Nationaler Umsetzungsplan zur Cybersicherheitsstrategie und seine Auswirkungen
| Interlynk
Am 13. Juli veröffentlichte das Weiße Haus den National Cybersecurity Strategy Implementation Plan – einen Fahrplan zur Koordinierung der Bemühungen zur Erreichung der mit der im März veröffentlichten National Cybersecurity Strategy gesetzten strategischen Ziele.
Dieser Plan ist nicht als erschöpfende Liste aller Aktivitäten gedacht, die eine Bundesbehörde unternimmt. Stattdessen handelt es sich um eine Reihe von „65 hochwirksamen Initiativen, die Sichtbarkeit auf Führungsebene und behördenübergreifende Koordinierung erfordern“. Das Dokument selbst gilt als „erste Iteration“ und als „lebendig“, mit der Absicht jährlicher Aktualisierungen.
Die Umsetzung ist in fünf Säulen unterteilt, die jeweils in strategische Ziele unterteilt sind, die wiederum aus mehreren Initiativen bestehen. Jeder Initiative ist eine Behörde und ein Zeitplan zugeordnet.
Implementierungsziele
Die fünf Säulen und die damit verbundenen Ziele sind:
Säule Eins: Verteidigung kritischer Infrastrukturen
Ziele:
1.1 Festlegung von Cybersicherheitsanforderungen zur Unterstützung der nationalen Sicherheit und der öffentlichen Sicherheit
1.2 Skalierung der öffentlich-privaten Zusammenarbeit
1.3 Integration föderaler Cybersicherheitszentren
1.4 Aktualisierung des föderalen Vorfallreaktionsplans und der entsprechenden Prozesse
1.5 Modernisierung der föderalen Verteidigung
Säule Zwei: Störung und Zerschlagung von Bedrohungsakteuren
Ziele:
2.1 Integration föderaler Störungsaktivitäten
2.2 Verbesserung der operativen Zusammenarbeit zwischen öffentlichem und privatem Sektor zur Störung von Gegnern
2.3 Erhöhung der Geschwindigkeit und des Ausmaßes des Informationsaustauschs und der Benachrichtigung von Opfern
2.4 Verhinderung des Missbrauchs von in den USA ansässiger Infrastruktur
2.5 Cyberkriminalität bekämpfen, Ransomware besiegen
Säule Drei: Gestaltung von Marktkräften zur Förderung von Sicherheit und Resilienz
Ziele:
3.1 [Keine angegeben]
3.2 Förderung der Entwicklung sicherer IoT-Geräte
3.3 Haftungsverschiebung für unsichere Softwareprodukte und -dienstleistungen
3.4 Nutzung föderaler Zuschüsse und anderer Anreize zum Aufbau von Sicherheit
3.5 Nutzung der föderalen Beschaffung zur Verbesserung der Rechenschaftspflicht
3.6 Prüfung einer staatlichen Cyber-Versicherung
Säule Vier: Investition in eine resiliente Zukunft
Ziele:
4.1 Sicherung der technischen Grundlage des Internets
4.2 Neubelebung der föderalen Forschung und Entwicklung im Bereich Cybersicherheit
4.3 Vorbereitung auf unsere Post-Quanten-Zukunft
4.4 Sicherung unserer sauberen Energiezukunft
4.5 [Keine angegeben]
4.6 Entwicklung einer nationalen Strategie zur Stärkung unserer Cyber-Arbeitskräfte
Säule Fünf: Aufbau internationaler Partnerschaften zur Verfolgung gemeinsamer Ziele
Ziele:
5.1 Aufbau von Koalitionen zur Bekämpfung von Bedrohungen für unser digitales Ökosystem
5.2 Stärkung der Kapazitäten internationaler Partner
5.3 Ausbau der Fähigkeit der USA, Verbündeten und Partnern zu helfen
5.4 Aufbau von Koalitionen zur Stärkung globaler Normen für verantwortungsvolles staatliches Verhalten
5.5 Sicherung globaler Lieferketten für Informations-, Kommunikations- und Betriebstechnologieprodukte und -dienstleistungen
Zeitlinie der Auswirkungen
Das Dokument umfasst 65 Initiativen, von denen viele Anknüpfpunkte an den Privatsektor aufweisen. Tatsächlich enthält das Dokument zwölf direkte Verweise auf öffentlich-private Partnerschaften.
Wir haben jedoch die folgenden Initiativen identifiziert, die die deutlichsten Auswirkungen auf den Privatsektor haben.
