DHS rilascia nuovi regolamenti per la cybersecurity: impatto sui contraenti

Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha recentemente emesso nuovi regolamenti di cybersecurity con l'obiettivo di proteggere le informazioni non classificate controllate (CUI). Questi regolamenti, attesi da tempo, modificano e aggiungono alle Homeland Security Acquisition Regulations (HSAR) e saranno integrati nelle future gare d'appalto, incluso nei contratti commerciali emessi sotto la Federal Acquisition Regulation (FAR) Parte 12. Questi regolamenti si collegano a requisiti esistenti e futuri del Dipartimento della Difesa degli Stati Uniti (DoD) e del Federal Acquisition Regulatory Council (FAR Council) e entreranno in vigore dal 21 Luglio 2023.

Analisi dettagliata dei regolamenti

I nuovi regolamenti non solo stabiliscono come i contraenti devono proteggere le CUI, ma anche quali sono i nuovi requisiti di segnalazione in caso di incidenti di cybersecurity, e in alcuni casi, richiedono valutazioni di terze parti. Questi regolamenti comporteranno costi aggiuntivi per i contraenti, ma secondo il DHS, tali costi sono necessari per proteggere le CUI e altre informazioni critiche. Sono stati introdotti tre nuovi regolamenti: HSAR 3052.204-71, HSAR 204-72 e HSAR 3052.204-73, che regolamentano l'accesso dei dipendenti dei contraenti alle CUI, le misure di sicurezza, la notifica di incidenti e il monitoraggio del credito.

Controlli di sicurezza specifici del DHS e definizione di CUI

Curiosamente, il DHS ha deciso di non utilizzare come baseline i controlli di sicurezza delineati nel National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171, ma piuttosto si basa sui controlli di sicurezza delineati dallo stesso DHS. Inoltre, il DHS ha sviluppato una definizione di CUI che differisce dalle definizioni esistenti nel DoD. La definizione di CUI data dal DHS include informazioni critiche per l'infrastruttura, informazioni sensibili sulla sicurezza, informazioni su tecnologia in sviluppo o attuale, informazioni sulla sicurezza fisica e PII, tra le altre cose. Il DHS sta lavorando per aggiornare le politiche di sicurezza, con la promessa di sostituire le politiche e procedure attuali una volta che saranno finalizzate.

Ulteriori requisiti dei nuovi regolamenti

I requisiti base del regolamento si applicano quando le CUI sono gestite come parte dei requisiti contrattuali. Vi sono requisiti ulteriori per i contraenti che hanno accesso a un sistema governativo o operano un sistema per conto del DHS. Questi includono la necessità di ottenere un'autorizzazione all'operazione (ATO), completare il processo di autorizzazione alla sicurezza (SA) in linea con la DHS Policy Directive 4300A, e sottoporsi a valutazioni di terze parti. Le nuove regole pongono un'enfasi particolare sulla notifica degli incidenti, la formazione dei dipendenti e l'adeguamento ai severi standard di sicurezza delineati dal DHS.