DHS对联邦政府报告和NIS 2指令中事件报告规则的网络安全事件报告统一性评估对比分析

DHS的比较评估网络事件的协调向联邦政府报告报告和突发事件规则 中的报告欧盟关于高水平共同行动措施的指令 整个联盟的网络安全（NIS2指令） 美国国土安全部和 欧盟委员会通信网络总局， 内容与技术 免责声明-当前报告提供了关于DHS报告建议和欧盟关于事件报告的法律框架的事实概述。 根据欧盟指令（EU）2022/2555。本文件无意也不创建任何实体或程序权利或利益，可直接执行。 任何一方针对美国、其部门、机构或实体、官员、雇员或代理，或其他个人提起的法律诉讼或索赔均属无效。本报告并未推荐任何依据欧盟法规约束性条款的行动，亦未意图对此类约束进行解释。 当报告与欧盟法律中的任何约束性条款之间似乎存在冲突或重叠时，则应遵循约束性条款。适用联盟法律。报告既不提供法律建议，也不代表欧洲委员会的官方立场。它并非官方解释，欧盟法律，这是欧盟法院的特权。 I 2023年1月，欧盟指令（EU） 2022/2555年关于高水平的措施整个联盟的网络安全（NIS2指令） 国土安全部（DHS） 解决由以下原因引起的潜在重复当前和未来的联邦网络事件 生效，欧盟成员国21报告制度在美国。在一个2 月将其转化为国家法律。NIS2 基于其前身的要求， 第(EU)2016/1148号指令，关于高公共网络安全水平和 整个联盟的信息系统(NIS 指令)，自2016年起生效，但它提高了欧盟对网络安全的共同抱负， 通过更广泛的范围、更清晰的规则和更强大的监督工具。NIS2协调、加强、 简化安全和事件报告对更多实体的要求，这对欧洲经济至关重要 社会。新指1令引入了更精确的关于事件报告过程的规定， 报告和时间表的内容。NIS2寻求在需要之间取得适当的平衡 迅速报告，以避免潜在的传播事件，以及深入报告的必要性从个人身上吸取宝贵的经验教训事件。NIS2指令将废除 NIS指令自10月18日起生效 2024. 关键的网络事件报告 2022年基础设施法案(CIRCIA)确立了网络事件报告委员会（CIRC），由 2023年9月报告“协调of向联邦政府报告网络事件 政府”，国土安全3部，由专业知识提供信息和30多个联邦机构的工作 中国保监会概述了一系列可操作的关于美国政府如何的建议 可以简化和协调 网络事件，以更好地保护国家 criticalinfrastructure.Theserecommendations 通过与美国的广泛协商得到了通知行业着眼于确保 相关政府机构可以访问 有关事件的足够信息以支持合法的政府目的，而 尽量减少报告的行政负担 实体，以便他们可以将精力集中在 减轻事件的影响。4 通知正在执行的CIRCIA 和NIS2指令 各自的当局和支持实体 在多个司法管辖区积极努力 应对网络事件、国土安全部和DGCONNECT正在发布本联合报告这确定了主要的相似之处和 国土安全部报告中的分歧 建议和NIS2指令。5 F 或者这个比较练习的目的， DHS和DGCONNECT确定了六个主要之间进行比较分析的领域 国土安全部报告和NIS2指令：(一)定义和报告阈值，(Ii)时间表、触发器和 网络事件报告的类型，(Iii)内容网络事件报告，(四)报告机制， (v)事件数据的汇总，以及(vi)公共 I.定义和报告主题 网络事件信息的披露。每个比较分析的六个领域包括框架的示意图比较 坚持实际文本，其次是一般文本关于异同的结论。 请注意，其他技术比较 关于区域(i)和(ii)的信息可在本文件的附件中找到第10页的报告。 国土安全部报告–建议6NIS2指令 必须报告什么必须报告什么 A可报告的网络事故A显著事故 报告阈值报告阈值 如果事故导致或(如果仍在保险范围内实体的调查7）可能导致： (1)机密性、完整性或 覆盖的信息系统、网络或操作技术； 如果事件被认为是重大的 has: (1)引起或能够引起严重服务的运营中断或 有关实体的财务损失； (2)中断或对(2)受影响或能够影响 覆盖实体的从事业务运营的能力或交付商品或服务，包括那些有 对公共卫生或安全造成重大影响的可能性或可能造成严重伤害或死亡； (3)直接披露或未经授权的访问或间接到非公开的个人信息 大量个人；或 (4)对其他关键的潜在运营中断基础设施系统或资产。 