecurity by, among other things, requiring CISA to develop and implement regulations requiring covered entities to report covered cyber incidents and ransom payments to CISA. These reports will allow CISA, in conjunction with other federal partners, to rapidly deploy resources and render assistance to victims suffering attacks, analyze incoming reporting across sectors to spot trends and understand how malicious cyber actors are perpetrating their attacks, and quickly share that information with network defenders to warn other potential victims. | サイバーインシデントおよび身代金支払い報告の重要性を認識し、2022年3月、議会は「2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)」、公法117-103、Division Y(2022)(合衆国法典681-681gにコード化される予定)を可決、バイデン大統領が署名した。CIRCIA の制定は、米国のサイバーセキュリティを向上させる上で重要なマイルストーンとなる。これは、特に CISA に対し、対象となる事業者が対象となるサイバーインシデントおよび身代金の支払いを CISA に報告するよう求める規則を策定・実施するよう求めるものである。これらの報告により、CISA は他の連邦政府のパートナーと連携して、攻撃に苦しむ被害者に迅速にリソースを配備して支援を提供し、寄せられた報告を部門横断的に分析して傾向を把握し、悪質なサイバー行為者がどのように攻撃を実行しているかを理解し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになる。 |
| Some of these new authorities are regulatory in nature and require CISA to complete rulemaking activities before the reporting requirements go into effect. CIRCIA requires that CISA develop and publish a Notice of Proposed Rulemaking (NPRM), which will be open to public comment, and a Final Rule. CIRCIA also mandates that CISA consult with various entities, including Sector Risk Management Agencies, the Department of Justice, and the DHS-chaired Cyber Incident Reporting Council, throughout the rulemaking process. CISA is working to complete these activities within the statutorily mandated timeframes. In addition to the consultations required by CIRCIA, CISA is interested in receiving input from the public on the best approaches to implementing various aspects of this new regulatory authority. | これらの新しい権限の中には、規制的な性格を持つものがあり、報告義務の発効前にCISAが規則制定活動を完了することが必要である。CIRCIA は、CISA に対し、パブリック・コメントに付される Notice of Proposed Rulemaking (NPRM) と Final Rule を作成し、公表することを義務付けている。また、CIRCIAは、規則制定プロセスを通じて、セクター・リスクマネジメント機関、司法省、DHSが議長を務めるサイバー・インシデント報告協議会など、さまざまな団体と協議することを義務付けている。CISAは、法令で定められた期間内にこれらの活動を完了するよう取り組んでいる。CIRCIAが要求する協議に加え、CISAは、この新しい規制権限の様々な側面を実施するための最良のアプローチについて、一般市民から意見を受け取ることに関心を持っている。 |
| III. Request for Input | III. 意見提出の要請 |
| A. Importance of Public Feedback | A. 一般からのフィードバックの重要性 |
| CISA is committed to obtaining public input in the development of its approach to implementation of the cyber incident and ransom payment reporting requirements of CIRCIA. Owners and operators of entities in critical infrastructure sectors will have particularly useful information, data, and perspectives on the different approaches to reporting requirements given the potential impact that these requirements may have on their organizations and industries. Accordingly, CISA is seeking specific public feedback to inform its proposed regulations to implement CIRCIA's regulatory requirements. All members of the public, including but not limited to specialists in the field, academic experts, industry, public interest groups, and those with relevant economic expertise, are invited to comment. | CISA は、CIRCIA のサイバーインシデントおよび身代金支払い報告要件の実施に向けたアプローチ の開発において、一般の人々からの意見を得ることに尽力している。重要インフラ部門の事業体の所有者および運営者は、これらの要件がその組織や業界に及ぼす潜在的な影響を考えると、報告要件の異なるアプローチについて特に有益な情報、データ、および視点を持つことになる。したがって、CISAは、CIRCIAの規制要件を実施するための規制案に反映させるために、一般からの具体的なフィードバックを求めている。この分野の専門家、学識経験者、産業界、公益団体、および関連する経済的専門知識を有する者を含むがこれらに限定されない、すべての一般市民が意見を述べるよう要請されている。 |
