在拜登總統于3月15日簽署的《2022年綜合撥款法案》中，《2022年關鍵基礎設施網絡事件報告法》得以通過，并提出了新的數據泄露報告要求。這項新規(guī)定進一步推動了聯邦政府改善國家網絡安全的努力，至少部分是由Colonial Pipeline網絡攻擊和SolarWinds攻擊引發(fā)的，該攻擊使東海岸的天然氣流通中斷數日。美國國會和總統在制定這項法律時，很可能也考慮到了俄羅斯因在烏克蘭的戰(zhàn)爭而不斷增加的網絡攻擊的威脅。

　　簡而言之，該法要求關鍵基礎設施領域的某些實體向美國國土安全部（DHS）報告：

　　法案所規(guī)定的網絡事件，在不遲于法案所管轄的實體有理由相信事件發(fā)生后的72小時，以及

　　因勒索軟件攻擊而在支付贖金后24小時內支付的任何贖金（即使勒索軟件攻擊不屬于前一點中要報告的網絡事件）

　　如果有大量新的或不同的信息，以及在法案所管轄的實體通知DHS事件已經結束并已完全緩解和解決網絡事件之前，也需要補充報告。此外，法案所管轄的實體必須根據網絡安全和基礎設施安全局局長（CISA）發(fā)布的規(guī)則，留存與法案所規(guī)定的網絡事件和贖金支付有關的信息。

　　這些要求的生效日期，以及報告的時間、方式和形式，以及其他項目，將在CISA局長發(fā)布的規(guī)則中規(guī)定。局長有24個月的時間來發(fā)布擬議的規(guī)則制定通知，之后有18個月的時間來發(fā)布最終規(guī)則。

　　具體來說，：

　　法案所管轄的實體：該法涵蓋了關鍵基礎設施部門（即總統政策指令21，Presidential Policy Directive 21所定義的）中的符合CISA局長所確定的定義的實體。這些部門的包括關鍵制造業(yè)、能源、金融服務、食品和農業(yè)、醫(yī)療保健、信息技術和運輸。在進一步定義覆蓋實體時，CISA局長將考慮一些因素，如損害一個實體可能導致的國家和經濟安全的后果，該實體是否是惡意網絡行為者的目標，以及進入這樣一個實體是否能夠破壞關鍵基礎設施。

　　法案所規(guī)定的網絡事件：根據該法案，將要求對 “法案所規(guī)定的網絡事件”進行報告。部分借用《2002年國土安全法》第二十二章第2209（a）（4）條，該法規(guī)定的網絡事件一般是指在沒有合法授權的情況下，危害信息系統或信息系統信息的完整性、保密性或可用性的事件。根據該法，網絡事件必須是一個由CISA局長進一步定義的法案所管轄的實體所經歷的“重大網絡事件”，才能被涵蓋。

　　信息系統：信息系統是指 “為收集、處理、維護、使用、共享、傳播或處置信息而組織的一套離散的信息資源”，其中包括工業(yè)控制系統，如監(jiān)督控制和數據采集系統、分布式控制系統和可編程邏輯控制器。

　　贖金支付：贖金支付是指在任何時候作為贖金交付的與勒索軟件攻擊有關的任何金錢或其他財產或資產，包括虛擬貨幣，或其任何部分的傳輸。

　　法案所規(guī)定的網絡事件的報告需要包括：

　　對法案所規(guī)定的網絡事件的描述，包括：

　　受影響的信息系統、網絡或設備的識別和功能描述，這些系統、網絡或設備已經或有理由相信已經受到影響。

　　描述未經授權的訪問，導致受影響的信息系統或網絡的機密性、完整性或可用性的嚴重損失，或業(yè)務或工業(yè)運作的中斷。

　　此類事件的估計日期范圍；以及

　　對法案所管轄的實體的影響。

　　描述被利用的漏洞和已實施的安全防御措施，以及用于實施法案所規(guī)定的網絡事件的戰(zhàn)術、技術和程序（如適用）。

　　有理由相信應對該網絡事件負責的每個行為者的身份或聯系信息（如適用）。

　　如果適用的話，被認為或有理由認為被未經授權的人訪問或獲取的信息類別。

　　明確識別受影響的法案所管轄的實體的名稱和其他信息，包括（如適用）該實體的注冊或組建國家、商號、法定名稱或其他標識符。

　　法案所管轄的實體的聯系信息，或在適用的情況下，覆蓋實體的授權服務供應商。

　　贖金支付報告也需要類似信息，包括 （i） 贖金支付要求，包括所要求的虛擬貨幣或其他商品的類型（如適用），（ii） 贖金支付指示，包括有關支付地點的信息（如適用），以及（iii） 贖金支付的金額。法案所管轄的實體可以使用第三方，如事件響應公司、保險商或服務提供商來提交這些報告，但這并不免除法案所管轄的實體的報告義務。

　　國土安全部的國家網絡安全和通信集成中心（National Cybersecurity and Communications Integration Center，NCCIC）負責開展各種活動，根據該法接收和分析報告。這些活動包括：

　　評估網絡事件對公眾健康和安全的潛在影響。

　　與適當的聯邦部門和機構協調和分享信息，以確定和跟蹤贖金支付，包括那些使用虛擬貨幣的贖金。

　　在自愿的基礎上，促進相關關鍵基礎設施所有者和經營者之間及時分享與法案所規(guī)定的網絡事件和贖金支付有關的信息，特別是與正在發(fā)生的網絡威脅或安全漏洞有關的信息；

　　以及如果涉及的網絡事件也符合重大網絡事件的定義，例如，對有關事件的細節(jié)進行審查，并傳播預防或減輕未來類似事件的方法。重大網絡事件是指國土安全部部長認為可能會對美國的國家安全利益、外交關系或經濟，或對美國人民的公眾信心、公民自由或公共健康和安全造成明顯損害的網絡事件或一組相關的網絡事件。

　　該法還對法案所規(guī)定的網絡事件和贖金支付報告中的信息提供了若干保護。例如，根據該法，此類報告中包含的信息將根據其他聯邦法律為保護個人信息而制定的程序進行保留、使用和傳播，并以保護個人信息免遭未經授權的使用或未經授權的披露。此外，一般來說，聯邦、州、地方或部落政府實體都不得使用該法規(guī)定的此類報告中的信息來監(jiān)管，包括通過執(zhí)法行動來監(jiān)管支付贖金的承保實體或實體的活動。這種執(zhí)法的排除并不適用于政府實體明確允許實體向該機構提交的報告，以履行監(jiān)管報告義務。該法還禁止因提交此類報告而提出或維持訴訟理由。此外，法案所規(guī)定的網絡事件和贖金支付的報告將：

　　被視為法案所管轄的實體的商業(yè)、財務和專有信息，如果法案所管轄的實體這樣指定。

　　根據聯邦《信息自由法》以及類似的州、部落或地方法律，免于披露。

　　不構成對法律規(guī)定的任何適用特權或保護的放棄，包括商業(yè)秘密保護；以及

　　不受任何聯邦機構或部門的規(guī)則或任何關于與決策官員單方面溝通的司法理論的約束。