2024年7月8日,118届美国联邦国会参议院国土安全和政府事务委员会对《美国联邦网络安全监管简化法案》(法案S.4630)进行了二读审议,计划成立一个跨机构委员会统筹网络安全管理,重点解决关键基础设施相关部门实施的碎片化网络安全法规状况。如果该法案被签署成为法律,该委员会将负责简化呈一盘散沙状态的美国网络安全法规体系。
一、法案背景
随着信息技术的迅猛发展,网络安全已成为国家安全、经济稳定和公共安全的关键问题。美国当前的网络安全监管体系由多个机构负责,包括国土安全部、国防部、联邦调查局、证监会等,这些机构在职责、监管和操作上存在重叠和矛盾,导致监管效率低下和资源浪费。美国国家网络总监办公室(ONCD)希望创建一个全面的政策框架来协调监管,增强各个行业的网络安全准备和韧性;简化监管机构的监督职责,减少受监管实体的行政负担;通过协调监管,降低合规相关的成本,最终使企业和消费者受益。
2023年8月,美国国家网络总监办公室(ONCD)在2023年8月发起了一项信息征求(RFI),以收集公众对协调美国各部门和行业之间的网络安全监管的意见。ONCD收到了来自11个关键基础设施行业、贸易协会、非营利组织和研究机构的86份反馈意见,涵盖超过15,000个企业、州和其他组织。
在上述反馈意见的基础上,2024年6月,ONCD发布了《2023年网络安全监管协调信息请求总结》。其指出美国网络安全监管存在的问题是:
1.缺乏协调和互认损害了网络安全结果,并通过增加行政负担而增加了合规成本。许多反馈意见指出,合规支出从网络安全计划中挤占了大量资源。
2.网络安全监管协调和互认的挑战扩展到了各个行业和企业规模,并跨越司法管辖区边界。反馈意见希望解决不同州监管制度之间的不一致或重复的问题。3.美国政府应当具备解决这些挑战的能力。反馈意见提供了许多建议,说明行政当局和国会如何采取行动增加协调和互认。反馈意见一致认为,缺乏网络安全监管协调和互认对网络安全结果和企业竞争力构成了挑战。例如,美国商业圆桌会议(Business Roundtable)指出:“重复、冲突或不必要的网络安全监管要求公司将更多资源用于满足技术合规要求,而不是改善网络安全结果。”这种观点在各个行业和不同规模的企业中得到了广泛认同。《2023年网络安全监管协调信息请求总结》的建议提出:1.政府应继续关注对NIST网络安全框架(CSF)等风险管理方法的对齐。2.应减少监管要求的重叠,并与关键盟友和地区组织合作,推动跨州互认。3.应将供应链安全提升到与网络安全同等的重要性,确保信息和通信技术供应商符合与关键基础设施运营商相同的标准。4.联邦领导层应发挥作用,指导州、地方、部落和领土政府简化相关法规。此外,部分反馈意见建议政府与国会合作,制定国家级网络安全高标准立法,并考虑将独立监管机构纳入未来的监管协调规划中。2024 年 6 月 5 日,参议院国土安全和政府事务委员会主席Peters主持了一场关于“简化联邦网络安全监管流程:协调之路”的 HSGAC 听证会。Peters在开场发言中指出:网络安全是美国面临的最大挑战之一,网络攻击威胁日益增加。美国监管机构已开始制定新的网络安全和数字安全标准,但缺乏协调,导致标准繁杂、重叠甚至相互矛盾。企业和员工在理解和遵守这些标准上花费了大量资源,削弱了网络安全防御能力。主席 Peters 呼吁通过立法建立网络安全协调委员会,以实现不同机构之间的协调,提高效率并确保有效应对网络安全威胁。美国国家网络局局长助理NICHOLAS LEISERSON于2024年6月5日在美国参议院国土安全和政府事务委员会的听证会上作证,题为“简化联邦网络安全监管流程:走向协调”,指出:各个监管机构拥有各自的权限和监管标准,导致监管重复、冲突,给企业带来沉重负担,并分散了改善网络安全的资源。企业需要花费大量资源满足不同监管机构的合规要求,这些要求往往相互矛盾或重复。分散的资源导致网络安全改进缓慢,无法有效应对日益复杂的网络威胁。繁重的合规负担削弱了美国企业在国际市场上的竞争力。