CISA延长网络事件报告规则截止日期

2025年9月10日 作者：Kim Peretti和Scott Hilsen

网络安全和基础设施安全局(CISA)已延长发布关键基础设施实体强制性事件报告最终规则的截止日期。原定2025年10月的截止日期被推迟六个月至2026年5月。

背景与法规要求

根据2022年通过的《关键基础设施网络事件报告法案》(CIRCIA)，关键基础设施实体必须向CISA报告网络安全事件和赎金支付情况。[1] 报告义务的具体细节由CISA通过适用规则制定，但CIRCIA规定了具体的报告时限。法规要求CISA的最终规则必须确保实体在合理认为发生"重大网络事件"后72小时内，或在支付赎金后24小时内提交报告。

规则制定进程

• 2022年9月：CISA发布信息请求，并与利益相关者举办了一系列听取意见会议
• 2024年3月27日：CIRCIA通过两年后，CISA宣布了拟议规则
• 2024年4月初：发布拟议规则制定通知(NPRM)，包含网络事件和赎金支付报告的建议法规
• 随后举行了公开评论期，允许对NPRM提交书面评论

延期原因与影响

随着2025年10月最终确定和发布规则的原定截止日期临近，考虑到大量公众评论，CISA为自己额外提供了六个月时间。这一延期为CISA提供了急需的时间来整合所有反馈并简化事件报告要求。

根据联邦法律，规则在《联邦公报》发布后至少30天才会生效，因此关键基础设施实体也将获得更多合规时间。

当前建议

在此期间，CISA鼓励相关实体通过联系report@cisa.gov或(888) 282-0870，分享有关异常网络活动和/或网络事件的信息。

[1] 关键基础设施实体包括以下16个行业：化学、商业设施、通信、关键制造业、水坝、国防工业基地、应急服务、能源、金融服务、食品和农业、政府服务和设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废物、运输系统、供水和废水处理。