其他自然人或法人相当材料或非材料损坏。 An“事件”是一个妥协的事件可用性、真实性、完整性或 存储、传输或 处理后的数据或提供的服务，或通过网络和信息访问 系统(见第6条，第(6)点NIS2)。 II.发脾气事件报告的触发、时间表和阶段 国土安全部报告–建议6 NIS2指令 触发器 触发器 从何时开始合理 认为可报告的网络事件已经 发生了。 从何时开始变得意识到 重大的事件。 时间表 时间表 72小时8 72小时，之前是最大范围内的预警 24小时。最终报告-不迟于一个月 在提交事故通知后。 报告阶段 报告阶段 •初始事件报告 •补充事件报告 •突发事件更新 •最终事件报告（可选） •早期预警 •突发事件通知 •中级报告 •最终报告 •进度报告 注释: The NIS 2-定义 “早期”警告” and “事件” 通知” 报告 could 进 行比较 toDHS 报告的 建议 “初始 事故 报告”，建议通常在72小时内要求。但是， 根据NIS2，“早期预警”必须在24小时内发生。 只有当CSIRT或主管作者时，才需要作为NIS2的一部分的报告要求提供一份报告，与国土安全部报告建议的“补充”相当 和“事件更新”报告，使初始报告更完整或正确已经提交的信息。最终报告在中作为可选的详细说明 DHS报告的建议，但要求在一个月内作为NIS2的一部分事件通知的提交。NIS2规定提交 进度报告，如果在提交最终报告。 国土安全部报告为建议的时间表和触发器提出了例外对于那些需要更早报告时间表的事件，例如中断 或国家关键职能交付的退化(即，在不到 72小时)和可能包括的事件a较长的时间线，如损失没有进一步的个人信息对业务运营的影响(即， 长于72小时）。尽管在72小时的时间线中存在一般重叠， DHS报告和NIS2在用于描述何时 \应进行初步报告。NIS2使用“意识到”重大事件 而国土安全部报告使用“合理的信念” 事件发生了。 a可报告的网络 III.CYBER事件报告的内容 国土安全部报告–建议 6 NIS2指令 初始事件报告 初始事件报告提供有关可报告的事件。 如果事件符合定义，将是强制性的一个可报告的事件。 预警:是否显著 事件被怀疑是由 非法或恶意行为或可能有 跨境影响；强制性。 补充事件报告: 初始事件的补充事件报告 报告使报告更完整。 突发事件通知 更新来自 早期预警；初步评估重大事件、严重性和 影响，在可用的情况下， 妥协；强制性。 如果报告实体成为强制性的 意识到重要的新信息。中级报告 相关状态更新。应要求 突发事件更新:CSIRT或主管当局。 对突发事件报告的突发事件更新会更正或 修改以前提供的信息报告更准确。 如果报告实体意识到以前提交的重要信息是错误。 最终事件报告 可选的最终报告是由 报告实体肯定地完成记录或 告知它认为事件已解决。 最终报告 强制性最终报告必须包括(I) 事件的详细描述，包括 其严重程度和影响；(Ii)威胁的类型或可能已触发的根本原因 事件；(iii)已应用和正在进行 缓解措施；(Iv)在适用的情况下， 事件的跨境影响； 如果事件可能，最终报告将是强制性的 国家关键职能(NCF)的影响力交付，至关重要 向公众提供的商品或服务。 注释: 两个文件的内容在主题级别上似乎具有可比性。国土安全部报告提供关于如何调整网络事件报告的内容并转向模型的建议 报告表格或通用数据元素，只要可行。9虽然NIS2使用不同的术语- 对于报告类型，上表显示了近似的相似之处。 NIS2指令要求欧盟成员国每三个月向ENISA提交一份摘要报告重大事件、事件、网络威胁和险些错过。