2022年3月1日,美国参议院通过《加强美国网络安全法》(Strengthening American Cybersecurity Act)。
法案于2月8日由参议员罗伯·波特曼和参议院国土安全和政府事务委员会主席加里·彼得斯提出,旨在加强美国的网络安全。在俄乌冲突升级背景下,美国参议院选择一致通过《加强美国网络安全法》。
该法由《网络事件报告法案》《2021年联邦信息安全现代化法案》和《 联邦安全云改进和就业法案》三项网络安全法案措施组成。
《网络事件报告法案》更新了各机构向国会报告网络事件的规定,并赋予CISA更多权力,以确保其是民用网络安全事件主要负责机构。多数党领袖查克 舒默(Chuck Schumer)强调,《网络事件报告法案》是“最重要的”措施。具体包括:
要求关键基础设施的运营商在攻击发生后七十二小时内通知国土安全部;
在勒索软件支付后二十四小时内通知国土安全部。
事实上,这一报告措施已从几个月前通过的美国年度国防政策法案中删除,但这次一致投票表明,该措施仍将被快速实施。
此外,《加强美国网络安全法》还更新了《联邦信息安全现代化法案》,将国家网络主管等高级网络官员的职责编成法典,将要求政府采取基于风险的网络安全方法,授权联邦风险和授权管理计划(FedRAMP)以确保联邦机构能够采用基于云的技术。
总体来看,《加强美国网络安全法》包含旨在使美国联邦政府的网络安全态势现代化的若干措施。试图通过简化之前的网络安全法案来改善联邦机构之间的协调,并要求所有民事机构向CISA报告网络攻击。法案的通过将有助于确保银行、电网、供水网络和交通系统等关键基础设施实体能够在网络遭到破坏时迅速恢复并向人们提供基本服务。
该法案还未签署成为法律,但现已提交美国众议院进一步审议。