أعلنت وزارة الأمن الداخلي (DHS) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) رسمياً عن المرحلة الحرجة التالية من تنفيذ قانون الإبلاغ عن الحوادث السيبرانية للبنية التحتية الحرجة (CIRCIA). مع نشر الوثيقة الأخيرة في السجل الفيدرالي 2026-02948، تفتح الحكومة الفيدرالية المجال لحوار هام سيحدد البيئة التنظيمية في السنوات القادمة. من خلال هذه الخطوة، تسعى الوكالتان إلى احتواء الحوادث بطريقة أكثر قوة وبراغماتية من خلال الإبلاغ الشفاف والمحسن.

الأسبوع الماضي، من خلال إشعار، طلبت وكالة الأمن السيبراني وأمن البنية التحتية تقديم ملاحظات من كيانات البنية التحتية الحرجة حول تنفيذ قانون CIRCIA. الوكالة الآن في المراحل النهائية من وضع اللمسات الأخيرة على هذه اللوائح. سيتم جمع الملاحظات من خلال سلسلة من الاجتماعات في قاعات البلديات مع ممثلي القطاعات. في هذه الاجتماعات، سيحصل الممثلون على فرصة لتقديم ملاحظاتهم حول القاعدة المعلقة المطلوبة في قانون CIRCIA. وفقًا للإشعار، ترغب وكالة CISA في ضمان أن يتم تنفيذ CIRCIA بطريقة تعزز وضع الأمن بالبلاد بينما تقلل من أي عبء غير ضروري على مشغلي البنية التحتية الحرجة.

كما هو الحال مع التدابير الأخرى، يجب أن نعلم أن التفاصيل الدقيقة لأي تفويض بالإبلاغ تحدد بشكل أساسي سياق الامتثال. هذه المبادرة تمثل جهد CISA لسد الفجوة بين متطلبات الأمن الوطني والوقائع التشغيلية للقطاع الخاص. يمكن لمثل هذا الحوار والتفاعل تعزيز تنفيذ CIRCIA، وتحسين الأمن على مستوى المؤسسات، وضمان إصدار القاعدة الجديدة بطريقة لا تتسبب في أي تحديات تشغيلية أو استراتيجية للامتثال للكيانات التي تقع ضمن نطاقها.

قبل أن نتقدم، لا تنس التحقق من منشور المدونة السابق لدينا حول "حزمة أدلة NERC CIP: كيفية توثيق إدارة تصحيح وتغيير SCADA للمراجعات،" هنا.

المبادرة: تحسين إطار عمل CIRCIA

في جوهرها، تم تصميم CIRCIA لتزويد الحكومة الفيدرالية بقدر كبير من الرؤية في الوقت الفعلي إلى مشهد التهديدات السيبرانية كما يتجلى في الأحداث المبلغ عنها. من خلال مطالبة كيانات البنية التحتية الحرجة بالإبلاغ عن "حوادث سيبرانية كبيرة" ومدفوعات الفدية، الهدف هو التعرف على الأنماط، نشر الموارد، وتحذير الآخرين قبل أن يتحول خرق محلي إلى أزمة وطنية متكاملة.

لكن إشعار وضع القاعدة المقترحة (NPRM) الذي هو موضوع هذه اللقاءات القادمة في البلديات هو المكان الذي سيتم فيه إضفاء الطابع النهائي على التفاصيل المتعلقة بـ "من، ماذا، ومتى". تسعى وكالة CISA بشكل خاص إلى ردود الفعل على:

· تعريف "الكيان المغطى": تحديد ما إذا كان يجب أن تكون المعايير المستندة إلى الحجم (مثل الشركات الصغيرة) أو المعايير المستندة إلى القطاع (مثل الطاقة، المياه، المالية) لها الأولوية.

· الحوادث الكبيرة: تعريف ما الذي يشكل بالضبط "حادث سيبراني كبير". إذا كان التعريف واسعًا جدًا، فإن العديد من الحوادث والتفاصيل الهامة ستدُفن في الضجيج؛ إذا كان ضيقًا جدًا، فقد تفقد الإشارة.

· التنسيق: ضمان أن الشركات لن تضطر إلى تقديم تقارير مكررة لعدة وكالات.

 الخلفية والتداعيات: من التشريع إلى التنظيم

وقع القانون في عام 2022، واستجاب CIRCIA مباشرة لسلسلة من الإخفاقات المتتالية التي أثرت على الاقتصاد الوطني. أبرز الحوادث كانت الهجمات السيبرانية على خط أنابيب كولونيال وسولار وندز. لعدة عقود، كان الإبلاغ عن الحوادث السيبرانية طوعياً إلى حد كبير، ممزقاً ومتجزأً.

