CISA startet letzte Konsultation zu Cybersicherheits-Regeln

Die US-Cybersicherheitsbehörde CISA startet eine finale Konsultationsrunde für eine der wichtigsten Cybersicherheits-Verordnungen der letzten Jahre. Die neuen Town-Hall-Meetings sollen letzte Bedenken der Industrie ausräumen, bevor die Regeln für über 300.000 Unternehmen verbindlich werden.

Letzte Chance für die Industrie

Die Behörde will mit den Sitzungen den Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) finalisieren. Ein entsprechender Hinweis erscheint heute im Bundesregister. Das Gesetz aus dem Jahr 2022 verpflichtet Unternehmen in 16 kritischen Infrastruktursektoren, schwere Cybervorfälle innerhalb von 72 Stunden und Lösegeldzahlungen binnen 24 Stunden zu melden.

Die finale Fassung der Regelung soll nun im Mai 2026 vorliegen – mit sechs Monaten Verspätung. Grund ist die Flut von etwa 300 Stellungnahmen zum Entwurf von April 2024. Die Industrie hatte vor allem den Umfang der geforderten Informationen und die Breite der betroffenen Unternehmen kritisiert.

Streitpunkte bei Umsetzung

CISA sucht nun nach „konkreten, umsetzbaren Verbesserungen“. Im Fokus stehen mehrere heikle Punkte: Soll die Pflicht zur Meldung von der Unternehmensgröße abhängen? Wie genau soll der Subpoena-Prozess aussehen, mit dem CISA Informationen einfordern kann? Und gelten die Regeln auch für Cloud-Anbieter und IT-Dienstleister, die Open-Source-Software nutzen?

Die Reaktionen auf die neuen Konsultationen fallen gemischt aus. Einige Branchenvertreter wünschen sich direktere Gespräche statt weiterer öffentlicher Anhörungen. Schließlich habe die Industrie ihre Position bereits deutlich gemacht.

Harte Fristen bleiben Kern

Trotz aller Diskussionen bleiben die Kernvorschriften unverändert hart. Die 72- und 24-Stunden-Fristen markieren einen radikalen Wandel – sie sind deutlich kürzer als bei anderen Vorschriften wie HIPAA mit 60 Tagen.

Als „substanziell“ gilt dabei jeder Vorfall, der die nationale oder wirtschaftliche Sicherheit oder die öffentliche Gesundheit gefährden könnte. Für Krankenhäuser bedeutet das etwa größere Systemausfälle, Störungen des Klinikbetriebs oder massenhafte Datendiebstähle.

Balanceakt zwischen Sicherheit und Bürokratie

Für CISA ist die Umsetzung ein Balanceakt. Die Behörde muss nationale Sicherheit stärken, ohne Hunderttausende Unternehmen mit übermäßiger Bürokratie zu belasten. Die Meldungen sollen es ermöglichen, branchenübergreifende Trends zu erkennen, andere potenzielle Opfer zu warnen und Ressourcen im Krisenfall gezielter einzusetzen.

Die zusätzlichen Konsultationen zeigen, wie komplex die Abstimmung mit anderen Bundes- und Landesvorschriften ist. Durch direkten Dialog zu Streitfragen wie der Definition betroffener Unternehmen will CISA eine praktikable Lösung finden.

Bereits Anfang Februar hatte ein CISA-Vertreter Neuigkeiten innerhalb weniger Wochen angekündigt – diese Konsultationsrunde scheint die angekündigte Entwicklung zu sein. Sicherheitsexperten raten betroffenen Unternehmen, nicht auf den finalen Text zu warten. Sie sollten bereits jetzt klare Protokolle für Lösegeldzahlungen entwickeln, die Cybersicherheit ihrer Lieferanten prüfen und ihre Incident-Response-Pläne an die strengen Fristen anpassen.

Wenn Ihr Unternehmen jetzt schnell praxisnahe Schutzmaßnahmen und Checklisten für Incident Response, Lieferantenprüfung und Meldepflichten braucht, hilft ein kostenloses E‑Book mit aktuellen Cyber‑Security-Empfehlungen. Der Leitfaden erklärt, welche Schritte Priorität haben, wie Sie Abläufe an kurze Meldefristen anpassen und welche rechtlichen Aspekte Sie beachten müssen. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

Countdown zur Compliance läuft

Nach sektorspezifischen Treffen plant CISA allgemeine Sitzungen Ende März und Anfang April. Alle Gespräche werden aufgezeichnet und fließen in das öffentliche Regelungsverfahren ein.

Bereits Anfang Februar hatte ein CISA-Vertreter Neuigkeiten innerhalb weniger Wochen angekündigt – diese Konsultationsrunde scheint die angekündigte Entwicklung zu sein. Sicherheitsexperten raten betroffenen Unternehmen, nicht auf den finalen Text zu warten. Sie sollten bereits jetzt klare Protokolle für Lösegeldzahlungen entwickeln, die Cybersicherheit ihrer Lieferanten prüfen und ihre Incident-Response-Pläne an die strengen Fristen anpassen.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.