回应白宫关于统一网络安全法规的请求

对白宫关于协调网络安全法规的要求 W H I T E P A P E RO C T O B E R 2 0 2 3 Contents 1关于网络弹性系统：电力倡议4 2全球法规工作组5 3白宫要求提供有关网络安全法规的信息6协调 3.1冲突的国际网络安全要求73.2优先考虑监管协调的部门83.3关于协调的国际对话93.4正在进行的国际倡议103.5监管互惠示例11 免责声明 本文档由 世界经济论坛作为对项目、洞察领域或互动的贡 献。本文表达的调查结果、解释和结论是世界经 济论坛促进和认可的合作进程的结果，但其结果 不一定是 代表世界经济论坛的观点，也不代表其所有成员、伙伴或其他利益攸关方的观点。 © 2023世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或任何方式复制或传播，包括影印和记录，或通过任何信息存储和检索系统。 执行摘要 2023年7月19日，美国白宫国家网络总监办公室（ONCD）发布了信息请求（RFI）。1关于协调全球网络安全法规并确保国家之间的监管互惠。此RFI是美国国家网络安全战略中概述的目标的扩展，2它不仅旨在同步法规和指南，还旨在同步受监管实体的评估和检查流程。它标志着作为美国国家网络安全战略实施计划的一部分，7月公布的69项举措之一取得了进展。 鉴于SCRE独特的全球优势和专业知识，以及它在这一主题上正在进行的工作，社区聚集在一起制作这份白皮书，回答国际社会的问题。 本节讨论网络安全要求冲突、优先部门和地区、国际对话、正在进行的国际倡议和监管互惠。 SCRE社区欢迎并支持ONCD的监管协调工作。它对ONCD的建议如下： 2022年9月，世界经济论坛网络弹性系统：电力倡议（SCRE）社区3已将全球监管互操作性确定为其关键重点领域之一， 并成立了全球法规工作组，以促进电力部门全球网络法规的互操作性。 –继续ONCD的持续努力，以提高全球监管互操作性，提高安全性并降低成本。–通过采用基于风险的方法，将安全性置于合规性之上。–从政策和监管过程的最初阶段开始，让私人，公共和民间社会的利益相关者参与进来。–利用国际标准化组织（ISO）和国际电工委员会（IEC）等非政府机构制定的现有国际技术标准。–参加有关网络安全的国际对话和国际倡议。 This working group tackles the challenges of complex,industry and sector agnostic, fragmented, inconsistent, andsometimes conflicting regulations. These siloed regulationslack and prevent interoperability, resulting in increasedcosts and inefficiencies as limited res解决合规性挑战，而不是直接解决部门和组织的网络安全态势。 关于网络弹性系统：电力倡议1 自2018年以来，世界经济论坛的网络弹性系统：电力倡议（SCRE）汇集了来自60家电力公司、能源服务公司、监管机构和其他相关组织合作，为电力生态系统制定清晰、一致的全球网络安全愿景。 SCRE是唯一一个全球性的，电力行业特定的，多利益相关方的公私合作伙伴关系，网络安全领导者可以在此合作并提高电力行业的整个生态系统的网络弹性。 该计划为全球电力公司提供了一个论坛 首要的行业合作伙伴带头推动提高成熟度和能力，以应对所有国家面临的网络威胁。 TomWilson，美国南方公司高级副总裁兼首席信息安全官 全球法规工作组 3.信息共享：全球承诺在全球范围内创建和使用通用的信息共享协议和分类法，并支持各自的电力信息共享和分析中心（ISAC）。4.突发事件响应和报告：全球承诺采用共同和有效的国际事件报告分类和要求。5.