التداعيات عميقة ولها تأثير كبير على مشغلي البنية التحتية الحرجة:

· الامتثال: لأول مرة، سيتعين على آلاف الكيانات، بدءًا من مناطق المياه الريفية وصولاً إلى الشركات النفطية العالمية، التعامل مع فترة إبلاغ مدتها 72 ساعة للحوادث و 24 ساعة لمدفوعات الفدية.

· سلطة التنفيذ: يطرح القاعدة آليات لطلبات المعلومات (RFIs) والاستدعاءات للكيانات التي تفشل في الإبلاغ، منتقلة من نموذج يعتمد على "الشراكة فقط" إلى آخر مدعوم بسلطة تنظيمية قابلة للتنفيذ.

· الدفاع الوطني: من خلال جمع هذه البيانات، يمكن لـ CISA التحول من مستجيب تفاعلي إلى مدافع نشط، باستخدام المعلومات المشتركة لتعزيز دفاعات البلاد الجماعية.

 الاجتماعات في البلدية: مقعدك على الطاولة

كما ذكرنا سابقًا، قامت CISA بتحديد سلسلة من الاجتماعات في قاعات البلديات لجمع ملاحظات أصحاب المصالح بشكل خام. يمثل هذا فرصة نادرة لمسؤولي معلومات الأمن (CISOs)، ومناصري السياسات، والمحامين العامين للحديث مباشرةً إلى مبتكري القاعدة وتقديم وجهات نظرهم مباشرةً إلى صانعي السياسات.

· التنسيق: من المتوقع أن تستمر كل جلسة مدة ساعتين تقريباً.

· المشاركة: يجب على أصحاب المصالح التسجيل مسبقًا. لضمان المشاركة القصوى، سيتم تنظيم اجتماعات خاصة بالقطاع وأخرى عامة.

· بروتوكول صارم: عادةً ما يُمنح كل متحدث ثلاث دقائق لتقديم تحسينات "قابلة للتنفيذ". هذا القيد يشجع على تقديم توصيات وجيزة قابلة للتنفيذ.

· الشفافية: سيتم تسجيل جميع الجلسات ونسخها، وستُدرج السجلات في سجل التشريعات الرسمي. إذا كانت لديك ملاحظات تتضمن بيانات ثقيلة، لديك 7 أيام من التقويم بعد الاجتماع لتقديم مكملات مكتوبة.

 النتائج المتوقعة: ما يمكن أن يبدو عليه النجاح

الهدف من هذا التمرين هو التوصل إلى قاعدة نهائية "جولديلوكس": قاعدة صارمة بما يكفي لحماية البلاد ولكن مرنة بما يكفي لعدم إفلاس الكيانات التي تغطيها. نتوقع النتائج التالية من هذا التفاعل:

· عتبات محسنة: فهم أوضح لأي من "الكيانات الصغيرة" ذات الأهمية الحقيقية وأي منها يمكن إعفاؤه.

· توثيق منسق: دفع باتجاه فلسفة "الإبلاغ مرة واحدة" بحيث تعمل CISA كمركز توزيع لمعلومات الوكالات الأخرى مثل FBI وSEC.

· تحسين الإرشاد: تطوير "مكتبة" من أمثلة الحوادث لمساعدة المؤسسات في تحديد، وقت حدوث خرق، ما إذا كان يجب بدء عداد الساعة الذي يستغرق 72 ساعة.

لذلك، إذا كنت تمثل قطاع البنية التحتية الحرجة، فإن هذه الاجتماعات في قاعات البلديات ليست اختيارية. بل إنها جزء أساسي من استراتيجيتك لإدارة المخاطر في عام 2026 وفرصة للتأثير على التشريعات التي تؤثر بشكل مادي على مؤسستك.

اقرأ الإشعار: هنا

لمزيد من المعلومات، يرجى التواصل: نيكول كلاغيت، المدير المساعد لقانون CIRCIA، وكالة الأمن السيبراني وأمن البنية التحتية، circia[attherate]cisa.dhs.gov، 202-815-4427.

 تنزيل دليل تقييم مخاطر الأمن السيبراني للوجستيات والنقل

احصل على قائمة التحقق من الامتثال للمعايير IEC 62443 وNIS2 هنا.

تنزيل: قالب خطة الاستجابة للحوادث للأمن السيبراني للبنية التحتية الحرجة