4. Quartal 23
2.4.1: Veröffentlichung einer Ankündigung zur geplanten Verordnungsgebung über Anforderungen, Standards und Verfahren für Infrastructure-as-a-Service (IaaS)-Anbieter und -Wiederverkäufer
3.2.1: Umsetzung der Anforderungen der Federal Acquisition Regulation (FAR) gemäß dem Internet of Things (IoT) Cybersecurity Improvement Act von 2020
3.2.2: Initiierung eines IoT-Sicherheitskennzeichnungsprogramms der US-Regierung
5.5.3: Beginn der Verwaltung des Public Wireless Supply Chain Innovation Fund (PWSCIF)
1. Quartal GJ24
2.1.1: Veröffentlichung einer aktualisierten Cyber-Strategie
3.5.1: Umsetzung der unter EO 14028 erforderlichen Änderungen der Federal Acquisition Regulation (FAR)
4.1.2: Förderung der Sicherheit von Open-Source-Software und der Einführung von speichersicheren Programmiersprachen
4.2.1: Beschleunigung der Reife, Einführung und Sicherheit von speichersicheren Programmiersprachen
4.4.1: Förderung der Einführung von Cyber-Secure-by-Design-Prinzipien durch deren Integration in Bundesprojekte
2. Quartal GJ24
2.2.1: Identifizierung von Mechanismen zur verstärkten Störung gegnerischer Aktivitäten durch öffentlich-private operative Zusammenarbeit
3.3.1: Erforschung von Ansätzen zur Entwicklung eines langfristigen, flexiblen und dauerhaften Rahmens für die Softwarehaftung
3. Quartal GJ24
4.1.5: Zusammenarbeit mit wichtigen Stakeholdern zur Förderung von sicherem Internet-Routing
4. Quartal GJ24
1.2.1: Skalierung öffentlich-privater Partnerschaften zur Förderung der Entwicklung und Einführung von Secure-by-Design- und Secure-by-Default-Technologien
3.4.3: Priorisierung von Cybersicherheitsforschung, -entwicklung und -demonstration im Bereich der sozialen, verhaltensbezogenen und wirtschaftlichen Forschung in der Cybersicherheit
1. Quartal GJ25
1.1.3: Erhöhung der Nutzung von Frameworks und internationalen Standards durch Behörden, um die Angleichung von Vorschriften zu unterstützen
2. Quartal GJ25
3.3.2: Weiterentwicklung von Software-Stücklisten (SBOM) und Minderung des Risikos nicht unterstützter Software
4. Quartal GJ25
3.3.3: Koordinierte Offenlegung von Schwachstellen
Details zur Auswirkung
1.1.3: Erhöhung der Nutzung von Frameworks und internationalen Standards durch Behörden zur Förderung der regulatorischen Angleichung
Auswirkung: NIST wird das Cybersecurity Framework (CSF) 2.0 veröffentlichen und technische Unterstützung bei der Angleichung von Vorschriften an internationale Standards leisten.
Abschlussdatum: 1. Quartal GJ 25
1.2.1 Skalierung öffentlich-privater Partnerschaften zur Förderung der Entwicklung und Einführung von Secure-by-Design- und Secure-by-Default-Technologien
Auswirkung: CISA wird mit Unterstützung von NIST Prinzipien und Praktiken für Secure-by-Design und Secure-by-Default entwickeln und kollektive Maßnahmen zur Einführung solcher Prinzipien und Best Practices vorantreiben.
Abschlussdatum: 4. Quartal GJ 24
2.1.1 Veröffentlichung einer aktualisierten DOD-Cyberstrategie
Auswirkung: Das DOD wird seine Cyberstrategie aktualisieren und sich dabei auf die von Nationalstaaten ausgehenden Herausforderungen konzentrieren. Dies wird wahrscheinlich die regulatorischen Anforderungen für die Zusammenarbeit mit dem DOD aktualisieren und Projekte zum Aufbau neuer Kapazitäten schaffen, die private Partnerschaften erfordern.
Abschlussdatum: 1. Quartal GJ 24
2.2.1 Identifizierung von Mechanismen für eine verstärkte Störung von Angreifern durch öffentlich-private operative Zusammenarbeit
Auswirkung: ONCD wird mit dem Privatsektor zusammenarbeiten, um die Fähigkeiten zur Störung von Angreifern zu erhöhen. In Kombination mit 2.1.3 und 2.1.5 ist dies ein Argument für die Erhöhung der Kapazität, des Tempos und der Intensität von Störungsaktionen gegen Angreifer.