为了有助于 提供可比信息，ENISA正在起草关于 要包含在摘要报告中的信息的参数(见第23(9)NIS2条)。直到文档已定稿，则模板的可用参考文档是非约束性参考 doc国家主管当局和/或CSIRT的通知指南 EssentialSers的操作员-根据NIS指令采用的恶习事件(格式和程序) 由NIS合作小组于2018年完成。在其第5章中，该文档建议使用模板由欧盟成员国-一个用于国家事件通知程序，一个用于年度摘要reporting.10 TheDHS报告的模型报告表格和NIS合作小组参考文件包括以下信息确定报告实体(例如，联系人、实体名称、 和其他标识符)；援助信息(例如，作为信息的一部分而涉及的各方分享和协调应对行动)；事故影响(例如，部门或关键基础设施， 受影响的个人数量)；网络威胁活动和发现(例如，使用的恶意软件，内部/ 外部行为者、妥协指标、发现和事件状态)；以及报告实体重新- 响应行动（例如，为减轻事故而采取或正在采取的行动）。 此外，由于其在所有欧盟成员国中的应用和影响，NIS2要求在- 与“交叉”有关的形成-边界“影响，这在国土安全部模型中没有明确要求报告表格。然而，国土安全部报告确实建议要求任何已知或潜在的第二- ary或级联影响，可以解释为具有相似的含义(即跨境影响)。 IV.REPORTINGMECHANISMS 国土安全部报告– 建议6 报告建议5：The 联邦政府应评估 如何最好地精简收据：并分享网络事件报告 和网络事件信息，包括通过改进 现有的报告机制或 单个门户的潜在创建。 NIS2指令 委员会可进一步通过执行法案指定信息类型、格式和过程根据本条第1款提交的通知 以及第30条和根据《公约》提交的来文本条第2款。第23(11)条NIS2: 根据演奏会(106)，为了简化本指令要求的信息以及减少 实体的行政负担，会员国应提供单一入口点等技术手段， 自动化系统，在线表单，用户友好的界面，模板，使用实体的专用平台， 无论它们是否属于本范围 指令，用于将相关信息提交给被报告。联盟资金支持实施 该指令，特别是在数字欧洲计划中，由欧洲法规(EU)2021/694建立 议会和理事会(21)，可以包括支持 singleentrypoints.Furthermore,entitiesareofteninasituation 一个特定的事件，因为它的特点，需要在通知后向各当局报告 包括在各种法律文书中的义务。此类情况造成额外的行政负担，也可能导致 关于格式和程序的不确定性 此类通知。在建立单个入口点的情况下，鼓励会员国也使用这一单一条目 其他要求的安全事件通知点 欧盟法律，如法规（EU）2016/679和指令 2002/58/EC.Theuseofsuchsingleentrypointforreportingof 法规(EU)2016/679和指令下的安全事件 2002/58/EC不应影响条款的适用 法规(EU)2016/679和指令2002/58/EC，在特别是那些与独立有关的 其中提到的当局。ENISA，与合作小组，应制定共同通知通过指南简化和精简模板 根据联盟法律报告的信息和减少通知实体的行政负担。 V.事件数据的聚合 事件数据的聚合和后续统计分析产生重要的见解事件的持续趋势 并提供了一个急需的不同情况意识图片，即来自 报告实体本身。同时， 拥有对聚合事件数据的公共访问权限有助于提高公众对 事件报告和改进的意义 实体的整体网络安全成熟度。了解事件报告的好处 导致公众更好地接受 这样的机制，可以激励更多的参与报告事件的实体， 不用担心潜在的声誉风险这样做。 根据NIS2第23(9)条，欧盟成员国必须每三个月向ENISA提交一次 摘要报告，包括匿名和 重大事件的汇总数据，以及 关于事件、网络威胁和险些错过，这均以自愿通知为准。ENISA有 通知NIS合作小组和 CSIRT网络关于其在通知上的发现每六个月收到一次。 事件数据的聚合被确认为 国土安全部报告中