サイバーセキュリティ・インフラストラクチャ庁(CISA)は、重要インフラの所有者および運用者に対し、重大なサイバーインシデントを迅速に連邦政府へ報告することを義務付ける規則の最終化を、来年5月まで延期すると、最近の規制通知で明らかにしました。
2022年の重要インフラ向けサイバーインシデント報告法(CIRCIA)に基づき、CISAは本来、今年10月までにこの法律を施行する最終規則を策定する予定でした。しかし先週、行政管理予算局(OMB)の情報・規制問題局(OIRA)が最新情報を公開し、最終規則の発効時期を2026年5月に延期しました。
CISAの担当者はCyberScoopに対し、この延期によって、以前提案された規則の業界への負担軽減や簡素化の検討、また他機関のサイバー規制との調和を図るための時間が確保できると述べました。これは、提案規則に対するパブリックコメントを受けての対応です。
「提案規則には多くのパブリックコメントが寄せられ、その多くが範囲と負担の軽減、CIRCIAと他の連邦サイバーインシデント報告要件との調和、明確性の確保の必要性を強調していました」と、CISAの広報部長マルシ・マッカーシー氏は述べています。「利害関係者からの意見は、私たちが集団的なセキュリティを向上させる規則を策定する上で非常に重要です。CISAは、重要インフラ分野の事業体に不必要な負担を最小限に抑えつつ、最大限の効果を発揮できるようCIRCIAの実施に引き続き取り組んでいきます。」
マッカーシー氏は、CISAは5月までの期間を活用し、「規則策定プロセスの中で、議会の意図に対応し、CIRCIAの要件を簡素化するための選択肢を検討する」と述べました。
有力な議員や業界団体もCyberScoopに対し、この延期がそのような変更を実現する助けになる可能性があると語りました。
下院国土安全保障委員長のアンドリュー・ガルバリーノ議員(共和党・ニューヨーク州)は、トランプ政権が、規則の影響を受ける団体から追加の意見を積極的に求めることを優先するとの保証を受けたと述べました。
「私は、CIRCIAの最終規則の期限延長という政権の決定を支持しますが、この追加期間が、提案規則の報告要件に関する民間部門からの意見を適切に反映し、最終規則が法律に対する議会の意図を確実に果たすために使われることが条件です」と彼は述べました。「私は、多くの業界関係者と同じく、CIRCIAが重要インフラの所有者や運用者に重複的または過度に広範な要件を課すべきではないと懸念しています。そのようなことをすれば、アメリカのサイバー専門家が高まる脅威からネットワークを守る際に、不必要な負担となる可能性があります。」
2022年の法律は、重要インフラの所有者および運用者に対し、重大なサイバー攻撃を受けた場合は72時間以内にCISAへ報告し、ランサムウェアの要求に応じて支払いを行った場合は24時間以内に報告することを義務付けています。この法律は、2021年のコロニアル・パイプラインのハッキングなど、一連の大規模なサイバー攻撃を受けて制定されました。
しかし、CISAの提案規則は、法律が適用される対象や、どのようなインシデントがCISAへの報告対象となるかの解釈に関して、業界団体から批判を受けていました。これらの団体は、法律の主要な用語や表現の定義をより狭く解釈することを求めていました。
提案規則に関する書簡に共同署名していた情報技術産業協議会は、この延期によってCISAが業界の意見を取り入れる機会が生まれたと述べました。
「重大なサイバーインシデントに関する可視性の向上を通じて運用効率を高めることは、テクノロジー業界にとって最優先事項です」と、同協議会のサイバーセキュリティ政策ディレクター、レオポルド・ヴィルデナウアー氏は述べました。「CIRCIAは米国のサイバー環境に大きな影響を与えるため、正確に策定することが重要です。CISAはこの延長期間を活用し、業界の意見を真に取り入れ、規則を議会の本来の意図に再調整すべきです。同時に、インシデント報告の簡素化や連邦政府全体での要件の調和を進め、より良いセキュリティ成果を目指す必要があります。」
ブルームバーグ・ローは、この延期計画を以前に報道しており、その後数週間にわたりOIRAのウェブサイトから通知が消えていました。
CISAの人員削減やその他の動向により、同庁が10月のCIRCIA期限を守れないのではないかという懸念が以前からありました。国土安全保障省のクリスティ・ノーム長官は、5月に、提案規則に関する業界との協議を再開することを支持すると述べています。
この延期に関する通知は、CISAの計画に関する不確実性を解消するものだと、コビントン法律事務所のパートナー、ケイレブ・スキース氏は述べました。
「これによって今後のステップがある程度明確になりました。これらの規則を公表するための法定期限はありましたが、コメント期間以降、CISAからは長期間にわたり多くの情報が出ていませんでした」と彼は述べました。「そして、これは非常に広範で多岐にわたる規則であり、多くの業界分野の多数の事業体に影響を与え、サイバーセキュリティインシデントに関する多くの情報を非常に迅速に報告することが求められることになります。」
スキース氏は、トランプ政権が議会の追加承認なしに提案規則に加えられる変更には限界があると述べました。また、最終規則が5月に公表された後、実際に規則が施行されるまでにさらに時間がかかる可能性もあると指摘しました。
翻訳元: https://cyberscoop.com/cisa-pushes-final-cyber-incident-reporting-rule-to-may-2026/