Системно значимые организации: от руководящих принципов к директивам NSM-22

NSM-22 представляет собой обновление политики безопасности критической инфраструктуры США, в котором особое внимание уделяется обязательному соблюдению требований, усиленному управлению рисками и расширению сотрудничества. Владельцы и операторы критической инфраструктуры должны подготовиться к этим изменениям, чтобы обеспечить безопасность и устойчивость своей деятельности.

📌NSM-22 модернизирует основы политики в целях противодействия технологическому прогрессу, растущим угрозам и геополитической напряженности.

📌Министерству внутренней безопасности (DHS) и Агентству по кибербезопасности и защите инфраструктуры (CISA) поручено возглавить скоординированные усилия по управлению рисками в 16 важнейших инфраструктурных секторах.

📌Меморандум подтверждает определение 16 секторов критической инфраструктуры и соответствующих SRMA, которые координируют деятельность в каждом секторе.

📌SRMA отвечают за разработку планов управления рисками для конкретного сектора и координацию с CISA.

📌В NSM-22 особое внимание уделяется разработке минимальных требований к безопасности и отказоустойчивости для объектов критически важной инфраструктуры, переходя от добровольных стандартов к обязательному соблюдению.

📌Перед регулирующими и надзорными органами поставлена задача разработать эти требования и механизмы подотчетности.

📌CISA поручено определить и поддерживать закрытый для общественности список SIE, которые получат приоритетный доступ к информации о снижении рисков и оперативным ресурсам.

📌NSM-22 вводит новый цикл управления рисками, требующий от SRMA выявлять, оценивать и определять приоритеты рисков в своих секторах. Кульминацией этого цикла станет разработка Национального плана управления рисками в сфере инфраструктуры на 2025 год.

📌NSM-22 знаменует собой значительный сдвиг в сторону регулирования, и в течение следующих 18 месяцев ожидается переход от добровольных стандартов к обязательному соблюдению.

📌Владельцам и операторам следует подготовиться к принятию новых директив и правил в области кибербезопасности, особенно в таких секторах, как аэропорты, трубопроводы, нефтегазовая отрасль и железнодорожный транспорт.

📌Соблюдение новых правил и дублирующих друг друга мандатов может быть дорогостоящим и трудоемким процессом. Организациям необходимо будет обеспечить безопасное осуществление инвестиций и их интеграцию в операционную деятельность.

📌В меморандуме не упоминаются дополнительные ресурсы для тех, кто находится на передовой, для чего в будущем может потребоваться финансирование со стороны Конгресса.

📌Владельцы должны усилить свою кибер-защиту, чтобы защитить активы, обеспечить непрерывность работы и выполнить свою общественную миссию. Последствия невыполнения этого требования включают физический, финансовый и репутационный ущерб.

📌Эффективное управление рисками потребует сотрудничества между федеральными агентствами, органами государственной власти штатов и местного самоуправления, организациями частного сектора и другими заинтересованными сторонами.

📌Владельцам и операторам следует взаимодействовать с отраслевыми координационными советами и соответствующими регулирующими органами, чтобы быть в курсе новых требований и соответствовать им.