Abschlussdatum: 2. Quartal GJ 24
2.4.1 Veröffentlichung einer vorgeschlagenen Regelung (Notice of Proposed Rulemaking) zu Anforderungen, Standards und Verfahren für Infrastructure-as-a-Service (IaaS)-Anbieter und -Wiederverkäufer
Auswirkung: Die vorgeschlagene Regelung konzentriert sich auf die Klärung von Anforderungen für „Ausnahmen“ von Standards und Verfahren und gilt für IaaS.
Abschlussdatum: 2. Quartal GJ 23
3.2.1 Umsetzung der Anforderungen der Federal Acquisition Regulation (FAR) gemäß dem Internet of Things (IoT) Cybersecurity Improvement Act von 2020
Auswirkung: FAR-Änderungen würden Anforderungen für IoT-Geräte festlegen, die an Bundesbehörden verkauft werden.
Abschlussdatum: 4. Quartal GJ 23
3.3.1 Erforschung von Ansätzen zur Entwicklung eines langfristigen, flexiblen und dauerhaften Rahmens für die Softwarehaftung
Auswirkung: Die Verschiebung der Softwarehaftung ist einer der am meisten gefürchteten Aspekte der Cyberstrategie 2023. Diese Initiative lädt Akteure wie Wissenschaft und Regulierungsbehörden ein, Optionen für die Umsetzung einer solchen Verschiebung zu prüfen. Gleichzeitig wundert uns, warum dies fast ein Jahr in der Zukunft liegt.
Abschlussdatum: 2. Quartal GJ 24
3.3.2 Weiterentwicklung der Software-Stückliste (SBOM) und Minderung des Risikos nicht unterstützter Software
Auswirkung: Die Initiative zielt darauf ab, Lücken bei der Skalierung und Implementierung von SBOMs zu identifizieren und zu verringern sowie mit der internationalen Gemeinschaft zusammenzuarbeiten, um eine weltweit zugängliche Datenbank für Software am Ende der Lebensdauer/des Supports (End-of-Life/End-of-Support) aufzubauen.
Abschlussdatum: 2. Quartal GJ 25
3.3.3 Koordinierte Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure)
Auswirkung: Die koordinierte Offenlegung von Schwachstellen ist heute eine Ad-hoc-Praxis. CISA wird sich dafür einsetzen, die Erwartung einer koordinierten Offenlegung von Schwachstellen bei öffentlichen und privaten Stellen zu fördern. Dies führt wahrscheinlich zu einer Reihe von Empfehlungen, die der Privatsektor übernehmen kann.
Abschlussdatum: 4. Quartal GJ 25
3.4.3 Priorisierung von Cybersicherheitsforschung, -entwicklung und -demonstration sozialer, verhaltensbezogener und wirtschaftlicher Forschung im Bereich der Cybersicherheit
Auswirkung: Die National Science Foundation wird Fördermittel für Forschung im Bereich der Cybersicherheit vergeben.
Abschlussdatum: 4. Quartal GJ 24
3.5.1 Umsetzung von Änderungen der Federal Acquisition Regulation (FAR), die im Rahmen von EO 14028 erforderlich sind
Auswirkung: Dies ist das wegbereitende Vorhaben. FAR-Änderungen werden die Anforderungen von EO14028 an die Bundesbeschaffung formalisieren. Daher sollte sich die Branche aktiv an der Phase der öffentlichen Konsultation beteiligen.
Abschlussdatum: 1. Quartal GJ 24
4.1.2 Förderung der Sicherheit von Open-Source-Software und der Einführung von speichersicheren Programmiersprachen
Auswirkung: Es werden Open-Source-Software-Sicherheitsinitiativen (OS3I) ins Leben gerufen, um die Einführung speichersicherer Sprachen zu fördern und das Sicherheitsniveau des Open-Source-Software-Ökosystems zu erhöhen.
Abschlussdatum: 1. Quartal GJ 24
4.1.5 Zusammenarbeit mit wichtigen Stakeholdern zur Förderung von sicherem Internet-Routing
Auswirkung: Eine Roadmap zur Erhöhung der Akzeptanz sicherer Internet-Routing-Techniken, einschließlich der Identifizierung von Herausforderungen, Routing- und BGP-Problemen, der Erstellung von Best Practices und der Identifizierung relevanter Forschungsbereiche.
Abschlussdatum: 3. Quartal GJ 24
Fazit
Das Weiße Haus demonstriert weiterhin sein Engagement für die Priorisierung der nationalen Cybersicherheit, und die Umsetzung ist im Gange. Der Umsetzungsplan bietet die Gelegenheit, den nationalen Plan und seine Auswirkungen auf die Privatwirtschaft und das Open-Source-Ökosystem zu verstehen.