當地時間2021年6月17日，CNN報道，在一系列威脅國家經濟和國家安全的勒索軟件攻擊之后，美國立法者正在準備立法，要求大量公共和私人實體在網絡安全入侵出現24小時內向政府報告。該法案草案由弗吉尼亞州民主黨參議員華納（Mark Warner）、佛羅里達州的共和黨人馬爾科·盧比奧（Marco Rubio）和緬因州的蘇珊·柯林斯（Susan Collins）共同發(fā)起，要求向國土安全部的網絡安全和基礎設施局（Cybersecurity and Infrastructure Agency）報告網絡入侵事件。CISA將與國家情報總監(jiān)、管理和預算辦公室（Office of Management and Budget）、國防部（Defense Department）和聯邦首席信息官（Federal Chief Information Officer）合作，制定規(guī)則，規(guī)定誰必須準確報告何種類型的入侵。

　　這一倡議反映了國會再次努力通過期待已久的有關網絡安全入侵報告的聯邦法規(guī)。目前沒有統(tǒng)一的聯邦標準，批評人士多年來一直認為，這是保護美國免受網絡攻擊的障礙。華納是參議院情報委員會（Senate Intelligence Committee）主席，盧比奧是該委員會的共和黨高層，柯林斯至少從2012年起就一直在推動制定全面的聯邦網絡安全立法。這是最早應對一系列攻擊的法案之一，這些攻擊始于太陽風（SolarWinds）的入侵，并繼續(xù)通過微軟Exchange遭黑客攻擊，以及殖民管道（Colonial Pipeline）和肉類供應商JBS的勒索軟件事件。無論在眾議院還是參議院，這都不會是最后一次。

　　幾個月來，華納一直在推動這個想法。在今年2月華納委員會舉行的聽證會上，這位弗吉尼亞州民主黨人、其他參議員以及太陽風（SolarWinds）、微軟（Microsoft）和火眼（FireEye）的證人討論了華納一直以來的想法。人們擔心的是，如果FireEye沒有主動透露自己是太陽風供應鏈黑客襲擊的受害者，損失可能會更嚴重。太陽風的供應鏈黑客襲擊讓9個聯邦機構和許多科技公司受到了影響。

　　6月6日在全國廣播公司（NBC）的《會見媒體》（Meet the Press）節(jié)目中，華納表示：“我們應該落實，我們已經通過兩黨立法來做到這一點，要求當公司受到攻擊時，向政府報告。”現在沒有任何要求。“

　　美國有線電視新聞網（CNN）獲得的這份在華盛頓流傳的法案，將適用于美國政府機構、聯邦承包商以及關鍵基礎設施所有者和運營商，比如制造業(yè)、能源和金融服務行業(yè)的企業(yè)。行業(yè)代表和行業(yè)團體已經收到了討論草案的副本。根據討論草案，這些實體將被要求向美國國土安全部（Department of Homeland Security）的網絡安全和基礎設施安全局（Cybersecurity and Infrastructure Security Agency）提交遭網絡入侵報告。該法案將指示該機構建立一個接收報告的安全機制，對提交網絡入侵通知報告的公司的責任保護。網絡安全專家表示，這對確保企業(yè)不怕披露遭攻擊行為，并幫助美國官員加強國家的網絡安全至關重要。一些行業(yè)已經有了更嚴格的報告要求。例如，美國運輸安全管理局（Transportation Security Administration）最近對美國管道公司實施了12小時的違規(guī)報告要求。

　　根據法案草案，這些要求將優(yōu)先于24小時的最后期限。該法案草案要求國土安全部制定與實施該法律相關的定義和要求，并要求國土安全部及其網絡安全機構就這些通知向國會提交年度報告。

　　美國網絡安全與基礎設施安全局（Cybersecurity and Infrastructure Security Agency）一名高級官員本周呼吁向該機構報告更多網絡安全事件，稱這將有助于美國政府保護全國關鍵行業(yè)免受網絡攻擊。”我們需要了解國家網絡安全風險的能力，“該機構網絡安全執(zhí)行助理主任埃里克·戈爾茨坦（Eric Goldstein）6月15在眾議院國土安全委員會（House Homeland Security Committee）的聽證會上說。”我們需要了解敵人是在哪里侵入這個國家的網絡。我們需要了解他們入侵時使用的技術。我們需要了解他們正在做什么或試圖做什么。我們得到的這類信息越多，我們就能保護其他人。“戈爾茨坦對議員們說：”作為一個國家，我們越能通過其他途徑推動網絡安全事件向CISA報告，就像TSA最近按照他們的指示所做的那樣，當然也像你們的幾位同事所建議的那樣，這將有助于推動這一變化。“

　　立法草案要求，除了入侵報告外，實體還必須提供定期更新。根據這些規(guī)則，最初的報告和更新至少都必須包含一系列信息，比如受到影響的網絡、黑客使用的戰(zhàn)術以及受害者的聯系信息。不遵守該法律的聯邦承包商將面臨最高的懲罰，包括不再有資格獲得未來的合同。關鍵的基礎設施所有者或網絡事故響應公司如果不遵守規(guī)定或超過24小時，就可能面臨最高相當于其上一年總收入0.5%的罰款。

　　鑒于該法案的重點是CISA，很可能會有一個不是華納的委員會來審查該法案，即國土安全與政府事務委員會。熟悉該委員會計劃的消息人士說，該委員會的共和黨領袖、俄亥俄州的羅布·波特曼（Rob Portman）一直在制定自己的事件報告立法。

　　眾議院也有幾個委員會在研究這個想法。網絡空間日光浴室委員會也一直在研究這個問題。拜登（Joe Biden）總統(tǒng)的行政命令將要求聯邦承包商報告事故，美國運輸安全管理局（Transportation Security Administration）也對管道運營商發(fā)布了嚴格的報告規(guī)則。

　　每個州都有自己的網絡違規(guī)報告法，但它們主要側重于公開披露涉及敏感個人信息的違規(guī)行為。年復一年，美國國會都未能制定一部全國性的網絡入侵報告法。