在拜登總統(tǒng)于3月15日簽署的《2022年綜合撥款法案》中，《2022年關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法》得以通過，并提出了新的數(shù)據(jù)泄露報告要求。這項新規(guī)定進一步推動了聯(lián)邦政府改善國家網(wǎng)絡(luò)安全的努力，至少部分是由Colonial Pipeline網(wǎng)絡(luò)攻擊和SolarWinds攻擊引發(fā)的，該攻擊使東海岸的天然氣流通中斷數(shù)日。美國國會和總統(tǒng)在制定這項法律時，很可能也考慮到了俄羅斯因在烏克蘭的戰(zhàn)爭而不斷增加的網(wǎng)絡(luò)攻擊的威脅。

　　簡而言之，該法要求關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的某些實體向美國國土安全部（DHS）報告：

　　法案所規(guī)定的網(wǎng)絡(luò)事件，在不遲于法案所管轄的實體有理由相信事件發(fā)生后的72小時，以及

　　因勒索軟件攻擊而在支付贖金后24小時內(nèi)支付的任何贖金（即使勒索軟件攻擊不屬于前一點中要報告的網(wǎng)絡(luò)事件）

　　如果有大量新的或不同的信息，以及在法案所管轄的實體通知DHS事件已經(jīng)結(jié)束并已完全緩解和解決網(wǎng)絡(luò)事件之前，也需要補充報告。此外，法案所管轄的實體必須根據(jù)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長（CISA）發(fā)布的規(guī)則，留存與法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付有關(guān)的信息。

　　這些要求的生效日期，以及報告的時間、方式和形式，以及其他項目，將在CISA局長發(fā)布的規(guī)則中規(guī)定。局長有24個月的時間來發(fā)布擬議的規(guī)則制定通知，之后有18個月的時間來發(fā)布最終規(guī)則。

　　具體來說，：

　　法案所管轄的實體：該法涵蓋了關(guān)鍵基礎(chǔ)設(shè)施部門（即總統(tǒng)政策指令21，Presidential Policy Directive 21所定義的）中的符合CISA局長所確定的定義的實體。這些部門的包括關(guān)鍵制造業(yè)、能源、金融服務(wù)、食品和農(nóng)業(yè)、醫(yī)療保健、信息技術(shù)和運輸。在進一步定義覆蓋實體時，CISA局長將考慮一些因素，如損害一個實體可能導(dǎo)致的國家和經(jīng)濟安全的后果，該實體是否是惡意網(wǎng)絡(luò)行為者的目標(biāo)，以及進入這樣一個實體是否能夠破壞關(guān)鍵基礎(chǔ)設(shè)施。

　　法案所規(guī)定的網(wǎng)絡(luò)事件：根據(jù)該法案，將要求對 “法案所規(guī)定的網(wǎng)絡(luò)事件”進行報告。部分借用《2002年國土安全法》第二十二章第2209（a）（4）條，該法規(guī)定的網(wǎng)絡(luò)事件一般是指在沒有合法授權(quán)的情況下，危害信息系統(tǒng)或信息系統(tǒng)信息的完整性、保密性或可用性的事件。根據(jù)該法，網(wǎng)絡(luò)事件必須是一個由CISA局長進一步定義的法案所管轄的實體所經(jīng)歷的“重大網(wǎng)絡(luò)事件”，才能被涵蓋。

　　信息系統(tǒng)：信息系統(tǒng)是指 “為收集、處理、維護、使用、共享、傳播或處置信息而組織的一套離散的信息資源”，其中包括工業(yè)控制系統(tǒng)，如監(jiān)督控制和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)和可編程邏輯控制器。

　　贖金支付：贖金支付是指在任何時候作為贖金交付的與勒索軟件攻擊有關(guān)的任何金錢或其他財產(chǎn)或資產(chǎn)，包括虛擬貨幣，或其任何部分的傳輸。

　　法案所規(guī)定的網(wǎng)絡(luò)事件的報告需要包括：

　　對法案所規(guī)定的網(wǎng)絡(luò)事件的描述，包括：

　　受影響的信息系統(tǒng)、網(wǎng)絡(luò)或設(shè)備的識別和功能描述，這些系統(tǒng)、網(wǎng)絡(luò)或設(shè)備已經(jīng)或有理由相信已經(jīng)受到影響。