| This notice contains a list of topics on which CISA believes inputs would be particularly useful in developing a balanced approach to implementation of the regulatory authorities Congress assigned to CISA under CIRCIA. CISA encourages public comment on these topics and any other topics commenters believe may be useful to CISA in the development of regulations implementing the CIRCIA authorities. The type of feedback that is most useful to the agency will identify specific approaches the agency may want to consider and provide information supporting why the approach would foster a cost-effective and balanced approach to cyber incident and ransom payment reporting requirements. Feedback that contains specific information, data, or recommendations is more useful to CISA than generic feedback that omits these components. For comments that contain any numerical estimates, CISA encourages the commenter to provide any assumptions made in calculating the numerical estimates. | この通知には、CIRCIAの下で議会がCISAに付与した規制当局を実施するためのバランスの取れたアプローチを開発する上で、インプットが特に有用であるとCISAが考えるトピックのリストが含まれている。CISAは、これらのトピックおよびコメント投稿者がCIRCIA権限を実施する規制の策定においてCISAに有用であると考えるその他のトピックについてパブリックコメントを募集している。CIRCIA にとって最も有益なフィードバックのタイプは、CIRCIA が検討したい具体的なアプローチを特定し、そのアプローチがサイバーインシデントおよび身代金支払報告要件に対して費用対効果の高いバランスの取れたアプローチを促進する理由を裏付ける情報を提供するものである。具体的な情報、データ、または推奨事項を含むフィードバックは、これらの要素を省略した一般的なフィードバックよりもCISAにとって有用である。数値的な見積もりを含むコメントについては、コメント投稿者がその数値的な見積もりを計算する際に行った仮定を提示することを推奨する。 |
| B. List of Topics for Commenters | B. コメント提出者向けトピックの一覧 |
| The below non-exhaustive list of topics is meant to assist members of the public in the formulation of comments and is not intended to restrict the issues that commenters may address: | 以下の非網羅的なトピックのリストは、一般市民がコメントを作成する際の助けとなることを意図しており、コメント作成者が取り上げることができる問題を制限することを意図していない。 |
| (1) Definitions, Criteria, and Scope of Regulatory Coverage | (1) 定義、基準、規制の適用範囲について |
| a. The meaning of “covered entity,” consistent with the definition provided in section 2240(5) of the Homeland Security Act of 2002 (as amended), taking into consideration the factors listed in section 2242(c)(1). | a. 2002 年国土安全保障法(改正後)第 2240 条(5)に規定される定義と整合し、第 2242 条(c)(1) に列挙される要素を考慮した「対象事業者」の意味。 |
| b. The number of entities, either overall or in a specific industry or sector, likely to be “covered entities” under the definition provided in section 2240(5) of the Homeland Security Act of 2002 (as amended), taking into consideration the factors listed in section 2242(c)(1). | b. 2242(c)(1)に記載されている要素を考慮し、2002年国土安全保障法2240(5)に規定されている定義のもと、全体または特定の産業やセクターにおいて「対象事業者」であると思われる事業者の数。 |
| c. The meaning of “covered cyber incident,” consistent with the definition provided in section 2240(4), taking into account the requirements, considerations, and exclusions in section 2242(c)(2)(A), (B), and (C), respectively. Additionally, the extent to which the definition of “covered cyber incident” under CIRCIA is similar to or different from the definition used to describe cyber incidents that must be reported under other existing federal regulatory programs. | c. 2242(c)(2)(A)、(B)、(C)それぞれの要件、考慮事項、除外事項を考慮し、2240(4)項に定める定義と整合する「対象サイバー事件」の意味。さらに、CIRCIA における「対象となるサイバーインシデント」の定義が、他の既存の連邦規制プログラムの下で報告する必要のあるサイバーインシデントを説明するために使用されている定義とどの程度類似しているか、または異なっているかについても説明する。 |
