DHS对联邦政府报告和NIS 2指令中事件报告规则的网络安全事件报告统一性评估对比分析

美国国土安全部和 欧盟委员会通信网络总局，内容与技术 免责声明-当前报告提供了关于DHS报告建议和欧盟关于事件报告的法律框架的事实概述。根据欧盟指令（EU）2022/2555。本文件无意也不创建任何实体或程序权利或利益，可直接执行。任何一方针对美国、其部门、机构或实体、官员、雇员或代理，或其他个人提起的法律诉讼或索赔均属无效。本报告并未推荐任何依据欧盟法规约束性条款的行动，亦未意图对此类约束进行解释。当报告与欧盟法律中的任何约束性条款之间似乎存在冲突或重叠时，则应遵循约束性条款。适用联盟法律。报告既不提供法律建议，也不代表欧洲委员会的官方立场。它并非官方解释，欧盟法律，这是欧盟法院的特权。 I2023年1月，欧盟指令（EU）2022 / 2555年关于高水平的措施整个联盟的网络安全（NIS 2指令）生效，欧盟成员国21月将其转化为国家法律。NIS 2基于其前身的要求，第(EU) 2016 / 1148号指令，关于高公共网络安全水平和整个联盟的信息系统(NIS指令)，自2016年起生效，但它提高了欧盟对网络安全的共同抱负，通过更广泛的范围、更清晰的规则和更强大的监督工具。NIS 2协调、加强、简化安全和事件报告对更多实体的要求，这对欧洲经济至关重要社会。新指令引入了更精确的1关于事件报告过程的规定，报告和时间表的内容。NIS 2寻求在需要之间取得适当的平衡迅速报告，以避免潜在的传播事件，以及深入报告的必要性从个人身上吸取宝贵的经验教训事件。NIS 2指令将废除NIS指令自10月18日起生效2024. 国土安全部（DHS）解决由以下原因引起的潜在重复当前和未来的联邦网络事件报告制度在美国。在一个22023年9月报告“协调of向联邦政府报告网络事件政府”，国土安全部，由专业知识提供信息3和30多个联邦机构的工作中国保监会概述了一系列可操作的关于美国政府如何的建议可以简化和协调网络事件，以更好地保护国家critical infrastructure. These recommendations通过与美国的广泛协商得到了通知行业着眼于确保相关政府机构可以访问有关事件的足够信息以支持合法的政府目的，而尽量减少报告的行政负担实体，以便他们可以将精力集中在减轻事件的影响。4 通知正在执行的CIRCIA和NIS 2指令各自的当局和支持实体在多个司法管辖区积极努力应对网络事件、国土安全部和DGCONNECT正在发布本联合报告这确定了主要的相似之处和国土安全部报告中的分歧建议和NIS 2指令。 关键的网络事件报告2022年基础设施法案(CIRCIA)确立了网络事件报告委员会（CIRC），由 F或者这个比较练习的目的，DHS和DG CONNECT确定了六个主要之间进行比较分析的领域国土安全部报告和NIS 2指令：(一)定义和报告阈值，(Ii)时间表、触发器和网络事件报告的类型，(Iii)内容网络事件报告，(四)报告机制，(v)事件数据的汇总，以及(vi)公共 网络事件信息的披露。每个比较分析的六个领域包括框架的示意图比较坚持实际文本，其次是一般文本关于异同的结论。 请注意，其他技术比较关于区域(i)和(ii)的信息可在本文件的附件中找到第10页的报告。 I.定义和报告主题 注释: 国土安全部报告为建议的时间表和触发器提出了例外对于那些需要更早报告时间表的事件，例如中断或国家关键职能交付的退化(即，在不到72小时)和可能包括的事件a较长的时间线，如损失没有进一步的个人信息对业务运营的影响(即，长于72小时）。尽管在72小时的时间线中存在一般重叠，DHS报告和NIS 2在用于描述何时应进行初步报告。NIS 2使用“意识到”重大事件而国土安全部报告使用“合理的信念”事件发生了。a可报告的网络 注释: 两个文件的内容在主题级别上似乎具有可比性。国土安全部报告提供关于如何调整网络事件报告的内容并转向模型的建议报告表格或通用数据元素，只要可行。9虽然NIS 2使用不同的术语-对于报告类型，上表显示了近似的相似之处。 NIS 2指令要求欧盟成员国每三个月向ENISA提交一份摘要报告重大事件、事件、网络威胁和险些错过。为了有助于提供可比信息，ENISA正在起草关于要包含在摘要报告中的信息的参数(见第23 (9) NIS 2条)。直到文档已定稿，则模板的可用参考文档是非约束性参考doc国家主管当局和/或CSIRT的通知指南Essential Sers的操作员-根据NIS指令采用的恶习事件(格式和程序)由NIS合作小组于2018年完成。