Nationale Cybersicherheitsstrategie Umsetzungsplan & Auswirkungen
14.07.2023
Interlynk
Am 13. Juli veröffentlichte das Weiße Haus den Nationalen Cybersecurity-Strategie-Implementierungsplan – einen Fahrplan zur Koordination der Bemühungen, um die strategischen Ziele zu erreichen, die mit der im März veröffentlichten Nationalen Cybersecurity-Strategie festgelegt wurden.
Dieser Plan soll keine erschöpfende Liste der Aktivitäten sein, die eine Bundesbehörde unternimmt. Stattdessen ist er eine Sammlung von „65 hochwirksamen Initiativen, die Sichtbarkeit auf der Führungsebene und interagency Koordination erfordern“. Das Dokument selbst gilt als „erste Iteration“ und „lebendig“ mit der Absicht jährlicher Aktualisierungen.
Die Implementierung ist in fünf Säulen unterteilt, die jeweils in strategische Ziele unterteilt sind, die aus mehreren Initiativen bestehen. Jede Initiative ist einer Behörde und einem Zeitrahmen zugeordnet.
Implementierungsziele
Die fünf Säulen und die dazugehörigen Ziele sind:
Säule Eins: Kritische Infrastruktur verteidigen
Ziele:
1.1 Anforderungen an die Cybersicherheit zur Unterstützung der nationalen Sicherheit und der öffentlichen Sicherheit festlegen
1.2 Zusammenarbeit zwischen öffentlichem und privatem Sektor ausbauen
1.3 Bundeszentren für Cybersecurity integrieren
1.4 Aktuellen Bundesplan für Incident Response und die dazugehörigen Prozesse aktualisieren
1.5 Bundesverteidigungen modernisieren
Säule Zwei: Bedrohungsakteure stören und zerschlagen
Ziele:
2.1 Bundesmaßnahmen zur Störung integrieren
2.2 Operative Zusammenarbeit zwischen öffentlichem und privatem Sektor verbessern, um Gegner zu stören
2.3 Geschwindigkeit und Umfang des Informationsaustauschs und der Benachrichtigung von Opfern erhöhen
2.4 Missbrauch von in den USA ansässiger Infrastruktur verhindern
2.5 Cyberkriminalität bekämpfen, Ransomware besiegen
Säule Drei: Marktkräfte gestalten, um Sicherheit und Widerstandsfähigkeit voranzutreiben
Ziele:
3.1 [Keine Spezifikation]
3.2 Entwicklung sicherer IoT-Geräte vorantreiben
3.3 Haftung für unsichere Softwareprodukte und -dienstleistungen verschieben
3.4 Bundesmittel und andere Anreize nutzen, um Sicherheit zu integrieren
3.5 Bundesbeschaffung nutzen, um Verantwortung zu verbessern
3.6 Eine Bundescyberversicherung prüfen
Säule Vier: In eine widerstandsfähige Zukunft investieren
Ziele:
4.1 Technische Grundlage des Internets sichern
4.2 Forschung und Entwicklung für Cybersicherheit auf Bundesebene neu beleben
4.3 Auf unsere post-quanten Zukunft vorbereiten
4.4 Unsere saubere Energiezukunft sichern
4.5 [Keine Spezifikation]
4.6 Eine nationale Strategie entwickeln, um unsere Cyber-Arbeitskräfte zu stärken
Säule Fünf: Internationale Partnerschaften schmieden, um gemeinsame Ziele zu verfolgen
Ziele:
5.1 Koalitionen bilden, um Bedrohungen für unser digitales Ökosystem entgegenzuwirken
5.2 Kapazität internationaler Partner stärken
5.3 Fähigkeit der USA ausbauen, Verbündeten und Partnern zu helfen
5.4 Koalitionen bilden, um globale Normen für verantwortungsvolles staatliches Verhalten zu verstärken
5.5 Globale Lieferketten für Informations-, Kommunikations- und Betriebstechnologieprodukte und -dienstleistungen sichern
Implikationen Zeitlinie
Das Dokument umfasst 65 Initiativen, von denen viele einen Bezug zum Privatsektor haben. Tatsächlich gibt es im Dokument zwölf direkte Verweise auf öffentlich-private Partnerschaften.
Wir haben jedoch die folgenden Initiativen identifiziert, die die klarsten Auswirkungen auf den Privatsektor haben.
