تعتزم وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تنظيم سلسلة من اللقاءات الافتراضية المفتوحة ابتداء من 9 مارس 2026. وتستهدف هذه الخطوة جمع مرئيات القطاعات الحيوية حول سبل تخفيف أعباء الامتثال، وصياغة معايير أكثر دقة لتحديد الجهات الخاضعة لمتطلبات الإبلاغ، وذلك ضمن إطار قانون الإبلاغ عن الحوادث السيبرانية للبنية التحتية الحيوية، المعروف اختصاراً باسم CIRCIA، والصادر عام 2022.
ووفقاً للإشعار الرسمي، تسعى CISA إلى إتاحة فرصة إضافية ومحدودة لأصحاب المصلحة لتقديم تعليقاتهم على تفاصيل إشعار وضع القواعد المقترحة (NPRM) – وهو مسودة أولية لمشروع اللائحة التنظيمية – دون فتح فترة التعليقات الرسمية بالكامل في الوقت الراهن، مع الإبقاء على خيار مراجعة هذا التوجه إذا اقتضت الضرورة.
الجدول الزمني للقاءات القطاعية
حددت الوكالة مواعيد الجلسات بناء على تصنيف القطاعات الحيوية لضمان شمولية النقاش، وذلك وفق البرنامج التالي:
- 9 مارس 2026: قطاعات الكيماويات، والمياه والصرف الصحي، والسدود، والطاقة، والمفاعلات والمواد النووية، والنفايات.
- 12 مارس 2026: المرافق التجارية، والتصنيع الحرج، وقطاع الغذاء والزراعة.
- 17 مارس 2026: خدمات الطوارئ، والمرافق الحكومية، والرعاية الصحية والصحة العامة.
- 18 مارس 2026: الاتصالات، وأنظمة النقل، والخدمات المالية.
- 19 مارس 2026: قاعدة الصناعات الدفاعية، وتقنية المعلومات.
كما تعقد الوكالة جلستين عامتين يومي 31 مارس و2 أبريل 2026، مع التنبيه إلى أن هذه المواعيد قد تخضع للتغيير أو الإلغاء نتيجة ظروف تشغيلية أو تقلبات الطقس أو ضعف نسب التسجيل.
محاور النقاش: من المعايير الكمية إلى تعريف الحوادث
تركز هذه الجولات على قضايا تنظيمية وتقنية تهدف إلى ضبط نطاق الجهات الملزمة بالإبلاغ، ومعالجة ازدواجية القنوات الرقابية، وتتلخص أبرز المحاور في الآتي:
1. معيار حجم المنشأة
تستقصي الوكالة آراء القطاعات حول المنشآت التي قد تدرج ضمن قائمة الإبلاغ لمجرد استيفائها معيار الحجم، مثل عدد الموظفين أو العوائد، دون أن تكون مؤثرة استراتيجياً في قطاعها، وتبحث جدوى تعديل هذا المعيار أو الإبقاء عليه.
2. بدائل قطاعية متخصصة
تطرح CISA إمكانية اعتماد معايير بديلة لقطاعات محددة مثل المرافق التجارية والسدود والغذاء، وذلك في حال التخلي عن معيار الحجم العام. وفي قطاع الكيماويات، تدرس الوكالة اعتماد برنامج إدارة المخاطر (Risk Management Program) التابع لوكالة حماية البيئة (EPA) كبديل تنظيمي، خاصة في ظل تعثر تفويض برنامج معايير مكافحة الإرهاب في المرافق الكيميائية (CFATS).
3. قطاع النفط والغاز
يتمحور النقاش حول مدى كفاية تغطية شركات النفط والغاز عبر معيار الحجم، وما إذا كانت هذه المقاربة تضمن شمول الجهات الصحيحة التي ينبغي أن تخضع للرقابة.
4. الحوسبة السحابية والبرمجيات المفتوحة
تبحث الجلسات وضع معايير خاصة لمزودي الخدمات المدارة ومزودي الخدمات السحابية، لا سيما عند وقوع حوادث مرتبطة باستخدام البرمجيات مفتوحة المصدر، ومدى الحاجة لمتطلبات إبلاغ تتعلق بمستودعات الأكواد البرمجية.
5. تعريف الحادث السيبراني الجسيم
تطلب الوكالة مراجعة الأمثلة المقترحة للحوادث التي تصنف جسيمة، بالإضافة إلى تحسين آليات طلب المعلومات وإجراءات الاستدعاءات القضائية التي تلجأ إليها السلطات في حال امتناع الجهات عن التعاون.
مواءمة الأنظمة والمهل الزمنية
تضع CISA مسألة الحد من تضارب الأنظمة كأولوية قصوى، حيث تهدف إلى تنسيق متطلبات CIRCIA مع التزامات الإبلاغ الفيدرالية والمحلية لتفادي تكرار البلاغات وتخفيف العبء الإداري عن الشركات.
وبموجب القواعد المرتقبة، ستلتزم الجهات المشمولة بإبلاغ CISA عن الحوادث السيبرانية الجسيمة خلال 72 ساعة من اكتشافها، بينما تنخفض المهلة إلى 24 ساعة فقط في حالات دفع الفدية للمخترقين.
سياق التعديلات المرتقبة
تأتي هذه التحركات وسط جدل متزايد حول التكاليف المرتفعة للامتثال واتساع نطاق المسودة الأولية. وبحسب التحديثات التنظيمية، تم تأجيل موعد إصدار القاعدة النهائية إلى مايو 2026، ما يمنح الوكالة متسعاً من الوقت لضبط التعريفات القانونية وضمان سلاسة التطبيق قبل دخول القانون حيز التنفيذ الفعلي.
