Das Department of Homeland Security (DHS) und die Cybersecurity and Infrastructure Security Agency (CISA) haben offiziell die nächste kritische Phase der Umsetzung des Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) angekündigt. Mit der Veröffentlichung des aktuellen Dokuments im Bundesregister 2026-02948 eröffnet die Bundesregierung den Raum für einen hochkarätigen Dialog, der die regulatorische Landschaft für die kommenden Jahre prägen wird. Ziel dieser Maßnahme der beiden Behörden ist es, Vorfälle in robusterer und pragmatischerer Weise durch transparente und angereicherte Berichterstattung einzudämmen.

Letzte Woche hat die Cybersecurity and Infrastructure Security Agency mittels einer Mitteilung Feedback von kritischen Infrastrukturunternehmen zur Umsetzung des CIRCIA-Gesetzes angefordert. Die Behörde befindet sich nun in den Endphasen der Finalisierung dieser Regelung. Das Feedback wird durch eine Reihe von Versammlungen mit Sektorenvertretern eingeholt. In diesen Treffen erhalten Vertreter die Gelegenheit, ihre Rückmeldungen zur ausstehenden Regelung, die im CIRCIA-Gesetz gefordert wird, zu teilen. Laut der Mitteilung möchte CISA sicherstellen, dass die Umsetzung von CIRCIA so erfolgt, dass die Sicherheitslage des Landes verbessert wird, während überflüssige Belastungen für CI-Betreiber minimiert werden.

Wie bei anderen Maßnahmen sollten wir wissen, dass das Kleingedruckte einer Berichtsverpflichtung im Wesentlichen den Kontext für die Einhaltung festlegt. Diese Initiative stellt den Versuch von CISA dar, die Lücke zwischen nationalen Sicherheitsanforderungen und den operationellen Realitäten des privaten Sektors zu überbrücken. Solche Dialoge und Interaktionen können die Umsetzung von CIRCIA stärken, die Sicherheit auf Unternehmensebene verbessern und die Einführung der neuen Regel so gewährleisten, dass keine betrieblichen oder strategischen Compliance-Herausforderungen für die betroffenen Unternehmen entstehen.

Bevor wir fortfahren, vergessen Sie nicht, hier unseren vorherigen Blogbeitrag über „NERC CIP Evidence Pack: How to Document SCADA Patch and Change Management for Audits“ zu lesen.

Die Initiative: Verfeinerung des CIRCIA-Rahmens

Im Kern ist CIRCIA darauf ausgelegt, der Bundesregierung einen umfassenden Echtzeiteinblick in die Bedrohungslage im Cyberraum zu geben, wie sie in gemeldeten Ereignissen reflektiert wird. Indem von kritischen Infrastrukturunternehmen verlangt wird, „bedeutende“ Cybervorfälle und Lösegeldzahlungen zu melden, soll erreicht werden, Muster zu erkennen, Ressourcen einzusetzen und andere zu warnen, bevor ein lokaler Vorfall zu einer landesweiten Krise eskaliert.

Der Notice of Proposed Rulemaking (NPRM), der Gegenstand dieser bevorstehenden Versammlungen ist, ist im Wesentlichen der Punkt, an dem Einzelheiten zu „wer, was und wann“ finalisiert werden. CISA sucht speziell Feedback zu:

·  Der Definition der „betroffenen Einrichtung“: Es wird geprüft, ob größenbasierte Kriterien (wie z. B. kleine Unternehmen) oder sektorbasierte Kriterien (wie Energie, Wasser, Finanzen) Vorrang haben sollten.

·  Bedeutende Vorfälle: Eine genaue Definition dessen, was als „bedeutender Cybervorfall“ gilt. Wenn die Definition zu weit gefasst ist, gehen viele Vorfälle und wichtige Details im Rauschen unter; ist sie zu eng, könnte das Signal verpasst werden.

·  Harmonisierung: Sicherstellen, dass Unternehmen nicht verpflichtet sind, mehrere gleichartige Berichte an verschiedene Behörden zu senden.

 Hintergrund und Implikationen: Von der Gesetzgebung zur Regulierung

Im Jahr 2022 gesetzlich verankert, war CIRCIA eine direkte Reaktion auf eine Reihe von aufeinanderfolgenden Ausfällen, die die nationale Wirtschaft beeinträchtigten. Die bemerkenswertesten Vorfälle waren die Cyberangriffe auf die Colonial Pipeline und SolarWinds. Seit Jahrzehnten war die Berichterstattung über Cybervorfälle weitgehend freiwillig, verwässert und fragmentiert.

