Você acha que o negócio do seu cliente é muito pequeno para ser coberto pela Lei de Relatórios de Incidentes Cibernéticos e Infraestrutura Crítica de março de 2022 (CIRCIA)? A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) anunciou este mês que aproximadamente 311.000 “pequenas entidades” estarão sujeitas às regras de relatórios e regulamentos propostos sob a nova Lei CIRCIA.
De acordo com a regra proposta, as organizações abrangidas (aquelas sujeitas a regulamentação) seriam obrigadas a reportar incidentes cibernéticos significativos à CISA no prazo de 72 horas e a pagar o resgate no prazo de 24 horas. A CISA disse que o regulamento poderia entrar em vigor já no final de 2025 e possivelmente em 2026.
Por que esses números são importantes para MSPs e MSSPs? Porque as pequenas empresas estão no centro de comando de muitos MSPs e MSSPs? E, claro, muitos MSPs e MSSPs são eles próprios pequenas empresas, o que torna a compreensão do âmbito e do alcance da Lei CIRCIA duplamente importante.
Embora muitas pequenas empresas empreguem um gerente de TI dedicado, os MSPs e os MSSPs costumam fazer parte ou a totalidade da estratégia de TI de uma pequena empresa. Ao terceirizar o monitoramento de rede, o gerenciamento de TI e as responsabilidades de segurança cibernética para provedores terceirizados, as equipes e gerentes internos de TI das pequenas e médias empresas podem se concentrar em iniciativas estratégicas e essenciais. solução de problemas.
Lei CIRCIA: Requisitos de Relatórios, Período de Comentários
A Lei CIRCIA exige que a CISA desenvolva e implemente regulamentos que exijam que as entidades cobertas relatem incidentes cibernéticos e pagamentos de ransomware à CIRCIA. A CISA criou um Aviso de Proposta de Regulamentação (NPRM), que será publicado no Federal Register em 4 de abril de 2024 e estará aberto para comentários públicos até 3 de junho de 2024.
No que diz respeito à questão do reporte atempado, a CISA afirma que “as empresas abrangidas devem realizar uma análise preliminar antes de estabelecerem uma crença razoável de que ocorreu um incidente cibernético coberto e, assim, acionar o prazo de reporte de 72 horas. quantidade de tempo.”
A CIRCIA acredita que os requisitos de comunicação permitem à CISA mobilizar recursos para ajudar as vítimas do crime cibernético a analisar os dados recebidos, identificar tendências e partilhar informações com os defensores cibernéticos para alertar outras vítimas potenciais.
Para determinar as organizações elegíveis, a CISA estimou o número de pequenas entidades dentro de cada um dos 280 códigos NAICS (Sistema de Classificação da Indústria Norte-Americana) relevantes. A CISA conduziu então uma análise financeira para avaliar o impacto desta regra nas pequenas entidades.
Uma análise de custos de como esta regra afetará as pequenas empresas
Com base em nossa análise, a CISA descobriu que:
- A CISA estima que das 316.244 entidades que estima, 310.855 são consideradas pequenas entidades, incluindo empresas e algumas agências e organizações governamentais.
- Dos 264 códigos NAICS com dados de receitas disponíveis, 99,2% tiveram um impacto nas receitas de 1% ou menos.
- A CISA estima que o custo médio por entidade não coberta seja de US$ 33,58 e o custo médio por entidade coberta com um incidente cibernético coberto seja de US$ 4.139,60.
Os custos para as empresas cobertas incluem “familiarização com a regra proposta, seguida de requisitos regulares de retenção de dados e registros e requisitos de relatórios”, disse a CISA.
No NPRM, a CISA afirma que “quer ajudar as pequenas entidades a compreender esta regra proposta para que possam avaliar melhor o impacto nas suas empresas e participar na regulamentação declarada”.
É importante ressaltar que a CISA não “retaliará contra pequenas entidades que questionem ou reclamem sobre esta regra proposta ou sobre as políticas ou ações da CISA”.
O Diretor da CISA chama esta regra de uma virada de jogo
A diretora da CISA, Jen Easterly, disse que o CIRCIA é uma “virada de jogo”, na medida em que impacta “toda a comunidade cibernética e aqueles que estão 'investidos' na proteção da infraestrutura crítica do país”. “Isso nos permitirá compreender melhor as ameaças que enfrentamos, detectar ataques inimigos mais cedo e tomar medidas mais coordenadas com parceiros públicos e privados em resposta às ameaças cibernéticas.” “Esperamos receber mais comentários da comunidade de infraestrutura crítica à medida que desenvolvemos a regra final.”
Neste sentido, as grandes empresas de cada sector de infra-estruturas críticas estão sujeitas a esta regra, independentemente de cumprirem determinados critérios. A regra proposta inclui requisitos para 13 dos 16 setores de infraestruturas críticas.
Visão geral do relatório CISA
Em uma postagem no blog, a National Law Review elogiou a CISA por compilar seu relatório de mais de 400 páginas “fácil de entender, útil e (suspiro!) em geral muito razoável”.
Abaixo está uma visão de cima para baixo do relatório do blog.
- A CISA descreve o processo para determinar as principais definições dentro da regra, incluindo abordagens que foram consideradas e, em última análise, descartadas.
- Fornece uma visão geral dos atuais requisitos de notificação de incidentes cibernéticos nos Estados Unidos (como parte das discussões sobre os esforços de harmonização, muitos tinham grandes esperanças de que isso não se concretizaria).
- Exemplos de incidentes que podem ou não ser relatáveis com base nesta regra (por exemplo, um sistema empresarial indisponível por um curto período de tempo, um redirecionamento temporário do tráfego de rede ou algo que é imediatamente detectado) (como a exploração de uma vulnerabilidade conhecida por um agente de ameaça) normalmente não é considerado um incidente relatável).
