Pesquisa de site

O que é o CIRCIA? Como esta lei pode afetar seus negócios

A Lei de Relatório de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA) de 2022 é uma lei federal dos EUA que exige que todas as entidades de infraestrutura crítica relatem quaisquer incidentes de segurança cibernética ou ataques de ransomware à Agência de Segurança Cibernética e Infraestrutura (CISA) dentro de um prazo especificado.

Foi sancionada pelo presidente Biden e pelo governo federal dos EUA em março de 2022 contra as crescentes preocupações de ataques cibernéticos de alto perfil a provedores de infraestrutura crítica nos Estados Unidos e uma série de ataques relacionados à invasão da Ucrânia pela Rússia. O CIRCIA vem na esteira do foco aprimorado do governo dos EUA em melhorar a segurança cibernética geral do país após a Ordem Executiva de Biden sobre Melhorar a Segurança Cibernética da Nação.

O objetivo do CIRCIA é permitir que a CISA tenha tempo suficiente para fornecer suporte e recursos para as indústrias e vítimas afetadas, enquanto usa os relatórios para analisar possíveis tendências de ataques em todos os setores e compartilhar essas informações com alvos potenciais no setor de infraestrutura crítica. Como tal, o quadro geral é obter uma visibilidade mais forte do escopo das ameaças cibernéticas e entender completamente os riscos cibernéticos no cenário atual de segurança cibernética.

Saiba por que o relatório de incidentes cibernéticos é importante.

Quais são os requisitos de relatório de incidentes cibernéticos do CIRCIA?

Existem duas obrigações principais de relatórios que as entidades cobertas devem seguir:

  1. As entidades cobertas que experimentam um incidente cibernético coberto devem relatar o incidente à CISA dentro de 72 horas após a entidade ter uma crença razoável de que ocorreu um incidente.
  2. Se o incidente cibernético coberto também se qualificar como um ataque de ransomware, a entidade coberta deve relatar o incidente à CISA dentro de 24 horas se um pagamento de ransomware tiver sido feito.

O prazo de relatório de 72 horas é iniciado a partir do momento em que "crença razoável" de que ocorreu um incidente cibernético. No entanto, a CISA deve determinar o momento exato da "crença razoável", se ela se aplica à confirmação de um incidente cibernético ou à ocorrência de um possível incidente cibernético. Uma vez determinado, as organizações devem relatar incidentes cibernéticos à CISA de acordo com a regra definida.

Depois que a CISA recebe relatórios de um incidente cibernético, ela deve compartilhar os relatórios com as agências federais correspondentes dentro de 24 horas. Se uma agência federal receber o relatório antes de ser relatado à CISA, ela também deverá compartilhar o relatório com a CISA dentro de 24 horas.

Nesses relatórios de incidentes, as organizações devem incluir os detalhes necessários do incidente, incluindo:

  • Tipo e número de sistemas afetados
  • Tipo de informação ou dados afetados
  • Descrição abrangente do ataque ou violação de segurança
  • Data e hora da ocorrência
  • Âmbito do impacto nas operações
  • Vulnerabilidades específicas que foram exploradas
  • Táticas e técnicas usadas no ataque
  • Informações de contato

A partir dessas iniciativas, existem três iniciativas principais que são derivadas da legislação:

  1. Conselho de Relatórios de Incidentes Cibernéticos - O Departamento de Segurança Interna (DHS) deve estabelecer e presidir o Conselho Intergovernamental de Relatórios de Incidentes Cibernéticos para "coordenar, desconflitar e harmonizar os requisitos federais de relatórios de incidentes".
  2. Força-Tarefa Conjunta de Ransomware - A Força-Tarefa Conjunta de Ransomware faz parte de uma campanha nacional contínua contra ataques de ransomware lançada pela CISA. Como parte do CIRCIA, a CISA continuará esses esforços em colaboração com o Federal Bureau of Investigation (FBI) e o Diretor Nacional de Cibersegurança.
  3. Programa piloto de aviso de vulnerabilidade de ransomware - A CISA tem a tarefa de criar um programa piloto que possa desenvolver processos e procedimentos para identificar informações em infraestrutura crítica que tenham vulnerabilidades de segurança comumente associadas a ataques de ransomware e notificar os proprietários do sistema de acordo.