美国政府问责办公室 (GAO)主任DAVID HINCHMAN于 2024 年 6 月 5 日向美国参议院国土安全与政府事务委员会提交的证词,题为“网络安全:为协调法规所做的努力,但仍有大量工作要做”,指出: 由于关键基础设施部门受多重网络安全法规约束,因此协调法规对于确保更一致的标准和更有效的网络安全至关重要。缺乏协调会导致指导方针冲突、不一致和冗余,从而增加成本并降低安全性。未来需要:评估并确定基础设施部门的最小网络安全要求;增加机构对框架和国际标准的使用,以指导监管协调;开展网络安全法规互认试点项目;实施国土安全部报告提出的建议,以简化网络事件报告。为此,S.4630法案提议建立一个跨机构委员会,以实现网络安全监管的协调和统一。二、法案的内容
根据该法案,ONCD负责组建一个协调委员会,该委员会将制定一个基线监管框架,监管机构将使用该框架来协调信息安全和网络安全监管制度。
1.建立协调委员会:美国国家网络总监将建立一个名为“协调委员会”的跨部门委员会,以加强美国境内适用的网络安全要求的协调。2.委员会成员:委员会成员包括国家网络总监、每个监管机构的负责人、白宫管理和预算办公室信息与监管事务办公室主任以及其他适当的机构首脑。构建一个监管框架,以实现每个监管机构的网络安全要求的协调。框架应包含建立信息安全和网络安全最低要求的相互认可合规机制的过程。提出更新法规、指南和检查的建议,以消除法律矛盾,完善监管体系。与相关监管机构协商,指导各机构在网络安全监管中的具体操作和执行,以确保新出台的网络安全要求与监管框架一致。向国会报告委员会的成员参与情况和监管框架的实施情况。4.试点计划:至少三个监管机构将实施试点计划,以实施监管框架并评估其有效性。5.与其他机构的协调:委员会将与适当的关键基础设施风险管理机构协商,以开发监管框架并实施试点计划。6.信息报告: 网络安全与基础设施安全局局长将定期向国会报告关于关键基础设施事件报告法案要求的机构间协议的制定和实施情况。国土安全部部长将定期向国会报告关于网络事件报告委员会的努力情况。总而言之,这份法案草案旨在建立一个跨部门委员会,以协调美国在网络安全方面的监管制度,并通过试点计划来评估其有效性**。主要目标是:简化美国境内的网络安全监管制度;减少监管负担,并提高监管效率;促进网络安全要求的协调,以更好地应对网络威胁;提高网络安全标准的透明度和一致性。三、未来走向
鉴于网络安全的两党性质,该法案可能成为纳入 2025 年国防授权法案 (NDAA) 的一揽子提案中,这种立法方式有助于推动该法案尽快获得颁布。
根据该法案,一旦协调委员会起草制定监管框架并在《联邦公报》上公布,该委员会将通过选择至少三个监管机构和至少三个包含信息安全或网络安全要求的法规来创建一个实施试点计划。为试点计划选择的法规必须具有“基本相似”或“基本相关”的网络安全要求,以便受监管实体同时遵守至少两项法规。每个机构和受监管实体必须自愿同意参与试点。该法案还要求监管机构负责人在发布新的或更新的信息安全或网络安全法规之前与协调委员会“协商”。其目的是“确保法规在最大程度上与监管框架保持一致”。通过限制协调委员会就新的或更新的法规进行磋商,并建立基于网络安全框架的自愿试点计划,该法案巧妙地避免了宪法问题。通过指示ONCD领导的协调委员会制定框架并建立试点计划,该法案可能能够实现比网络事件报告委员会(CIRC)更大的政策变化,该委员会是根据《关键基础设施网络事件报告法》(CIRCIA)成立的,旨在解决网络事件报告法规的协调问题,但仅限于提出建议。如果协调委员会建立一个协调框架机制,开始巩固网络安全法规的拼凑,这将是朝着协调和消除关键基础设施实体目前面临的无数法规的积极迈出的第一步。该法案的作者在保监会条款中加入了一项条款,该条款要求美国国土安全部在180天内和此后每180天向相关国会委员会提供有关保监会在协调网络事件报告方面的最新工作。然而,如果国会能够同时对中国保监会今年早些时候发布的一些建议采取行动,包括消除事件报告协调的法定障碍,并将CIRCIA下的《信息自由法》豁免扩大到提交给联邦政府的任何网络事件报告,那将更加令人鼓舞。来源:综合网络信息