美國聯(lián)邦政府前首席信息安全官Grant Schneider說，“隨著在烏克蘭發(fā)生的一切，我認為人們有更多的動機通過一些立法。任何人都很難對特定條款的細微差別掉以輕心?！?/p>

Schneider現(xiàn)在是Venable律師事務所網(wǎng)絡安全服務的高級主管，他對美國眾議院通過《加強美國網(wǎng)絡安全法案》的舉措發(fā)表了評論。美國參議院在3月1日一致通過了該法案。

美國參議院通過的立法結合了三項先前以類似形式通過美國眾議院或正在這樣做的法案。

該法案中最值得關注的條款是，要求私營部門關鍵基礎設施實體在72小時內(nèi)向網(wǎng)絡安全和基礎設施安全局報告遭遇網(wǎng)絡安全事件，其中包括勒索軟件攻擊。這些實體在支付勒索軟件贖金之前必須在24小時內(nèi)報告。議員們表示，美國眾議院在去年通過了一項類似的法案，但由于時間限制，美國參議院未能完全實現(xiàn)他們的目標。美國聯(lián)邦調(diào)查局也表達了對該法案將他們排除在事件報告之外的擔憂。

《加強美國網(wǎng)絡安全法案》還包括編纂和資助美國總務管理局計劃的規(guī)定，以通過獨立的第三方審計來證明美國政府云計算服務提供商的安全性。根據(jù)2019年美國政府問責辦公室(GSA)的報告，大多數(shù)機構在與云計算供應商簽訂合同之前，通常沒有通過美國政府問責辦公室(GSA)的聯(lián)邦風險授權管理計劃(FedRAMP)。美國眾議院已經(jīng)多次通過類似措辭的FedRAMP編纂立法。

最后，美國參議院日前通過的法案包括更新2014年《聯(lián)邦信息安全現(xiàn)代化法案》的冗長條款。其中大部分條款——包括為報告目的重新定義“重大事件”的條款，這都反映在紐約州民主黨眾議員Carolyn Maloney最近在美國眾議院提出的立法中，雖然有一些顯著的差異。

美國眾議院法案要求承認聯(lián)邦首席信息安全官的權威，并要求該官員有權制定機構的網(wǎng)絡安全預算。來自美國國土安全和政府事務委員會的參議院法案并沒有提到這一點，而聯(lián)邦首席信息安全官仍在美國管理和預算辦公室(OMB)之外運作。

Maloney對在聯(lián)邦網(wǎng)絡中存在風險特別警惕。她說，“我對美國參議院通過了《加強美國網(wǎng)絡安全法案》表示祝賀，其中包含《聯(lián)邦信息安全現(xiàn)代化法案》——這是我們的首要立法優(yōu)先事項之一。”

她補充說：“美國監(jiān)督和改革委員會于2022年開始了兩黨聽證會，以研究如何最好地實現(xiàn)《聯(lián)邦信息安全現(xiàn)代化法案》(FISMA)的現(xiàn)代化，我們期待著在這項工作通過立法程序的過程中吸取這些重要的經(jīng)驗教訓?！堵?lián)邦信息安全現(xiàn)代化法案》(FISMA)的改革將決定我們未來幾年的聯(lián)邦網(wǎng)絡安全態(tài)勢，最終法案必須抓住每一個機會來保護聯(lián)邦網(wǎng)絡免受每天面臨網(wǎng)絡攻擊的影響。我們共同致力于實現(xiàn)這一目標，并確信我們很快就會成功地將這項法案提交給總統(tǒng)?！?/p>