أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية CISA عن تأجيل إصدار القاعدة النهائية الخاصة بالإبلاغ عن الحوادث السيبرانية لمشغلي البنية التحتية الحيوية، حيث أصبح الموعد الجديد في مايو 2026 بدلاً من أكتوبر 2025 كما كان محدداً سابقاً. وبحسب جدول الأعمال التنظيمي الصادر عن مكتب الإدارة والميزانية الأميركي OMB، فإن هذا التأجيل يمنح الوكالة وقتاً إضافياً لإعادة النظر في مقترحاتها بعد موجة انتقادات من جهات صناعية وتشريعية.
تصدر القاعدة تنفيذاً لقانون الإبلاغ عن الحوادث السيبرانية للبنية التحتية الحيوية CIRCIA الصادر عام 2022، والذي ألزم الوكالة بوضع إطار يُلزم المشغلين بالإبلاغ عن أي حادث سيبراني مشمول خلال 72 ساعة من اكتشافه، والإبلاغ خلال 24 ساعة عن أي دفع فدية ناتج عن هجوم برمجيات فدية. ويمنح القانون CISA سلطة وضع القواعد التفصيلية بما يشمل تحديد معاني مصطلحات رئيسية مثل “الكيان المشمول” و”الحادث السيبراني المشمول”.
اعتراضات على نطاق التطبيق وتعريف الحوادث
أثارت القواعد المقترحة من CISA اعتراضات واسعة، إذ رأى مشرعون وخبراء أن الوكالة تجاوزت النطاق الذي حدده الكونغرس. ومن أبرز الانتقادات أن تعريف “الكيان المشمول” جاء أوسع بكثير من المقصود في CIRCIA، حيث شمل أي جهة تعمل ضمن أحد القطاعات الـ16 للبنية التحتية الحيوية إذا تجاوزت معايير الحجم الصغير المحددة من وكالة إدارة الأعمال الصغيرة الأمريكية SBA. وتقدر CISA أن هذه القاعدة ستنطبق على أكثر من 300 ألف جهة.
كما طالت الانتقادات تعريف “الحوادث السيبرانية المشمولة” الذي اعتبره البعض فضفاضاً للغاية، إضافة إلى متطلبات تفصيلية مطلوبة في تقارير الحوادث قد تثقل كاهل المؤسسات. دعا نواب في الكونغرس CISA إلى إعادة الانخراط مع القطاع الخاص لمعالجة هذه الملاحظات، ومن المتوقع أن يجري إدخال تعديلات جوهرية على القاعدة خلال فترة التأجيل.
إطار تنظيمي بانتظار الحسم
يضع القانون CISA في موقع أساسي لتنظيم الإبلاغ عن الحوادث عبر القطاعات كافة، فيما تواصل جهات قانونية واستشارية متخصصة تقديم المشورة للعملاء بشأن كيفية الامتثال لمتطلبات الإبلاغ الأمني. ومن المتوقع أن يظل الملف محور متابعة دقيقة خلال الفترة المقبلة إلى حين صدور القاعدة النهائية.