4Q 23
2.4.1: Veröffentlichen Sie eine Bekanntmachung über den Vorschlag zur Regelsetzung zu Anforderungen, Standards und Verfahren für Infrastruktur-als-eine-Dienstleistung (IaaS) Anbieter und Wiederverkäufer
3.2.1: Umsetzung der Anforderungen der Federal Acquisition Regulation (FAR) gemäß dem Gesetz zur Verbesserung der Cybersicherheit des Internets der Dinge (IoT) von 2020
3.2.2: Initiierung eines Sicherheitskennzeichnungsprogramms für IoT der US-Regierung
5.5.3: Verwaltung des Public Wireless Supply Chain Innovation Fund (PWSCIF) einleiten
1Q FY24
2.1.1 Veröffentlichen Sie eine aktualisierte Cyber-Strategie
3.5.1 Umsetzung der erforderlichen Änderungen der Federal Acquisition Regulation (FAR) gemäß EO 14028
4.1.2 Förderung der Sicherheit von Open-Source-Software und der Einführung von speichersicheren Programmiersprachen
4.2.1 Beschleunigung der Reife, Einführung und Sicherheit von speichersicheren Programmiersprachen
4.4.1 Förderung der Einführung von Cyber-Sicherheitsprinzipien, die von Grund auf sicher gestaltet sind, durch deren Integration in Bundesprojekte
2Q FY24
2.2.1 Identifizierung von Mechanismen für eine erhöhte gegnerische Störung durch öffentlich-private operationale Zusammenarbeit
3.3.1 Untersuchung von Ansätzen zur Entwicklung eines langfristigen, flexiblen und dauerhaften Haftungsrahmens für Software
3Q FY24
4.1.5 Zusammenarbeit mit wichtigen Interessengruppen zur Förderung der sicheren Internet-Routing
4Q FY24
1.2.1 Erweiterung der öffentlich-privaten Partnerschaften zur Förderung der Entwicklung und Einführung von sicherheitsbewusster und von Grund auf sicherer Technologie
3.4.3 Priorisierung von Cybersicherheitsforschung, -entwicklung und Demonstration von sozialer, verhaltensbezogener und wirtschaftlicher Forschung in der Cybersicherheit
1Q FY25
1.1.3 Erhöhung der Nutzung von Rahmenbedingungen und internationalen Standards durch die Agenturen, um die regulatorische Angleichung zu fördern
2Q FY25
3.3.2 Förderung von Software-Listen von Materialien (SBOM) und Minderung des Risikos von nicht unterstützter Software
4Q FY25
3.3.3 Koordinierte Offenlegung von Sicherheitsanfälligkeiten
Implikationsdetails
1.1.3: Nutzung von Rahmenwerken und internationalen Standards durch die Agenturen erhöhen, um die regulatorische Ausrichtung zu informieren
Implikation: NIST wird das Cybersecurity Framework (CSF) 2.0 herausgeben und technische Unterstützung bei der Ausrichtung von Vorschriften an internationalen Standards bieten.
Fertigstellungsdatum: 1. Quartal FY 25
1.2.1 Öffentliche-private Partnerschaften ausbauen, um die Entwicklung und Annahme von sicherheitsorientierter und standardmäßiger Technologie voranzutreiben
Implikation: CISA wird mit Unterstützung von NIST sichere Prinzipien und Praktiken entwickeln und kollektive Maßnahmen zur Annahme dieser Prinzipien und besten Praktiken vorantreiben.
Fertigstellungsdatum: 4. Quartal FY24
2.1.1 DOD Cyberstrategie veröffentlichen und aktualisieren
Implikation: DOD wird seine Cyberstrategie aktualisieren, um sich auf die Herausforderungen durch Nationen zu konzentrieren. Dies könnte regulatorische Anforderungen für die Zusammenarbeit mit dem DOD aktualisieren und Projekte zur Schaffung neuer Fähigkeiten initiieren, die private Partnerschaften erfordern.
Fertigstellungsdatum: 1. Quartal FY24
2.2.1 Mechanismus zur Erhöhung der adversarialen Störung durch öffentliche-private operationale Zusammenarbeit identifizieren
Implikation: ONCD wird mit dem privaten Sektor zusammenarbeiten, um die Fähigkeiten zur adversarialen Störung zu erhöhen. In Kombination mit 2.1.3 und 2.1.5 ist dies ein Fall für die Erhöhung der Fähigkeiten, des Tempos und der Intensität von adversarialen Störungen.