| d. The number of covered cyber incidents likely to occur on an annual basis either in total or within a specific industry or sector. | d. 全体または特定の産業やセクター内で、年間ベースで発生する可能性のある対象サイバーインシデントの数。 |
| e. The meaning of “substantial cyber incident.” | e. 「実質的なサイバーインシデント」の意味。 |
| f. The meaning of “ransom payment” and “ransomware attack,” consistent with the definitions provided in section 2240(13) and (14). | f. 第2240条(13)及び(14)に定める定義と一致する、「身代金の支払い」及び「ランサムウェア攻撃」の意味。 |
| g. The number of ransom payments likely to be made by covered entities on an annual basis. | g. 対象事業者が年間ベースで行う可能性のある身代金支払の数。 |
| h. The meaning of “supply chain compromise,” consistent with the definition in section 2240(17). | h. 第2240条第17項に定める定義と一致する「サプライチェーン侵害」の意味。 |
| i. The criteria for determining if an entity is a multi-stakeholder organization that develops, implements, and enforces policies concerning the Domain Name System (as described in section 2242(a)(5)(C)). | i. ドメインネームシステム(第2242条(a)(5)(C)に記載)に関するポリシーを策定、実施、執行するマルチステークホルダー組織であるかどうかを判断するための基準。 |
| j. Any other terms for which a definition, or clarification of the definition for the term contained in CIRCIA, would improve the regulations and proposed definitions for those terms, consistent with any definitions provided for those terms in CIRCIA. | j. CIRCIAに含まれる用語の定義、またはその定義を明確にすることにより、CIRCIAに規定される用語の定義と整合性を保ちつつ、これらの用語の規制および提案された定義を改善することができるその他の用語。 |
| (2) Report Contents and Submission Procedures | (2) 報告書の内容および提出方法 |
| a. How covered entities should submit reports on covered cyber incidents, the specific information that should be required to be included in the reports (taking into consideration the requirements in section 2242(c)(4)), any specific format or manner in which information should be submitted (taking into consideration the requirements in section 2242(c)(8)(A)), any specific information that should be included in reports to facilitate appropriate sharing of reports among federal partners, and any other aspects of the process, manner, form, content, or other items related to covered cyber incident reporting that would be beneficial for CISA to clarify in the regulations. | a. 対象事業者が対象となるサイバーインシデントに関する報告書をどのように提出すべきか、報告書に含めることを要求されるべき特定の情報(セクション2242(c)(4)の要件を考慮)、情報を提出すべき特定の形式または方法(セクション2242(c)(8)(A)の要件を考慮)。連邦政府パートナー間での適切な報告書の共有を促進するために報告書に含まれるべき特定の情報、及び、対象となるサイバーインシデント報告に関するプロセス、方法、形式、内容、又はその他の項目で、CISAが規則で明確にすることが有益と思われるその他の側面。 |
| b. What constitutes “reasonable belief” that a covered cyber incident has occurred, which would initiate the time for the 72-hour deadline for reporting covered cyber incidents under section 2242(a)(1). | b. 2242条(a)(1)に基づく72時間のサイバーインシデント報告期限を開始させる、対象となるサイバーインシデントが発生したと「合理的に信じる」ことを構成するものは何か。 |
| c. How covered entities should submit reports on ransom payments, the specific information that should be required to be included in the reports (taking into consideration the requirements in section 2242(c)(5)), any specific format or manner in which information should be submitted (taking into consideration the requirements in section 2242(c)(8)(A)), and any other aspects of the process, manner, form, content, or other items related to ransom payments that would be beneficial for CISA to clarify in the regulations. | c. 身代金支払いに関する報告書を対象事業者がどのように提出すべきか、報告書に含めることを要求されるべき特定の情報(第2242条(c)(5)の要件を考慮)、情報を提出すべき特定の形式または方法(第2242条(c)(8)(A)の要件を考慮)、その他CISAにとって規則で明確にすることが有益な身代金の支払いに関するプロセス、方法、形式、内容またはその他の事項のあらゆる側面。 |
