商傳媒|責任編輯/綜合外電報導
美國網絡安全和基礎設施安全局(CISA)原訂於 2026 年 5 月底前敲定《關鍵基礎設施網路事件報告法案》(Cyber Incident Reporting for Critical Infrastructure Act, CIRCIA)的最終實施細則,但由於聯邦預算撥款不足,導致相關城鎮會議(town hall meetings)被迫延期,最終法規的頒布也因此推遲。這項法案旨在建立美國聯邦政府首個全面性、跨領域的強制性網路事件通報機制,對全球科技產業供應鏈可能產生深遠影響。
CIRCIA 法案於 2022 年頒布,CISA 隨後於 2024 年發布了旨在實施涵蓋網路事件及勒索軟體支付通報要求的擬議規則。根據法案要求,一旦最終規則定案,受涵蓋實體將需向 CISA 通報重大網路資安事件、勒索軟體支付,並提供補充資訊,同時遵守記錄保存義務。這些報告將需符合嚴格的時效、內容、方式和格式規定。
CISA 的擬議規則對「受涵蓋實體」的定義範圍廣泛,即使非傳統意義上的關鍵基礎設施公司,也可能被納入通報要求。資訊科技產業被明確列為 16 個關鍵基礎設施領域之一,這意味著許多科技公司將受到影響。判斷企業是否為受涵蓋實體,需依其是否超越北美產業分類系統(NAICS)定義的小型企業門檻,或符合特定產業別標準,例如:年度營收達 4,000 萬美元的雲端基礎設施供應商,或員工人數超過 1,000 人的 AI 開發商等。
此外,即使小型企業,只要其業務涉及為聯邦政府提供資訊科技軟硬體或服務,或開發/銷售具有高權限、管理網路或運算資源、控制資料存取等特性的軟體元件,或作為作業技術(operational technology)的原始設備製造商、供應商或整合商,都可能被視為受涵蓋實體。這對涉及複雜供應鏈的全球科技公司構成挑戰。
依據擬議規則,須通報的網路資安事件包含:資訊系統或網路機密性、完整性或可用性遭受實質性損失;對營運系統安全或韌性產生嚴重影響;商業或工業營運中斷;以及因雲端服務供應商、託管服務供應商或第三方託管商遭到入侵,或供應鏈中遭對手利用的網路事件所導致的未經授權存取。資訊科技產業協會(ITI)在 2024 年的公開意見中曾對此廣泛定義表示擔憂,特別是關於供應鏈中責任劃分的模糊性。
一旦法規生效,受涵蓋實體將須在合理認定網路資安事件發生後的 72 小時內,向 CISA 提交報告;而勒索軟體支付則需在支付後 24 小時內通報,即便該勒索軟體攻擊本身不構成涵蓋事件。值得注意的是,通報時限在調查完成前即已啟動。企業並需在有新資訊出現或需更正時持續提交補充報告,直到事件完全解決。儘管最終規則的發布因預算問題而延遲,但 CISA 鼓勵企業提前準備,並將透過後續的城鎮會議進一步徵求利害關係人的意見,以完善法規的範圍與負擔。對於全球科技供應鏈上的所有參與者而言,密切關注這些發展並提前規劃應對策略,將是當務之急。
