2022年3月15日,美《关键基础设施网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA)生效,要求美总统21号令所涵盖的16个关基领域中的“涵盖实体”(covered entities),需就关基运营中的“涵盖网络事项”(covered cyber incidents),向美国土安全部(DHS)下设的美国网络安全和关键基础设施安全局(CISA)进行报告。报告行为,应在“有理由相信事件发生”(reasonably believe the incident occurred)之后的72小时内完成,涉勒索赎金类的(ransom payments)的,应于24小时之内报告。
1、立法在2022年3月,但报告义务落地,最早也要到2025年9月。
2022年3月15日成法时,CIRCIA要求CISA在24个月内(即今年3月15日前),发布预通知规则(NPRM),以向公众进一步征求意见,并在NPRM发布18个月后(即在2025年9月15日之前),发布最终规则(Final Rule)。
去年12月,CISA局长Jen Easterly表态,NPRM接近完成,将于2024年早些时候公布。我们判断,NPRM公布的时间,很可能是在今年的2月,即俄乌战争两周年之际。原因在于,CIRCIA当初以纳入《2022年国防授权法》的方式闯关通过,有俄乌战争作为背景,即大国博弈(交战)环境下网络安全的极端重要性。因此,在纪念战争两周年之际,推出CIRCIA的预规则,有利降低市场对于NPRM的抵触,也可视作DHS在俄乌战争中的一种姿态。
值得一提的是,在2025年9月最终规则发布以前,关基运营者是没有网络事件报告义务的——虽然CISA鼓励此间关基运营者自愿分享网络事件信息,但仅是鼓励。
2、理顺联邦既有涉网报告义务,是CIRCIA顺利落地的支柱一。
虽然NPRM尚未发布,但在去年9月,DHS曾发布文件“Harmonization of Cyber Incident Reporting to the Federal Government”,详述了DHS为落实CIRCIA所作出的努力。文件指出,按CIRCIA要求,DHS牵头成了“网络事件报告制度委员会”(简称CIRS),联邦内外33个部门单位参加,重点工作之一,是梳理1)联邦存量涉网报告制度和2)现行主管部门及运行机制。
存量涉网报告制度:现行法律法规和部门指导意见中,共有45种不同的联邦网络事件报告要求,其中,与国家安全、经济安全、公共安全相关的报告要求26项,与消费者、投资者及隐私保护相关的报告要求13项,余6项与两类因素均相关。
现行主管部门及运行机制:联邦层面22个部门,均涉及涉网报告事项的主管职能,其中14个部门提供了规范的在线报告渠道,另8个提供了灵活的报告渠道,共涉及到13种表格和10个报告网站,且只有3家部门愿意与其他部门表格实现互通。
这一调研结论,暴露出两个待解决的问题:
其一,必要性。就某一行业而言,络事件只是所有风险事件(all-hazards)的一个子集,涉网报告也只是所有报告的一个子集。那么,如确有必要将各条线涉网事件单拎出来报告,那还有没有其他可单拎出报告的角度?
