cybersecurity act 2022

USA, ecco la legge “omnibus” sulla cyber security: uno scudo contro la guerra ibrida

Il Senato americano ha approvato lo Strengthening American Cybersecurity Act 2022, la legge “omnibus” che, alla luce della crisi russo-ucraina, ha l’obiettivo di rafforzare la capacità delle infrastrutture critiche di individuare e rispondere prontamente agli attacchi informatici. Ecco come cambia il quadro normativo

Pubblicato il 04 Mar 2022

Nadia Giusti

Data Protection & Cybersecurity Expert

cybersecurity governo meloni

Il 2 marzo il senatore del Michigan, Gary Peters, ha presentato al Senato americano un disegno di legge, lo Strengthening American Cybersecurity Act 2022, che è stato poi approvato all’unanimità dall’assemblea nella notte (qui il testo completo del disegno di legge). Per diventare legge deve ancora essere “firmato” dal Presidente Joe Biden.

Uno degli obiettivi principali della legge “omnibus” sulla cyber security in America, complice anche la situazione che si è venuta a creare in conseguenza della guerra cyber russo-ucraina e delle sue implicazioni, è quello di rafforzare la capacità delle infrastrutture americane considerate “critiche” (come reti elettriche, reti idriche e sistemi di trasporto, oleodotti, banche) di individuare e rispondere prontamente ad attacchi informatici.

USA e cyber guerra: ecco le misure di sicurezza per proteggere il sistema Paese

Un aggiornamento delle leggi USA sulla sicurezza informatica

La sicurezza delle infrastrutture critiche è stata al centro dell’attenzione americana nell’ultimo anno, come evidenziato nell’ordine esecutivo n. 14028 Improving the Nation’s Cybersecurity 2021 del Presidente Joe Biden sul miglioramento della sicurezza informatica degli Stati Uniti.

Altri obiettivi riguardano l’aggiornamento delle attuali leggi sulla sicurezza informatica per migliorare il coordinamento tra le agenzie federali, e le metodologie per adottare in modo rapido e sicuro tecnologie basate sul cloud, tecnologie capaci di migliorare l’efficienza del governo, da un lato, e permettano di risparmiare denaro ai contribuenti.

Più in dettaglio, il disegno di legge si articola in tre parti:

  • il Federal Information Security Modernisation Act 2022;
  • il Cyber Incident Reporting for Critical Infrastructure Act 2022;
  • Federal Secure Cloud Improvement and Jobs Act 2022

Col primo provvedimento si vuole modernizzare il precedente Federal Information Security Modernization Act, entrato in vigore nel 2002 e aggiornato per l’ultima volta nel 2014.

Il nuovo ruolo della CISA

Il nuovo disegno di legge porrebbe la Cybersecurity and Infrastructure Security Agency (CISA) e la nuova posizione di Cyber Director nazionale in un ruolo consultivo nei confronti dell’Office of Management and Budget (OMB) per quanto riguarda la definizione di politiche di sicurezza e le modalità di raccolta delle informazioni.

La CISA assumerebbe anche il ruolo di “entità principale per il coordinamento operativo della sicurezza informatica in tutto il governo federale” e verrebbe richiesto alle altre agenzie di includerla nei piani di sicurezza che forniscono all’OMB.

La CISA avrebbe anche il compito di condurre regolari valutazioni di rischio e informare il Cyber Director nazionale dei risultati, includendo l’analisi degli incidenti in corso, le mitigazioni, le vulnerabilità note del sistema, lo stato dei penetration test, le attività di threat intelligence e di threat hunting.

Cosa cambia per i proprietari di infrastrutture critiche

Nel complesso, quello proposto è un “modello di sicurezza informatica federale olistico” che “tenga conto delle differenze tra le diverse missioni e le capacità delle agenzie federali”.

In base al Cyber Incident Reporting for Critical Infrastructure Act, verrebbe richiesto ai proprietari di infrastrutture critiche in caso di violazioni sicurezza o di grave incidente informatico di riferire alla CISA entro 72 ore dall’evento.

Il termine “grave” (“significant” in inglese) usato nel disegno di legge per identificare questo tipo di violazioni si riferisce a una violazione o incidente che “possa comportare un danno dimostrabile agli interessi di sicurezza nazionale, alle relazioni esterne o all’economia degli Stati Uniti, alle libertà civili o alla salute e sicurezza pubblica del popolo degli Stati Uniti”.

Gli operatori delle infrastrutture critiche dovrebbero inoltre notificare alla CISA entro 24 ore eventuali pagamenti effettuati in risposta a un ricatto ransomware. Il senatore Peters ha affermato che l’obiettivo di questa parte del disegno di legge è rafforzare la sicurezza delle infrastrutture critiche, ma anche consentire alla CISA di raccogliere una maggiore quantità di dati sulle minacce informatiche alle infrastrutture critiche.

L’idea della segnalazione obbligatoria degli incidenti ha preso piede nell’ultimo anno negli Stati Uniti in vari settori, non soltanto quello delle infrastrutture cosiddette “critiche”: si pensi, ad esempio, alla Federal Deposit Insurance Corporation (FDIC), che a novembre 2021 ha approvato una norma che richiede alle banche di notificare alle autorità di regolamentazione gli incidenti di sicurezza entro 36 ore, o alla Securities and Exchange Commission (SEC) che sta discutendo l’eventualità dell’obbligo di segnalazione entro 48 ore di incidenti che coinvolgano società che si occupano di investimento fondi.

D’altra parte, la segnalazione degli incidenti informatici non solo aiuta a capire meglio come difendersi dalle minacce informatiche, ma può anche fornire informazioni fondamentali per prevenire altri attacchi dello stesso tipo.

Il Federal Secure Cloud Improvement and Jobs Act, infine, stabilisce le regole alla base del Federal Risk and Authorisation Management Program (FedRAMP), il programma di certificazione in ambito di sicurezza cloud delle agenzie federali, per garantire che tali agenzie possano adottare in modo rapido e sicuro tecnologie basate sul cloud, tenendo conto in particolare delle implicazioni e della gestione delle vulnerabilità nelle catene di fornitura del software dei fornitori di servizi cloud, aspetto questo estremamente critico e, sotto molti aspetti, ancora non risolto.

Conclusioni

Nella sua relazione, il senatore Peters ha sottolineato l’importanza strategica del nuovo disegno di legge con le seguenti parole: “Questo disegno di legge bipartisan aiuterà a proteggere le nostre reti federali, ad aggiornare i requisiti di segnalazione degli incidenti informatici per le agenzie federali e gli appaltatori per garantire che condividano rapidamente le informazioni e impedire agli hacker di infiltrarsi nelle reti delle agenzie per rubare dati sensibili e compromettere la sicurezza nazionale”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2