Die Implikationen sind tiefgreifend und haben erhebliche Auswirkungen auf CI-Betreiber:

·  Compliance-Belastung: Erstmals müssen Tausende von Unternehmen, angefangen bei ländlichen Wasserversorgungsbezirken bis hin zu globalen Ölkonzernen, innerhalb eines 72-Stunden-Fensters über Vorfälle und eines 24-Stunden-Fensters für Lösegeldzahlungen berichten.

·  Durchsetzungsmacht: Die Regelung schlägt Mechanismen für Anfragen zu Informationen (RFIs) und Vorladungen für Einrichtungen vor, die es versäumen zu berichten, und geht von einem „nur Partnerschaft“-Modell zu einem durchsetzbaren behördlichen Modell über.

·  Nationale Verteidigung: Durch die Aggregation dieser Daten kann CISA von einem reaktiven Responder zu einem proaktiven Verteidiger übergehen, der gesammelte Informationen nutzt, um die kollektive Verteidigung des Landes zu stärken.

 Die Versammlungen: Ihr Platz am Tisch

Wie bereits erwähnt, hat CISA eine Reihe von Versammlungen anberaumt, um ungefiltertes Feedback von Interessengruppen einzuholen. Dies bietet CISOs, allgemeinen Rechtsberatern und politischen Fürsprechern die seltene Gelegenheit, direkt zu den Gestaltern der Regelung zu sprechen und ihre Sichtweisen direkt bei den politischen Entscheidungsträgern einzubringen.

· Das Format: Jede Sitzung soll ungefähr zwei Stunden dauern.

·  Teilnahme: Interessengruppen müssen sich im Voraus anmelden. Um eine maximale Teilnahme zu gewährleisten, hält CISA sowohl sektorspezifische als auch allgemeine Versammlungen ab.

· Strenges Protokoll: Jeder Redner hat in der Regel drei Minuten Zeit, um „umsetzbare“ Verbesserungen vorzuschlagen. Diese Einschränkung fördert prägnante und umsetzbare Empfehlungen.

· Transparenz: Alle Sitzungen werden aufgezeichnet und transkribiert, und die Aufzeichnungen werden im offiziellen Regelverzeichnis abgelegt. Wenn Sie feedbackreiche Daten haben, haben Sie 7 Kalendertage nach dem Treffen Zeit, schriftliche Ergänzungen einzureichen.

 Erwartete Ergebnisse: Wie Erfolg aussehen könnte

Ziel dieser Übung ist eine „Goldlöckchen“ Endregel: eine, die rigoros genug ist, um das Land zu schützen, aber flexibel genug, um die abgedeckten Unternehmen nicht in den Ruin zu treiben. Wir erwarten folgende Ergebnisse aus diesem Engagement:

· Verfeinerte Schwellenwerte: Ein klareres Verständnis davon, welche „kleinen“ Einheiten wirklich kritisch sind und welche ausgenommen werden können.

· Standardisierte Berichterstattung: Ein Vorstoß in Richtung einer „einmal berichten“ Philosophie, bei der CISA als Clearingstelle für andere Behörden wie das FBI und die SEC fungiert.

· Verbesserte Leitlinien: Die Entwicklung einer „Bibliothek“ von Beispielen für Vorfälle, um Organisationen zu helfen, im Ernstfall einer Verletzung zu entscheiden, ob die 72-Stunden-Uhr begonnen hat.

Wenn Sie also einen Sektor der kritischen Infrastruktur vertreten, sind diese Versammlungen nicht optional. Stattdessen sind sie ein wesentlicher Bestandteil Ihrer Risikomanagementstrategie 2026 und eine Gelegenheit, die Gesetzgebung zu beeinflussen, die Ihre Organisation materiell betrifft.

Lesen Sie die Mitteilung: hier

Für weitere Informationen kontaktieren Sie bitte: Nichole Clagett, CIRCIA Deputy Associate Director, Cybersecurity and Infrastructure Security Agency, circia[attherate]cisa.dhs.gov, 202-815-4427.

 Herunterladen des ICS Sicherheitsleitfadens für das Risikoassessment im Bereich Transport und Logistik

Holen Sie sich Ihre IEC 62443 und NIS2 Compliance-Checkliste hier.

Herunterladen: Incident Response Plan Template für die Cybersicherheit kritischer Infrastrukturen