| e. When should the time for the 24-hour deadline for reporting ransom payments begin ( i.e., when a ransom payment is considered to have been “made”). | e. 身代金の支払いに関する24時間の報告期限はいつから始まるべきか(すなわち、身代金の支払いが「行われた」とみなされるのはいつからか)。 |
| f. How covered entities should submit supplemental reports, what specific information should be included in supplemental reports, any specific format or manner in which supplemental report information should be submitted, the criteria by which a covered entity determines “that the covered cyber incident at issue has concluded and has been fully mitigated and resolved,” and any other aspects of the process, manner, form, content, or other items related to supplemental reports that would be beneficial for CISA to clarify in the regulations. | f. 対象事業者が補足報告書を提出する方法、補足報告書に含まれるべき特定の情報、補足報告書情報を提出すべき特定の形式や方法、対象事業者が「問題の対象サイバー事件が終結し、完全に緩和され解決された」と判断する基準、補足報告書に関連するプロセス、方法、形式、内容、その他の項目で、CISAが規則で明確にすることが有益と考えられるその他の面。 |
| g. The timing for submission of supplemental reports and what constitutes “substantial new or different information,” taking into account the considerations in section 2242(c)(7)(B) and (C). | g. 2242(c)(7)(B)及び(C)項の考慮事項を考慮した、補足報告書の提出時期及び「実質的な新規又は異なる情報」を構成するもの。 |
| h. What CISA should consider when “balanc[ing] the need for situational awareness with the ability of the covered entity to conduct cyber incident response and investigations” when establishing deadlines and criteria for supplemental reports. | h. CISAが補足報告書の期限と基準を定める際に、「状況認識の必要性と対象事業者のサイバーインシデント対応及び調査の能力のバランスをとる」際に考慮すべきこと。 |
| i. Guidelines or procedures regarding the use of third-party submitters, consistent with section 2242(d). | i. セクション2242(d)と整合性のある、第三者提出者の使用に関するガイドライン又は手順。 |
| j. Covered entity information preservation requirements, such as the types of data to be preserved, how covered entities should be required to preserve information, how long information must be preserved, allowable uses of information preserved by covered entities, and any specific processes or procedures governing covered entity information preservation. | j. 保存すべきデータの種類、対象事業者が情報を保存するために要求されるべき方法、情報を保存しなければならない期間、対象事業者が保存する情報の許容される使用、対象事業者の情報保存を管理する特定のプロセスまたは手順などの対象事業者の情報保存の要件。 |
| k. To clarify or supplement the examples provided in section 2242(d)(1), what constitutes a third-party entity who may submit a covered cyber incident report or ransom payment report on behalf of a covered entity. | k. セクション2242(d)(1)で提供される例を明確化または補足するために、対象事業者に代わって対象サイバー事件報告書または身代金支払報告書を提出できる第三者事業者を構成するものは何か。 |
| l. How a third party can meet its responsibility to advise an impacted covered entity of its ransom payment reporting responsibilities under section 2242(d)(4). | l. 第2242条(d)(4)に基づき、第三者が、影響を受ける対象事業体に身代金支払報告責任について助言する責任をどのように果たすことができるか。 |
| (3) Other Incident Reporting Requirements and Security Vulnerability Information Sharing | (3) その他のインシデント報告要件およびセキュリティ脆弱性情報共有 |
| a. Other existing or proposed federal or state regulations, directives, or similar policies that require reporting of cyber incidents or ransom payments, and any areas of actual, likely, or potential overlap, duplication, or conflict between those regulations, directives, or policies and CIRCIA's reporting requirements. | a. サイバーインシデントまたは身代金支払の報告を要求する他の既存または提案された連邦または州の規制、指令、または同様の政策、およびそれらの規制、指令、または政策とCIRCIAの報告要件との間に実際に重複、重複、または矛盾が生じる可能性のある領域。 |
