米国国立標準技術研究所はサイバーセキュリティ基準を策定中で、これを満たさない場合、重要インフラ企業は新たな責任リスクにさらされる可能性があります。
この規格の草案は木曜日に発表される予定でしたが、NISTは米国政府閉鎖のために発表を延期しました。
この基準は、バラク・オバマ大統領が今年初めに大統領令を出した後に始まりました。 しかし、基準の最初の草案の公表は遅れました。
このフレームワークは、特定のセキュリティ管理を強制するのではなく、重要なデータ、サービス、資産を特定し、保護するための広範な基準を提供します。また、攻撃の検知と対応、サイバーインシデントに伴う影響とリスクの軽減に関する多くのベストプラクティスを提供しています。
オバマ大統領は2月に大統領令を発表し、重要インフラのセキュリティとサイバー攻撃への防御に早急に取り組む必要性を示しました。政権当局者によると、米国議会は実用的なサイバーセキュリティ関連法案を作成しようとして何度も失敗しているとのこと。
規格プログラムへの参加はすべて任意。大統領令は、主要部門を管轄する連邦政府機関に対し、インセンティブやその他の手段を通じて規格の普及を促進するよう求めています。
法律事務所Venable LLPのジェイソン・ウール弁護士は、「しかし実際には、重要インフラの所有者や運営者は、これらの基準に従うか、少なくとも同様のセキュリティ対策を導入していることを証明するしかないでしょう。
これらの基準を無視または違反した企業は、訴訟やその他の責任追及に直面する可能性があります。これらの基準は、重要インフラ産業におけるセキュリティ対策の最低レベルと考えられます。
「これらの標準を採用する必要はありませんが、組織が満たすべきサイバーセキュリティの推奨慣行がフレームワークで示されていることは事実です。を分析する必要があります」。
企業がこれらの基準を採用しない場合でも、採用した慣行が機能していることを実証する必要があります。
企業が訴えられた場合、その企業は基準を研究し、リスクアセスメントを実施し、合理的な方法でリスクを管理したという証拠を提出できる必要があります。
フォックス・ロスチャイルドの弁護士であるスコット・バーニック氏によると、このNIST標準は最終的に、異なる重要インフラ分野を担当する連邦政府機関が監督する、分野別の規制になる可能性があるとのこと。この時点から、重要インフラ分野の企業はこの標準を導入するしかなくなるでしょう。
少なくとも、重要インフラの所有者や運営者は、自社のセキュリティ対策がこれらの基準に匹敵するものであることを確認する必要があります。また、企業は、新たな脅威の理解に努めていることを示すために、情報共有プログラムやその他のサイバーセキュリティフォーラムへの参加を検討すべきです。
皮肉なことに、この枠組みを採用している企業であっても、賠償責任リスクから解放されるとは限りません。
例えば、ブッシュ政権の元国務次官補であるスチュワート・ベイカー氏は、個人を特定できる情報を保護するために使用される規制の中には、重要なインフラビジネスに問題を引き起こす可能性のあるものもあります。
このプライバシー要件により、企業はサイバーセキュリティ機能を実装しながら、個人を特定できる情報を保護するための広範な対策を講じる必要が生じる可能性があります。
例えば、組織が脅威情報を他の企業と共有したい場合、まず個人を特定できる情報が含まれないように情報を処理する必要があります。
ベーカー氏は、草案の規定は曖昧で、明確に記載されていないと述べました。
個人情報を含む脅威情報を共有する企業は、多くの法的問題に直面する可能性があります。