——这本质上是一个治理中常见的横(领域)纵(事项)协调问题。考虑到网络高渗透的独特性,预计这一角度受到挑战的可能性低。
其二,操作性。如既有报告体系,也是基于上位法的落地执行,如将所有涉网事项单拎出来报告,需要上位法之间的协调。例如,假设某一行业的涉网报告,对报告类型、报告流程、触发机制甚至报告组成内容均有成熟的规定,其有较大概率与DHS后续给出的规则相冲突。
——预计DHS在推NPRM的时候,也会向国会提出立法建议,重点是希望国会消除任何阻碍协调的法律或法定障碍。基于这一点,我们判断DHS2月推出的NPRM,将是较粗颗粒度的、基于最小必要原则的,不会对既有的行业报告制度构成直接冲击。
3、不给市场主体增加额外负担,是CIRCIA顺利落地的支柱二。
“Harmonization of Cyber Incident Reporting to the Federal Government”,也列举了市场主体对于报告制度的建议很反馈,我们摘列几条如下:
建议不局限于考虑单纯的网络事件报告义务,而应聚焦于协调“全风险”(all-hazards)的报告协调义务。
联邦政府应考虑相同或类似信息的多头报送、重复报送问题,确保私营部门承担义务的最小化,且政府应履行信息综合分析(connect the dots)任务。随着报告事项的与日俱增,建设公用信息报告平台以及跨部门的信息分享基础设施将变得日渐重要,特别是要借此来减轻多头报送、重复报送的问题。
联邦政府应向报告实体,提供从事件报告中得出的有用的匿名或汇总信息。
需要精准定义网络事件且保持术语的一致性(Clear definitions and consistent terminology )以防止造成困扰并降低报送主体义务负担。建议采用客观提问的方式,不建议由公司内部法务或外部律师团队进行主观发挥回答。
确保报送信息量、细节度和报送时效性之间的平衡,至关重要(Striking the right balance between the amount of information and level of detail of the information required and the need for timely reporting is important),建议首次报送不求全,后续报送中可予完善。
应保证报送信息免于披露,尤其是不受《信息自由法案》(FOIA)约束,保证联邦政府有足够的安全保护措施来保护私营部门的信息,且政府应确保网络事件报送实体不用为“善意义务履行”而担责,如因报送中的信息而被追责。
4、报送只是阶段目标,整体网安能力提升仍取决多重因素,不确定性大。
CIRCIA所提关基网络事件报告制度,一直被视作美加码网络安全应急体系的一个关键举措,近来也与国内网安、数安报告制度形成了“共振”。2024年,随着DHS发布NPRM,这一“共振”或将加码。此背景下,厘清CIRCIA报告制度的现状、方向,判断其未来执行,或有一定现实意义。
“防止关基运营者不报”常被视作CIRCIA的立法本意,但从CIRCIA两年来的前期落地调研看,DHS似乎不太担心“别人不报”,而更多考虑的是“让人更好地报”,制度建设上更倾向于“盘清家底”而非“另起炉灶”。DHS的工作重心,不仅包括了“谁来报(适用主体)、为什么报(事项类型、触发机制)、怎么报(报送流程、报告内容)”等基础性问题,更含括了浩瀚繁杂的思辨性、协调性问题:政府内部的存量监管协调,即通过CISA重建报告制度,来解决美国涉网报告制度的一致性问题,以及加大对义务方的权利保护,解决“多头报、重复报”以及报送数据安全、善意履行义务的免责问题。
DHS的调研,还发现了一个现象。不是没有报告制度(如金融部门对应六项涉网报告制度),也不是没有主管部门,而是主管部门水位不一、报告义务履行参差不齐(如水和污水部门没有专门的报告义务,只有在与消费者隐私等问题相关时才需要报送,前期出事的能源、管道行业,也是传统数字化程度较低、报送义务履行不及时的典型部门)。这意味着,如何让数字化程度不高但极其关键重要的行业,提升网络安全防护能力,才是解决问题的关键,而报告制度,只是实现目标的第一步。
提升网络安全防护能力,报告制度只是第一步。应当说,DHS即将颁行的NPRM,能够解决上述问题中的一部分,但一些根本性的问题,不是部门规章所能解决的,仍将依赖于国会立法,也与网络安全整体的形势变化密切相关,可能将呈现长期、反复的特征。这将与美数字治理时代的多项立法(如隐私、公平竞争、平台责任等)高度近似。
事实上,拜登执政之处,曾创设多个主管网络事务的部门,“网络监管竞速”在一定程度上存在。基于这一背景,2022年CIRCIA刚通过时,CISA一度被认为在网络事务中攫取到了较大的政治收益。然而,如果将CIRCIA与2021年《提升国家网络安全的行政令》(EO14028号)、2023年版《美国国家网络安全战略》相比,关基网络事件报告事项,只是美整体网络战略中很小的一个局部。
而即便是极具野心的“14028号行政令”、“2023版《国家网络安全战略》”,就目前来看,已落地、能落地的并不多,一些关键部门的关键人,也遭汰换。与有立法作支撑的报告制度相类似,战略与目标的落地,也面临两个方面的挑战:一是政府与市场的边界,二是军事国防力量对网安事务的过度介入与公民基本权利的关系。
无论如何,关基网络事件报告制度,已是美网安制度优化中截至目前最坚实的一步了。DHS或CISA在做一件“很具体的苦差事”,“小马拉大车”,其未来执行效果如何,仍将取决于多重因素。
声明:本文来自安承宏观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