| b. What federal departments, agencies, commissions, or other federal entities receive reports of cyber incidents or ransom payments from critical infrastructure owners and operators. | b. 重要インフラの所有者および運営者からサイバーインシデントまたは身代金支払いの報告を受ける連邦省庁、委員会、または他の連邦機関は何か。 |
| c. The amount it typically costs and time it takes, including personnel salary costs (with associated personnel titles if possible), to compile and report information about a cyber incident under existing reporting requirements or voluntary sharing, and the impact that the size or type of cyber incident may have on the estimated cost of reporting. | c. 既存の報告要件または任意の共有の下でサイバーインシデントに関する情報をコンパイルして報告するために、職員の給与コスト(可能であれば関連する職員の肩書きも)を含む通常かかる金額と時間、およびサイバーインシデントの規模または種類が報告コストの見積もりに与える可能性がある影響。 |
| d. The amount it costs per incident to use a third-party entity to submit a covered cyber incident report or ransom payment report on behalf of a covered entity. | d. 第三者機関を利用して、対象事業者に代わって対象サイバーインシデント報告書または身代金支払報告書を提出するためにかかる1インシデントあたりの費用額。 |
| e. The amount it typically costs to retain data related to cyber incidents. | e. サイバーインシデントに関連するデータを保持するために通常かかる金額。 |
| f. Criteria or guidance CISA should use to determine if a report provided to another federal entity constitutes “substantially similar reported information.” | f. 他の連邦機関に提供された報告書が "実質的に類似した報告情報 "に該当するかどうかを判断するためにCISAが使用すべき基準又は指針。 |
| g. What constitutes a “substantially similar timeframe” for submission of a report to another federal entity. | g. 他の連邦政府機関に報告書を提出するための「実質的に類似した時間枠」を構成するものは何か。 |
| h. Principles governing the timing and manner in which information relating to security vulnerabilities may be shared, including any common industry best practices and United States or international standards. | h. セキュリティ脆弱性に関連する情報を共有するタイミング及び方法を規定する原則(業界共通のベストプラクティス及び米国又は国際的な基準を含む)。 |
| (4) Additional Policies, Procedures, and Requirements | (4) その他の方針、手順、及び要求事項 |
| a. Policies, procedures, and requirements related to the enforcement of regulatory requirements, to include the issuance of requests for information, subpoenas, and civil actions consistent with section 2244. | a. 規制要件の実施に関する方針、手順、要件。これには、情報要求、召喚状、及び第 2244 条と整合性のある民事訴訟の発行が含まれる。 |
| b. Information on protections for reporting entities under section 2245. | b. 第2245条に基づく報告主体の保護に関する情報。 |
| c. Any other policies, procedures, or requirements that it would benefit the regulated community for CISA to address in the proposed rule. | c. CISAが規則案で取り上げることにより、規制対象コミュニティの利益となるその他の方針、手順、又は要件。 |
| CISA notes that this RFI is issued solely for information and program-planning purposes. Responses to this RFI do not bind CISA to any further actions. | CISAは、このRFIが情報及びプログラム計画のみを目的として発行されていることに留意すること。このRFIに対する回答は、CISAを今後の活動において拘束するものではない。 |
| Jennie M. Easterly, | ジェニー・M・イースタリー |
公聴会の開催については、
・2022.09.09 Cyber Incident Reporting for Critical Infrastructure Act of 2022 Listening Sessions
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.05.12 米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために
・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)
サイバーインシデント報告法 (CIRCIA) が可決したのはこちら...条文もこちらに載せています。。。
・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...
条文案の段階...
・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決
・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決
Comments