Negli Stati Uniti, la Cybersecurity Information Sharing Act del 2015, conosciuta come CISA, ha ottenuto un’estensione significativa di nove mesi, evitando così il rischio di una scadenza definitiva a fine 2026. Questo rinvio risulta cruciale e fa parte di un pacchetto di finanziamento del Dipartimento della Sicurezza Interna (DHS) per l’anno 2026.
Contesto legislativo e implicazioni
Il DHS Appropriations Act è stato approvato dalla Camera dei Rappresentanti il 22 gennaio, superando le obiezioni di alcuni membri del partito Democratico riguardo al finanziamento della Immigration and Customs Enforcement (ICE), un’agenzia controversa sotto il DHS. Attualmente, il pacchetto è in attesa di approvazione da parte del Senato, dove è atteso un esame entro la fine del mese.
Funzione della CISA
La legge CISA del 2015 consente alle organizzazioni di segnalare e condividere informazioni sui rischi informatici e sugli incidenti senza il timore di azioni legali.
Introdotta durante l’amministrazione Obama, la legge prevede una clausola di revisione dopo dieci anni, consentendo così ai legislatori di esaminarla.
Nel 2026, i legislatori stavano già lavorando a una nuova normativa per sostituire la CISA. Tuttavia, l’improvviso shutdown del governo avvenuto il 1° ottobre ha causato una breve interruzione della legge, anche se gli effetti sulla condivisione delle informazioni sono risultati limitati.
Reazioni e prospettive future
Cynthia Kaiser, vicepresidente senior del Ransomware Research Center presso Halcyon, ha commentato l’estensione della legislazione, affermando che ogni progresso verso la creazione di protezioni formali per la condivisione delle informazioni tra i settori pubblico e privato rappresenta un passo nella giusta direzione. “Se questa legislazione viene approvata, l’industria avrà una rinnovata, seppur temporanea, protezione legale per condividere informazioni critiche sui rischi,” ha dichiarato.
Collaborazione come strategia difensiva
Marc van Zadelhoff, CEO di Mimecast, ha sottolineato che l’estensione della CISA non rappresenta solo una questione di routine legislativa, ma un riconoscimento dell’importanza della collaborazione come strategia di difesa informatica efficace. “Dopo la breve ma preoccupante interruzione durante lo shutdown di ottobre, il rinnovo della CISA riafferma un principio fondamentale: la trasparenza non è una responsabilità, ma un vantaggio operativo”, ha spiegato.
Secondo Zadelhoff, l’estensione offre ai leader della sicurezza ciò di cui hanno maggiormente bisogno: protezione legale per condividere informazioni sulle minacce senza il timore di diventare capri espiatori. “Senza questa protezione, le organizzazioni operano in isolamento, creando lacune che possono essere sfruttate dai nemici. È fondamentale che la responsabilità sia distribuita in modo equo, proprio come il rischio informatico.”
Finanziamento per la sicurezza informatica
Il DHS Appropriations Act non solo finanzia il lavoro di varie agenzie sotto la sua giurisdizione, ma stabilisce anche missioni strategiche annuali per la Cybersecurity and Infrastructure Security Agency (CISA). Questa agenzia svolge un ruolo simile a quello del National Cyber Security Centre nel Regno Unito. Per l’anno in corso, l’atto prevede un finanziamento totale di $2.6 miliardi, di cui $763 milioni destinati alle operazioni informatiche, inclusa la gestione delle vulnerabilità e la ricerca delle minacce.
Inoltre, l’atto destina $20 milioni per affrontare minacce informatiche critiche provenienti dalla Cina. Questa decisione indica un possibile cambiamento nel modo in cui l’agenzia interagisce con partner internazionali. È previsto che l’agenzia coordini le proprie attività con altri dipartimenti governativi per valutare le strategie di engagement nel campo della cybersecurity a livello globale.
Entro la fine del 2026, in attesa dell’approvazione del pacchetto di finanziamento, la Cybersecurity and Infrastructure Security Agency (CISA) presenterà un rapporto dettagliato sui processi e sulle barriere nell’offrire servizi di cybersecurity. Il documento analizzerà anche i costi e i tempi necessari per tale coinvolgimento.