　　描述未經(jīng)授權(quán)的訪問，導(dǎo)致受影響的信息系統(tǒng)或網(wǎng)絡(luò)的機密性、完整性或可用性的嚴重損失，或業(yè)務(wù)或工業(yè)運作的中斷。

　　此類事件的估計日期范圍；以及

　　對法案所管轄的實體的影響。

　　描述被利用的漏洞和已實施的安全防御措施，以及用于實施法案所規(guī)定的網(wǎng)絡(luò)事件的戰(zhàn)術(shù)、技術(shù)和程序（如適用）。

　　有理由相信應(yīng)對該網(wǎng)絡(luò)事件負責(zé)的每個行為者的身份或聯(lián)系信息（如適用）。

　　如果適用的話，被認為或有理由認為被未經(jīng)授權(quán)的人訪問或獲取的信息類別。

　　明確識別受影響的法案所管轄的實體的名稱和其他信息，包括（如適用）該實體的注冊或組建國家、商號、法定名稱或其他標(biāo)識符。

　　法案所管轄的實體的聯(lián)系信息，或在適用的情況下，覆蓋實體的授權(quán)服務(wù)供應(yīng)商。

　　贖金支付報告也需要類似信息，包括 （i） 贖金支付要求，包括所要求的虛擬貨幣或其他商品的類型（如適用），（ii） 贖金支付指示，包括有關(guān)支付地點的信息（如適用），以及（iii） 贖金支付的金額。法案所管轄的實體可以使用第三方，如事件響應(yīng)公司、保險商或服務(wù)提供商來提交這些報告，但這并不免除法案所管轄的實體的報告義務(wù)。

　　國土安全部的國家網(wǎng)絡(luò)安全和通信集成中心（National Cybersecurity and Communications Integration Center，NCCIC）負責(zé)開展各種活動，根據(jù)該法接收和分析報告。這些活動包括：

　　評估網(wǎng)絡(luò)事件對公眾健康和安全的潛在影響。

　　與適當(dāng)?shù)穆?lián)邦部門和機構(gòu)協(xié)調(diào)和分享信息，以確定和跟蹤贖金支付，包括那些使用虛擬貨幣的贖金。

　　在自愿的基礎(chǔ)上，促進相關(guān)關(guān)鍵基礎(chǔ)設(shè)施所有者和經(jīng)營者之間及時分享與法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付有關(guān)的信息，特別是與正在發(fā)生的網(wǎng)絡(luò)威脅或安全漏洞有關(guān)的信息；

　　以及如果涉及的網(wǎng)絡(luò)事件也符合重大網(wǎng)絡(luò)事件的定義，例如，對有關(guān)事件的細節(jié)進行審查，并傳播預(yù)防或減輕未來類似事件的方法。重大網(wǎng)絡(luò)事件是指國土安全部部長認為可能會對美國的國家安全利益、外交關(guān)系或經(jīng)濟，或?qū)γ绹嗣竦墓娦判?、公民自由或公共健康和安全造成明顯損害的網(wǎng)絡(luò)事件或一組相關(guān)的網(wǎng)絡(luò)事件。

　　該法還對法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付報告中的信息提供了若干保護。例如，根據(jù)該法，此類報告中包含的信息將根據(jù)其他聯(lián)邦法律為保護個人信息而制定的程序進行保留、使用和傳播，并以保護個人信息免遭未經(jīng)授權(quán)的使用或未經(jīng)授權(quán)的披露。此外，一般來說，聯(lián)邦、州、地方或部落政府實體都不得使用該法規(guī)定的此類報告中的信息來監(jiān)管，包括通過執(zhí)法行動來監(jiān)管支付贖金的承保實體或?qū)嶓w的活動。這種執(zhí)法的排除并不適用于政府實體明確允許實體向該機構(gòu)提交的報告，以履行監(jiān)管報告義務(wù)。該法還禁止因提交此類報告而提出或維持訴訟理由。此外，法案所規(guī)定的網(wǎng)絡(luò)事件和贖金支付的報告將：

　　被視為法案所管轄的實體的商業(yè)、財務(wù)和專有信息，如果法案所管轄的實體這樣指定。

　　根據(jù)聯(lián)邦《信息自由法》以及類似的州、部落或地方法律，免于披露。

　　不構(gòu)成對法律規(guī)定的任何適用特權(quán)或保護的放棄，包括商業(yè)秘密保護；以及

　　不受任何聯(lián)邦機構(gòu)或部門的規(guī)則或任何關(guān)于與決策官員單方面溝通的司法理論的約束。