NOTA: O CIRCIA não entrará em vigor até que a Regra Final seja publicada e os requisitos de relatórios sejam finalizados. No entanto, a CISA ainda recomenda fortemente que todas as organizações de infraestrutura crítica relatem quaisquer incidentes cibernéticos.

O que é considerado um incidente cibernético?

Um incidente cibernético é qualquer evento em que os sistemas, a rede ou os dados de uma organização foram violados, comprometidos, expostos, prejudicados ou acessados ilegalmente por agentes mal-intencionados.

Atualmente, a CISA define um "incidente cibernético coberto" como um incidente cibernético substancial experimentado por uma entidade coberta. As entidades cobertas incluem todas as organizações sob a legislação, que sob a CIRICA inclui todas as organizações dentro dos setores de infraestrutura crítica.

Além disso, o CIRCIA estabelece diretrizes para o que é considerado um "incidente cibernético substancial", incluindo:

  • Perdas ou danos substanciais à confidencialidade, integridade e disponibilidade dos sistemas de informação
  • Impacto substancial na segurança ou resiliência de sistemas e processos operacionais
  • Interrupções comerciais ou industriais significativas
  • Qualquer instância de pagamento de ransomware ou ataque de ransomware
  • Acesso não autorizado que leve a interrupções nos negócios causadas por terceiros
  • Comprometimento da cadeia de suprimentos

Quem deve cumprir o CIRCIA?

De acordo com o CIRCIA, todas as "entidades cobertas" em setores de infraestrutura crítica devem cumprir os novos requisitos de relatórios. Em alguns casos, os prestadores de serviços terceirizados para esses setores também podem estar sujeitos ao cumprimento do CIRCIA. As entidades de infraestrutura crítica podem incluir empresas públicas e privadas nos seguintes setores:

  • Químico
  • Instalações comerciais
  • Comunicações
  • Manufatura crítica
  • Barragens
  • Base industrial de defesa
  • Serviços de emergência
  • Energia
  • Serviços financeiros
  • Alimentação e agricultura
  • Instalações governamentais
  • Saúde e saúde pública
  • Tecnologia da informação
  • Nuclear
  • Transporte
  • Sistemas de água e esgoto

Pedido de Informação (RFI) no CIRCIA

Como parte do processo de regulamentação, o CIRCIA também tem uma RFI ativa para receber contribuições do público, pois a CISA continua a desenvolver e implementar os regulamentos estabelecidos pela nova lei. Na RFI, a CISA é obrigada a fornecer definições específicas e precisas de:

  • O significado de "entidade coberta"
  • O número total de entidades organizadas por indústria ou setor
  • O significado de "incidente cibernético coberto"
  • As semelhanças e diferenças da definição de "incidentes cibernéticos cobertos" em comparação com a definição do termo em outros regulamentos federais existentes
  • O significado de "incidente cibernético substancial"
  • O significado de "pagamento de resgate" e "ataque de ransomware"
  • O número de pagamentos de ransomware que provavelmente serão feitos anualmente pelas entidades cobertas
  • O significado de "comprometimento da cadeia de suprimentos"
  • Qualquer outro termo que exija esclarecimento dentro do CIRCIA
  • O que constitui "crença razoável", que aciona o prazo de relatório de 72 horas
  • Os critérios para quando um pagamento de resgate é considerado finalizado, acionando o prazo de relatório de 24 horas
  • Como as entidades cobertas devem enviar seus relatórios de incidentes cibernéticos e pagamento de resgate
  • Como terceiros devem enviar seus relatórios suplementares
  • Os critérios para determinar se uma entidade é uma organização com várias partes interessadas

O CIRCIA também exige que o Diretor da CISA publique um Aviso de Proposta de Regulamentação (NPRM) dentro de 24 meses a partir da data de promulgação (até março de 2024). Um NPRM é um aviso público oficial que descreve o plano da agência federal para resolver um problema específico ou atingir uma meta.

A Regra Final do Diretor também deve ser publicada dentro de 18 meses do NPRM (até setembro de 2025). A Regra Final é a etapa final do processo de regulamentação, na qual as regras propostas são avançadas para os estágios finais de publicação no Registro Federal. A publicação da Norma Final também estabelece a data de vigência do CIRCIA.