关键基础设施保护和弹性北美会议

关键基础设施保护和弹性北美会议
德克萨斯州休斯顿
2025年3月11日至13日

北美关键基础设施保护和弹性会议将再次汇聚来自行业、运营商、机构和政府的主要利益相关者，共同致力于保护北美地区的安全。

会议将着眼于以往活动的主题，帮助更好地理解问题和威胁，帮助促进制定框架、良好的风险管理、战略规划和实施的工作。

有 16 个关键基础设施部门的资产、系统和网络，无论是物理的还是虚拟的，都被认为对美国至关重要，以至于它们的瘫痪或破坏将对安全、国家经济安全、国家公共卫生或安全产生破坏性影响。

拜登政府推出了一份新的关键基础设施备忘录，名为《关键基础设施安全和复原力国家安全备忘录》(NSM-22)，旨在阐明联邦政府在保护美国关键基础设施方面的作用，包括特定联邦机构的责任。基础设施。

NSM-22 旨在取代 PPD-21，PPD-21 的正式名称为总统政策指令 – 关键基础设施安全和弹性 (pdf)。 PPD-21 是奥巴马政府期间发布的一份备忘录，指定 16 个关键基础设施部门将受到《2022 年关键基础设施网络事件报告法案》(CIRCIA) 的额外监督。

根据 CIRCIA 的规定，在关键基础设施领域运营的实体有义务在合理认为发生网络事件后 72 小时内报告“涵盖的网络事件”。此外，关键基础设施实体必须在付款后 24 小时内报告赎金支付情况。 CIRCIA 将规则制定权授予网络安全和基础设施安全局 (CISA)。我们在最近的一篇文章中介绍了 CISA 提议的包含网络事件报告要求的规则。

我们必须做好准备！

国家的关键基础设施提供支撑美国社会的基本服务。必须采取积极主动和协调一致的努力来加强和维护安全、正常运行和具有弹性的关键基础设施（包括资产、网络和系统），这些基础设施对于公众信心以及国家的安全、繁荣和福祉至关重要。

关键基础设施必须安全，能够承受所有危险并快速恢复。实现这一目标需要与涵盖预防、保护、缓解、响应和恢复的国家备灾系统相结合。

NSM-22 指示联邦机构“为关键基础设施的安全性和弹性制定最低要求和有效的问责机制，包括通过一致且有效的监管框架。” NSM-22 继续指示联邦机构和部门“利用监管，酌情利用现有的自愿共识标准”来建立适用于关键基础设施实体的最低要求和问责机制。此外，NSM-22 指出“问责机制应不断发展，以跟上国家的风险环境”。

NSM-22 通过在联邦采购流程中采用新要求，强调了潜在的“问责机制”。例如，NSM-22 鼓励联邦机构和部门利用“赠款、贷款和采购流程，要求或鼓励所有者和运营商满足或超过最低安全和弹性要求”。此外，NSM-22 特别指示总务管理局确保关键基础设施资产和系统的政府范围合同包含“对关键基础设施的安全性和弹性的适当审计权”。

NSM-22 还指示美国情报机构和关键基础设施实体加强合作和参与。例如，NSM-22 建议为关键基础设施实体的所有者和运营商提供机会来确定支持特定安全和弹性工作的部门情报需求和优先事项。

NSM-22 中最显着的修改之一是将 CISA 提升为联邦政府和私营部门关键基础设施网络安全工作的国家协调员。例如，NSM-22 指示 CISA 将某些关键基础设施实体专门识别和分类为系统重要实体 (SIE)。