美國聯邦政府前首席信息安全官Grant Schneider說，“隨著在烏克蘭發生的一切，我認為人們有更多的動機通過一些立法。任何人都很難對特定條款的細微差別掉以輕心。”

 

Schneider現在是Venable律師事務所網絡安全服務的高級主管，他對美國眾議院通過《加強美國網絡安全法案》的舉措發表了評論。美國參議院在3月1日一致通過了該法案。

 

美國參議院通過的立法結合了三項先前以類似形式通過美國眾議院或正在這樣做的法案。

 

該法案中最值得關注的條款是，要求私營部門關鍵基礎設施實體在72小時內向網絡安全和基礎設施安全局報告遭遇網絡安全事件，其中包括勒索軟件攻擊。這些實體在支付勒索軟件贖金之前必須在24小時內報告。議員們表示，美國眾議院在去年通過了一項類似的法案，但由于時間限制，美國參議院未能完全實現他們的目標。美國聯邦調查局也表達了對該法案將他們排除在事件報告之外的擔憂。

 

《加強美國網絡安全法案》還包括編纂和資助美國總務管理局計劃的規定，以通過獨立的第三方審計來證明美國政府云計算服務提供商的安全性。根據2019年美國政府問責辦公室(GSA)的報告，大多數機構在與云計算供應商簽訂合同之前，通常沒有通過美國政府問責辦公室(GSA)的聯邦風險授權管理計劃(FedRAMP)。美國眾議院已經多次通過類似措辭的FedRAMP編纂立法。

 

最后，美國參議院日前通過的法案包括更新2014年《聯邦信息安全現代化法案》的冗長條款。其中大部分條款——包括為報告目的重新定義“重大事件”的條款，這都反映在紐約州民主黨眾議員Carolyn Maloney最近在美國眾議院提出的立法中，雖然有一些顯著的差異。

 

美國眾議院法案要求承認聯邦首席信息安全官的權威，并要求該官員有權制定機構的網絡安全預算。來自美國國土安全和政府事務委員會的參議院法案并沒有提到這一點，而聯邦首席信息安全官仍在美國管理和預算辦公室(OMB)之外運作。

 

Maloney對在聯邦網絡中存在風險特別警惕。她說，“我對美國參議院通過了《加強美國網絡安全法案》表示祝賀，其中包含《聯邦信息安全現代化法案》——這是我們的首要立法優先事項之一。”

 

她補充說：“美國監督和改革委員會于2022年開始了兩黨聽證會，以研究如何最好地實現《聯邦信息安全現代化法案》(FISMA)的現代化，我們期待著在這項工作通過立法程序的過程中吸取這些重要的經驗教訓?！堵摪钚畔踩F代化法案》(FISMA)的改革將決定我們未來幾年的聯邦網絡安全態勢，最終法案必須抓住每一個機會來保護聯邦網絡免受每天面臨網絡攻擊的影響。我們共同致力于實現這一目標，并確信我們很快就會成功地將這項法案提交給總統。”

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。