网络安全卫生内部政策和程序：全球承诺建立电力部门特有的基本网络卫生原则。6.渗透测试：全球承诺定期进行内部渗透测试，包括运营技术（OT）渗透测试。7.漏洞披露和管理:全球承诺在特定部门、预授权实体的封闭群体中披露漏洞。8.风险评估和管理：全球致力于在信息技术和运营技术环境中始终如一地应用风险评估方法。9.第三方风险管理：全球承诺，供应链中的每个组织都必须考虑并对其工作范围的网络安全负责。10.采用现有国际标准与创建独特的国家（或地区）标准：全球承诺采用成熟的现有国际标准，如ISO 27001和IEC 62443。 监管互操作性是SCRE及其全球监管工作组的重点关注领域之一。 The working group addresses the complexities ofregulatory challenges that span across the electricitysector, characterized by fragmentation, inconsistency andoccasional conflicts. These regulatory hurdles theachievement of 全球互操作性，导致成本上升、效率低下和错失机会，因为资源被重新定向到解决监管问题，而不是而不是增强特定部门和组织的网络安全态势。工作组的主要见解是： 1.网络威胁格局的演变导致全球网络安全法规的增加。 2.全球法规是分散的，在某些情况下是相互冲突的，这增加了成本和效率低下，并通过转移有限资源的机会成本影响了网络安全。 3.组织不得不采取艰难的、基于风险的方法，从管理监管复杂性到退出某些市场。 4.法规需要通过采用基于风险的方法将安全性置于合规性之上。 工作组就确定的关键全球监管主题采取了以下立场： 工作组将进一步阐述这些立场，并计划于2023年11月15日发表“促进电力部门网络监管的全球互操作性”论文。 1.合规与执法：全球承诺将安全置于合规之上。 2.数据保护和隐私：支持数据保护和隐私法规的全球承诺，例如欧盟（EU）的通用数据保护条例（GDPR）。 白宫要求提供有关网络安全监管协调的信息3 2023年7月19日，白宫国家网络总监办公室（ONCD）宣布要求提供有关网络安全监管协调和监管互惠的信息（RFI）。RFI建立在白宫国家网络安全战略中的承诺之上，即“不仅要协调法规和规则，还要协调受监管实体的评估和审计”。RFI推进了69项举措之一 美国国家网络安全战略实施计划于7月公布。 鉴于SCRE在这一领域的独特全球视角和熟练程度，社区在本白皮书中分享了其集体知识。目的是对查询提供准确的答复在以下RFI的国际部分（第9节）中： 9.国际-美国境内许多受监管的实体在国际上运作。在总统国家安全电信咨询委员会（NSTAC）的最新报告中，NSTAC指出，外国政府一直在实施具有“重叠，冗余或不一致要求”的监管制度... 情况介绍：国家网络总监办公室要求公众就统一网络安全法规发表评论-要求提供有关网络监管统一的信息 A.确定特定的实例美国联邦网络安全要求与外国政府网络安全要求相冲突。B.在考虑在国际上协调网络安全要求时，是否有特定的国家或部门应优先考虑？C.哪些国际对话参与了协调或调整网络安全要求的工作？哪一个是追求这种一致性最有希望的场所？ D.请确定从事与监管目的相关的国际网络安全标准化活动的国际标准组织、贸易团体或非政府组织正在采取的任何举措。描述这些活动的性质。请确定外国监管互惠的任何例子。 E.请指出外国之间或外国与美国之间监管互惠的任何例子。 3.1A.相互冲突的国际网络安全要求 确定美国联邦网络安全要求与外国政府网络安全要求发生冲突的特定情况。 由于缺乏全球共识，全球为行业制定网络安全要求的政府机构（包括美国）经常采用不同的方法来解决相同或相似的网络安全挑战。这导致了复杂的、行业和部门不可知的、分散的、不一致的、有时甚至是冲突的法规，这些法规缺乏并阻碍了相互互操作性。 