La legge sulla condivisione delle informazioni relative alla cybersicurezza, conosciuta come Cybersecurity Information Sharing Act (CISA), è stata recentemente prorogata per altri nove mesi dal Congresso degli Stati Uniti. Questa decisione giunge in un momento cruciale, in cui si sta cercando di sviluppare una normativa che possa sostituire l’attuale legge, la quale era a rischio di scadenza alla fine del 2026.
Contesto e importanza della legge CISA
Introdotta per la prima volta nel 2015 durante l’amministrazione del presidente Obama, la CISA ha avuto come obiettivo principale quello di consentire alle organizzazioni di scambiare informazioni riguardanti minacce e incidenti informatici senza timore di azioni legali. Questa legge includeva una clausola di sunset che permetteva di rivedere e modificare la sua applicazione dopo dieci anni.
Le sfide del 2026
Nel 2026, i legislatori avevano iniziato a lavorare su una nuova legislazione per sostituire la CISA, ma un blocco del governo federale che è iniziato il 1° ottobre ha causato una breve interruzione della legge. Tuttavia, l’impatto di questa interruzione sulla condivisione di dati nel mondo reale è stato relativamente limitato.
Il nuovo rinnovo e le prospettive future
Il rinnovo della legge è stato incluso in un pacchetto di finanziamento per il Dipartimento della Sicurezza Nazionale (DHS) per il 2026 e ha superato un voto della Camera dei Rappresentanti, nonostante le obiezioni da parte di alcuni membri del partito Democratico. La legge ora attende di essere esaminata dal Senato, dove è probabile che venga approvata entro la fine del mese.
Opinioni degli esperti
Secondo Cynthia Kaiser, vicepresidente senior del Ransomware Research Center presso Halcyon, ogni avanzamento nella creazione di protezioni formali per la condivisione delle informazioni tra il settore pubblico e privato è un passo positivo. Se la legge viene approvata, le aziende otterranno una rinnovata, anche se temporanea, protezione legale per condividere informazioni critiche sulle minacce.
Riflessioni sull’importanza della collaborazione
Marc van Zadelhoff, CEO di Mimecast, ha sottolineato che l’estensione della legge non è solo una misura legislativa, ma un riconoscimento che la collaborazione è uno dei migliori metodi di difesa contro le minacce informatiche. Ha affermato che la trasparenza non deve essere vista come un rischio, ma piuttosto come un vantaggio operativo.
Questa estensione offre ai leader della cybersicurezza la protezione legale necessaria per condividere informazioni sulle minacce senza il timore di essere additati come colpevoli.
Senza questa protezione, le organizzazioni operano in isolamento, creando lacune che i nemici possono sfruttare facilmente.
Strategie per ottimizzare la condivisione delle informazioni
Zadelhoff ha suggerito che le aziende dovrebbero utilizzare questi nove mesi in modo strategico. Questo periodo rappresenta un’opportunità preziosa per integrare la responsabilità nei processi operativi, rafforzare la collaborazione tra i vari settori e migliorare il flusso di informazioni sulle minacce attraverso l’ecosistema.
Finanziamento e obiettivi del DHS
Oltre alle attività di vari enti sotto il suo ombrello, il pacchetto di approvazione del DHS stabilisce anche il finanziamento annuale e le missioni strategiche per la Cybersecurity and Infrastructure Security Agency (CISA). Quest’anno, sono stati stanziati complessivamente 2,6 miliardi di dollari, ma con un taglio rispetto agli anni precedenti.
Inoltre, il pacchetto include 763 milioni di dollari per operazioni informatiche, tra cui gestione delle vulnerabilità e attività di ricerca per contrastare le minacce informatiche, in particolare quelle provenienti dalla Cina. La legge prevede anche una revisione di come la CISA collabora con altre organizzazioni a livello internazionale.
Entro la fine del 2026, la CISA dovrà redigere un rapporto sui processi e le barriere nella fornitura di servizi di supporto e assistenza tecnica ad altri governi e operatori di infrastrutture critiche al di fuori degli Stati Uniti.
