Der US-Senat hat am Dienstag einstimmig das Gesetz zur Stärkung der amerikanischen Cybersicherheit („Strengthening American Cybersecurity Act“) verabschiedet, um die Cybersicherheit der kritischen Infrastrukturen im Land zu verbessern.
Das neue überparteiliche Gesetz schreibt unter anderem vor, dass Unternehmen, die von einem Cybervorfall betroffen sind, die Angriffe innerhalb von 72 Stunden an die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) melden und die Behörde innerhalb von 24 Stunden über Ransomware-Zahlungen informieren müssen.
Darüber hinaus müssen die betroffenen Organisationen die relevanten Daten aufbewahren und unverzüglich Aktualisierungen eines zuvor eingereichten Berichts über einen Cybervorfall weitergeben, wenn wesentliche neue oder andere Informationen verfügbar werden oder wenn die betroffene Einrichtung nach der Einreichung eines Berichts über einen Cybervorfall eine Lösegeldzahlung leistet.
Der Strengthening American Cybersecurity Act of 2022 fasst drei verschiedene Gesetzesentwürfe zusammen: den Cyber Incident Reporting Act (CIRA), den Federal Information Security Management Act (FISMA) und den Federal Secure Cloud Improvement and Jobs Act (FSCIJA).
Während FISMA effektivere Cybersicherheitspraktiken vorsieht, zielt FSCIJA darauf ab, die Einführung von Cloud-Computing-Produkten und -Diensten zu beschleunigen, die Einführung sicherer Cloud-Funktionen zu fördern, Arbeitsplätze zu schaffen und die Abhängigkeit von veralteter Informationstechnologie zu verringern.
Nachdem der Senat dem Gesetz zugestimmt hat, muss es nun noch vom Repräsentantenhaus verabschiedet werden, bevor es offiziell in Kraft treten kann.
„Da Cyber- und Ransomware-Angriffe weiter zunehmen, muss die Bundesregierung in der Lage sein, schnell zu reagieren und diese bösen Akteure zur Verantwortung zu ziehen“, sagte US-Senator Rob Portman im September 2021.
„Dieser überparteiliche Gesetzentwurf wird […] einen umfassenden Einblick in die Cyberangriffe geben, die täglich in unserem Land stattfinden, um eine regierungsweite Reaktion, Schadensbegrenzung und Warnung kritischer Infrastrukturen und anderer vor laufenden und drohenden Angriffen zu ermöglichen.“