当前对网络安全监管的孤立方法并未导致更安全的全球数字经济。从博弈论中的囚徒困境问题中众所周知，利益相关者在网络安全法规方面的合作将提高全球数字经济的安全性。然而，固有的挑战一直是:谁先行动？解决这一合作问题并取得进展势在必行。 在美国，欧盟和新加坡等国家的网络安全标签计划中可以找到不同的网络安全法规的例子。随着市场上发布的越来越多的产品需要互联网连接，消费者面临的网络风险也大大增加。为了解决这一问题，一些国家的政府宣布了制定自己的网络安全标签计划的计划。例如，新加坡的网络安全局首先推出了网络安全标签计划（CLS）。42020年，设定智能设备购买者可以用来做出明智选择的安全等级。2022年9月，欧盟提出了《网络弹性法案》5为与欧盟成员国的设备或网络连接的数字元素的产品建立共同的安全标准。最后，在2023年6月，拜登政府宣布了新的美国网络信任标志6由联邦通信委员会领导的计划与新加坡和欧洲模式的元素。 网络安全威胁格局的演变和监管机构对收紧监管的反身反应加剧了这一问题。组织被迫转移有限的资源来应对监管合规挑战，而不是专注于他们的网络安全态势。除了在网络要求上缺乏共识外，在这些法规的范围内存在谁或什么方面缺乏共识（例如g.不同的关键基础设施部门名称，将各种系统纳入范围的不同法规等。). 今天的数字经济超越了国界，需要强大和统一的国际网络安全标准，以确保跨国公司最有能力应对恶意行为者的新威胁。 因此，世界各地的企业都在寻求国际标准化组织（ISO）和国际电工委员会（IEC）等非政府机构制定的标准，以指导广泛的网络安全问题，并作为全球最佳实践的基准。当不同的监管机构使用广泛认可的国际技术标准（如ISO /IEC 27000系列信息安全控制和IEC 62443系列工业控制系统控制）来通知其政策时，它不仅为公司设定了高标准的安全标准，而且降低了成本，并确保了与其他监管制度的互操作性。 这三项网络标签计划的共同目标是向消费者保证他们购买的产品配备了 有足够的保障措施来保护它们免受网络危害，但它们有不同的范围和具体要求。认识到威胁环境中的部门和司法管辖区的细微差别，开发这些国家网络安全标签的最明智的方法是将它们建立在基于国际共识的技术标准，以确保最大程度的互操作性。 相反，当不同的监管机构和政策制定者使用他们自己的地方标准和法律作为建立网络安全要求的参考时，它有助于不断增长的 SCRE社区欢迎并支持ONCD的监管协调工作，并建议他们继续努力实现全球监管协调，以提高互操作性、增强安全性和降低成本。 全球数字政策格局的碎片化，反过来又过度提高了多辖区公司的合规成本，并从健全的网络风险管理活动中转移了资源。 3.2B.监管协调应优先考虑的部门 在考虑在国际上协调网络安全要求时，是否有特定的国家或部门应优先考虑？ 随着可再生能源的发展，必须重新考虑这些假设。同样，不同的网络安全报告要求适用于美国天然气基础设施和美国电力基础设施 部门：电力 网络安全在电力部门变得越来越重要。几个趋同的趋势导致风险环境升级:数字化、网络化的设备现在渗透到能源基础设施中；对基础设施的攻击已经升级；能源转型正在使该行业脱离法规认为理所当然的历史商业模式；互联网由联网的消费者和工业设备组成的物联网(IoT)架起了物理和数字领域的桥梁；人工智能(AI)为防御者和攻击者提供了新的强大功能。 —然而，这些系统有着内在的联系，天然气为电力部门提供了最大的单一能源。 电力部门已经在进行进一步的变革。人工智能提供了新的功能，这些功能将吸引攻击者，对防御者至关重要。人工智能实现了网络安全监控，可以以类似机器的速度检测和应对攻击，但目前还不清楚监管制度将如何在基础设施中拥抱或限制人工智能。生成人工智能可能会被滥用 攻击者试图制造更有效的攻击—可能会产生更可信的网络钓鱼攻击，绕过恶意软件签名检测或降低将恶意意图转化为行动所需的技能。 电力基础设施是至关重要的基础设施，没有可靠的发电、输电和配电，经济的其他部