Fertigstellungsdatum: 2. Quartal FY24
2.4.1 Bekanntmachung eines Vorschlags zur Regelung von Anforderungen, Standards und Verfahren für Infrastruktur-als-eine-Dienstleistung (IaaS)-Anbieter und -Wiederverkäufer
Implikation: Die NPR konzentriert sich auf die Klarstellung von Anforderungen an ‘Ausnahmen’ von Standards und Verfahren und gilt für IaaS.
Fertigstellungsdatum: 2. Quartal FY23
3.2.1 Anforderungen des Federal Acquisition Regulation (FAR) gemäß dem Gesetz zur Verbesserung der Cybersecurity des Internet der Dinge (IoT) von 2020 umsetzen
Implikation: Änderungen des FAR würden Anforderungen für IoT-Geräte festlegen, die an Bundesbehörden verkauft werden.
Fertigstellungsdatum: 4. Quartal FY23
3.3.1 Ansätze zur Entwicklung eines langfristigen, flexiblen und dauerhaften Softwarehaftungsrahmens erkunden
Implikation: Der Haftungswechsel für Software ist eines der am meisten gefürchteten Aspekte der Cybersecurity-Strategie 2023. Diese Initiative lädt Teilnehmer wie die Wissenschaft und Regulierungsbehörden dazu ein, Optionen für die Umsetzung eines solchen Wechsels zu erkunden. Gleichzeitig sind wir perplex, warum es fast ein Jahr braucht.
Fertigstellungsdatum: 2. Quartal FY24
3.3.2 Software-Bestandsverzeichnis (SBOM) vorantreiben und das Risiko nicht unterstützter Software mindern
Implikation: Die Initiative will SBOM-Skalen und Umsetzungsengpässe identifizieren und reduzieren sowie mit der internationalen Gemeinschaft zusammenarbeiten, um eine global zugängliche Datenbank für abgelaufene/nicht unterstützte Software zu erstellen.
Fertigstellungsdatum: 2. Quartal FY25
3.3.3 Koordinierte Offenlegung von Schwachstellen
Implikation: Die koordinierte Offenlegung von Schwachstellen ist heute eine Ad-hoc-Praxis. CISA wird daran arbeiten, Unterstützung für die Erwartung einer koordinierten Offenlegung von Schwachstellen zwischen öffentlichen und privaten Akteuren aufzubauen. Dies dürfte zu einer Reihe von Empfehlungen führen, die der Privatsektor annehmen kann.
Fertigstellungsdatum: 4. Quartal FY25
3.4.3 Priorisieren von Cybersecurity-Forschung, Entwicklung und Demonstration sozialer, verhaltensbezogener und wirtschaftlicher Forschung in der Cybersecurity
Implikation: Die National Science Foundation wird Auszeichnungen für sicherheitsbezogene Forschung vergeben.
Fertigstellungsdatum: 4. Quartal FY24
3.5.1 Änderungen des Federal Acquisition Regulation (FAR), die unter EO 14028 erforderlich sind, umsetzen
Implikation: Das ist das WICHTIGE. Änderungen des FAR werden die Anforderungen von EO14028 in Bezug auf den Bundeserwerb formalisieren. Daher sollte die Industrie aktiv am öffentlichen Kommentierungsprozess teilnehmen.
Fertigstellungsdatum: 1. Quartal FY24
4.1.2 Die Sicherheit von Open-Source-Software und die Einführung speichersicherer Programmiersprachen fördern
Implikation: Initiativen zur Sicherheit von Open-Source-Software (OS3I) werden eingerichtet, um die Einführung speichersicherer Sprachen zu fördern und die Sicherheitsbasis des Open-Source-Software-Ökosystems zu erhöhen.
Fertigstellungsdatum: 1. Quartal FY24
4.1.5 Mit wichtigen Interessengruppen zusammenarbeiten, um sicheres Internet-Routing voranzutreiben
Implikation: Ein Fahrplan zur Erhöhung der Annahme sicherer Internet-Routing-Techniken, einschließlich der Identifizierung von Herausforderungen, Routing- und BGP-Anliegen, zur Schaffung von Best Practices und zur Identifizierung verwandter Forschungsbereiche.
Fertigstellungsdatum: 3. Quartal FY24
Fazit
Das Weiße Haus zeigt weiterhin sein Engagement für die Priorisierung der nationalen Cybersicherheit, und die Umsetzung ist im Gange. Der Umsetzungsplan bietet die Möglichkeit, den nationalen Plan und dessen Auswirkungen auf die private Industrie und das Open-Source-Ökosystem zu verstehen.