在其第5章中，该文档建议使用模板由欧盟成员国-一个用于国家事件通知程序，一个用于年度摘要reporting.10 The DHS报告的模型报告表格和NIS合作小组参考文件包括以下信息确定报告实体(例如，联系人、实体名称、和其他标识符)；援助信息(例如，作为信息的一部分而涉及的各方分享和协调应对行动)；事故影响(例如，部门或关键基础设施，受影响的个人数量)；网络威胁活动和发现(例如，使用的恶意软件，内部/外部行为者、妥协指标、发现和事件状态)；以及报告实体重新-响应行动（例如，为减轻事故而采取或正在采取的行动）。 此外，由于其在所有欧盟成员国中的应用和影响，NIS 2要求在-与“交叉”有关的形成-边界“影响，这在国土安全部模型中没有明确要求报告表格。然而，国土安全部报告确实建议要求任何已知或潜在的第二-ary或级联影响，可以解释为具有相似的含义(即跨境影响)。 V.事件数据的聚合 根据NIS 2第23 (9)条，欧盟成员国必须每三个月向ENISA提交一次摘要报告，包括匿名和重大事件的汇总数据，以及关于事件、网络威胁和险些错过，这均以自愿通知为准。ENISA有通知NIS合作小组和CSIRT网络关于其在通知上的发现每六个月收到一次。 事件数据的聚合和后续统计分析产生重要的见解事件的持续趋势并提供了一个急需的不同情况意识图片，即来自报告实体本身。同时，拥有对聚合事件数据的公共访问权限有助于提高公众对事件报告和改进的意义实体的整体网络安全成熟度。了解事件报告的好处导致公众更好地接受这样的机制，可以激励更多的参与报告事件的实体，不用担心潜在的声誉风险这样做。 事件数据的聚合被确认为国土安全部报告中作为叙事领域的挑战对于寻求结构的机构来说不太有用数据并进行趋势分析。 尝试提交报告时可能会遇到。区域(v)概述了(推荐或实际)包括聚合和下的报告中的匿名事件数据NIS 2指令，而国土安全部报告承认这种包容可能是有益的，但是包含类似的聚合数据不是包括在发布的建议中。最后，区域(vi)详细介绍了each文档的公开披露的规定某些网络事件。 In比较NIS 2指令和国土安全部报告，几个关键领域指定了发散或共性。在领域（i）中，指令和报告使用不同的语言来定义可报告的网络事件或以其他方式描述什么是可报告的阈值。类似地，区域(Ii)注意到不同的时间表和触发因素通知。尽管如此，区域(iii)指出这两个方面的事件报告的内容文档在某个主题上似乎具有可比性水平。同样，区域(iv)注意到文件寻求减少不必要的并发症或技术困难实体 ENDNOTES 1NIS 2是一项具有约束力的法律行为，必须在2024年10月17日之前在所有27个欧盟成员国的法律中进行转换。欧盟范围内网络安全的横向基准。此外，在欧盟层面，还存在行业立法，这同样要求实体机构遵循相关规定。报告网络安全事件，例如欧盟2022/2554号法规对金融领域的数字运营韧性（DORA）规定。Regulation). 234一般请参见6 U.S.C. § 681f.2023年9月报告.请注意，国土安全部报告没有法律约束力。这是一份包含建议的报告，如果通过通过联邦机构，可以帮助简化和协调联邦网络事件报告要求，同时Increating alignment in the approach of U. S. Departments and Agencies. The recommendations included in the report作为统一的模式，但不可强制执行，每个美国部门和机构都需要在这样做之前评估采纳建议的可行性。5《DHS报告并未反映关于正在进行或未来DHS规则内容的任何最终决定。DHS将考虑在最终确定待决事项之前，遵守行政程序法的要求并发表公开意见或其他符合该法案的合规措施。与网络相关的规则。67由网络事件报告委员会通报就国土安全部报告而言，该术语"覆盖实体"指的是受特定监管要求约束的实体报告网络事件至一个或多个联邦机构。受保护实体的身份会根据监管制度的不同而变化。基于相关机构和监管机构确定的制度。8提议的时间表包括某些例外情况。对于可能干扰或降低国家交付的事件，我们已经考虑了特殊情况。关键功能或报告实体的向公众提供重要商品或服务的能力，或影响公共卫生或 安全，机构可以要求涵盖的实体向所需的机构提交初步报告少于72小时。对于涉及个人信息丢失而对业务运营没有进一步影响的事件，机构可能包括时间线超过72小时. 9关于使用模型报告表格或通用数据元素，请参阅DHS报告建议4。更精确有关报告建议内容的信息，请参见报告附录C，“广泛使用的内容”跨当前报告要求”和附录E，模型报告表和参考表。参见附录F：网络事件报告类型的潜在通用术语。 10有关报告推荐内容的更精确信息，请参阅https: / / ec. europa. eu / newsroom / dae /document. cfm? doc _ id = 53677 " 附件 关于国土安全部报告建议和NIS 2中元素映射的更多细节指令事件报告框架 本附件提供了进一步的技术细节、分析和比较领域(一)定义和报告阈值，以及(Ii)网络事件报告的时间表、触发因素和类型。