Системно значимые организации: от руководящих принципов к директивам NSM-22
NSM-22 представляет собой обновление политики безопасности критической инфраструктуры США, в котором особое внимание уделяется обязательному соблюдению требований, усиленному управлению рисками и расширению сотрудничества. Владельцы и операторы критической инфраструктуры должны подготовиться к этим изменениям, чтобы обеспечить безопасность и устойчивость своей деятельности.
Обновленная основа политики:
📌NSM-22 модернизирует основы политики в целях противодействия технологическому прогрессу, растущим угрозам и геополитической напряженности.
📌Министерству внутренней безопасности (DHS) и Агентству по кибербезопасности и защите инфраструктуры (CISA) поручено возглавить скоординированные усилия по управлению рисками в 16 важнейших инфраструктурных секторах.
Агентства по управлению отраслевыми рисками (SRMAS):
📌Меморандум подтверждает определение 16 секторов критической инфраструктуры и соответствующих SRMA, которые координируют деятельность в каждом секторе.
📌SRMA отвечают за разработку планов управления рисками для конкретного сектора и координацию с CISA.
Минимальные требования к безопасности и отказоустойчивости:
📌В NSM-22 особое внимание уделяется разработке минимальных требований к безопасности и отказоустойчивости для объектов критически важной инфраструктуры, переходя от добровольных стандартов к обязательному соблюдению.
📌Перед регулирующими и надзорными органами поставлена задача разработать эти требования и механизмы подотчетности.
Системно важные организации (SIE):
📌CISA поручено определить и поддерживать закрытый для общественности список SIE, которые получат приоритетный доступ к информации о снижении рисков и оперативным ресурсам.
Новый цикл управления рисками:
📌NSM-22 вводит новый цикл управления рисками, требующий от SRMA выявлять, оценивать и определять приоритеты рисков в своих секторах. Кульминацией этого цикла станет разработка Национального плана управления рисками в сфере инфраструктуры на 2025 год.
Последствия для владельцев и операторов критически важной инфраструктуры
Усиление регулирования:
📌NSM-22 знаменует собой значительный сдвиг в сторону регулирования, и в течение следующих 18 месяцев ожидается переход от добровольных стандартов к обязательному соблюдению.
📌Владельцам и операторам следует подготовиться к принятию новых директив и правил в области кибербезопасности, особенно в таких секторах, как аэропорты, трубопроводы, нефтегазовая отрасль и железнодорожный транспорт.
Распределение ресурсов:
📌Соблюдение новых правил и дублирующих друг друга мандатов может быть дорогостоящим и трудоемким процессом. Организациям необходимо будет обеспечить безопасное осуществление инвестиций и их интеграцию в операционную деятельность.
📌В меморандуме не упоминаются дополнительные ресурсы для тех, кто находится на передовой, для чего в будущем может потребоваться финансирование со стороны Конгресса.
Кибер-защита:
📌Владельцы должны усилить свою кибер-защиту, чтобы защитить активы, обеспечить непрерывность работы и выполнить свою общественную миссию. Последствия невыполнения этого требования включают физический, финансовый и репутационный ущерб.
Сотрудничество:
📌Эффективное управление рисками потребует сотрудничества между федеральными агентствами, органами государственной власти штатов и местного самоуправления, организациями частного сектора и другими заинтересованными сторонами.
📌Владельцам и операторам следует взаимодействовать с отраслевыми координационными советами и соответствующими регулирующими органами, чтобы быть в курсе новых требований и соответствовать им.