סוכנות הסייבר האמריקאית דוחה את חובת הדיווח על מתקפות בשנה נוספת

תמונה: Dreamstime

סוכנות הסייבר והתשתיות של ארה"ב (CISA) הודיעה כי היא דוחה את מועד פרסום התקנות שיחייבו בעלי תשתיות קריטיות לדווח על מתקפות סייבר משמעותיות לממשלה. התקנות, שהיו אמורות להתפרסם באוקטובר הקרוב, נדחו למאי 2026.

הדחייה נוגעת ליישום CIRCIA או אם אתם ממש רוצים את השם המלא – Cyber Incident Reporting for Critical Infrastructure Act, חוק מ-2022 שמבקש להסדיר את חובת הדיווח על אירועי סייבר. לפי החוק, בעלי תשתיות קריטיות יצטרכו לדווח ל-CISA בתוך 72 שעות אם נפגעו ממתקפה חמורה ותוך 24 שעות אם שילמו כופר. ההשראה לחוק: פריצות גדולות כמו מתקפת Colonial Pipeline ב-2021, שהוכיחה עד כמה דיווח מאוחר מקשה על התגובה הלאומית.

דיווח מהיר, בירוקרטיה ולחץ

המשמעות היא שאנשי IT בארגונים בארה"ב יצטרכו לעמוד בלוחות זמנים דרקוניים: דיווח מהיר, איסוף נתונים והגשת טפסים פורמליים לממשלה. זה לא "נשלח טיקט ונתקדם", אלא תהליך מסודר עם תיעוד מלא של האירוע.

מעבר לכך, כבר קיימות רגולציות אחרות, למשל דרישות הדיווח של ה-SEC לחברות ציבוריות והחשש הוא ש-CIRCIA פשוט יתווסף אליהן ויכפיל את הבירוקרטיה. הבעיה הגדולה: אין עדיין הגדרות ברורות. מה נחשב למתקפה חמורה? האם כל דליפה מחייבת דיווח? מה בכלל נכנס תחת ההגדרה של תשתיות קריטיות? בלי תשובות, קשה לארגונים לבנות תהליכים פנימיים שיתאימו לחוק החדש. בסופו של דבר, המעמסה נופלת על כתפי אנשי ה-IT, שיצטרכו playbook מוכן מראש, לדעת איך מתעדים, למי מדווחים ובאיזה לוחות זמנים.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

ב-CISA טוענים שהדחייה נועדה לאפשר להם להקל על התעשייה ולשפר את התאמת החוק לחוקים פדרליים אחרים. גם מחוקקים וגם איגודי תעשייה התראיינו בארה"ב וטענו שהדחייה דווקא תאפשר חקיקה חכמה יותר.

אלא שיש גם מי שמבקרים. חברי קונגרס מהאופוזיציה האשימו את הסוכנות בכך שבזבזה חודשים בלי להתקדם, והזהירו שהחוק יאבד את שיניו אם לא יושם בקרוב.

ההשפעה מחוץ לארה"ב

גם אם CIRCIA נוגע ישירות לארה"ב, החובה הזו תשפיע על ארגונים גלובליים, כולל כאלה שמחזיקים מרכזי פיתוח או פעילות בישראל. בסופו של דבר, כל מי שמוגדר כקריטי בארה"ב יצטרך ליישר קו עם הדרישות, והדבר עשוי לגלוש גם לרגולציה אירופית או ישראלית.

בינתיים, נזכיר כי CISA מתמודדת גם עם דדליין חשוב לא פחות, שנוגע לחוק CISA שנחקק ב-2015 ושותקפו פג בסוף החודש. בימים אלו המחוקקים בארה"ב עדיין לא הגיעו להסכמות בנוגע לחוק החדש, כשעיקר המחלוקת נובע בהיקף ובסמכויות החוק החדש. המשמעות לאי חידוש החוק היא שכל מנגנוני השיתוף בין המגזר הפרטי והציבורי ייתקעו.

בשבוע שעבר אישרה ועדת ביטחון המולדת בבית הנבחרים את טיוטת החוק החדש, שקיבל את השם הנוצץ Widespread Information Management for the Welfare of Infrastructure and Government Act, או בקצרה WIMWIG.

בסנאט, ועדת המודיעין אישרה ביולי חידוש לעשור נוסף כחלק מתקציב קהילת המודיעין. הציפייה היא שההצעה תצורף לחוק ההגנה הלאומי (NDAA) ותעלה להצבעה בשבועות הקרובים.

למרות שהחוק אמריקאי, ההשפעות שלו חוצות גבולות. ארגונים ישראליים שמספקים שירותים לחברות אמריקאיות, במיוחד בתחומי ענן, פיננסים ותשתיות קריטיות, עלולים להיפגע אם רשת השיתוף הזו תתפורר. בלי מנגנון הגנה חוקי, חברות אמריקאיות ישתפו פחות מידע על איומים – מה שאומר שגם חברות ישראליות שמסתמכות על שיתוף כזה יקבלו פחות מודיעין בזמן אמת.