Im Oktober letzten Jahres schlug der Rat der US-Bundesbeschaffungsbehörde (Federal Acquisition Regulation - FAR) zwei neue Vorschriften vor, von denen eine die Reaktionspraktiken auf Cybervorfälle beeinflussen wird. Der Anwendungsbereich ist begrenzt, da er nur für Auftragnehmer der Bundesregierung gilt, so dass die Reichweite nicht so groß sein wird. Diejenigen, die unter die neue Regelung fallen, werden jedoch mit größeren Veränderungen konfrontiert, da die Haftung ausgeweitet wird. Es ist von entscheidender Bedeutung, die Entwicklung der endgültigen Regelung zu verfolgen und zu prüfen, ob es wesentliche Änderungen gibt. Die Frist für öffentliche Stellungnahmen endete am 2. Februar 2024, und einige der geäußerten Vorschläge oder Bedenken könnten das Ergebnis beeinflussen.

Aufschlüsselung der vorgeschlagenen Regeln

Im Mai 2021 erließ US-Präsident Biden die robuste Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation. Sie enthält mehrere Bestimmungen zur Modernisierung und Einführung strengerer föderaler Cybersicherheitsstandards. Die vom FAR Council vorgeschlagenen Regeln stehen im Einklang mit dieser Anordnung und zeigen die anhaltende Bedeutung der Cybersicherheit in der heutigen digitalisierten Welt. Im Folgenden werden einige der wichtigsten Punkte genannt, aber wie immer sollte jeder Auftragnehmer, der diesen Regeln unterliegt, sie in ihrer Gesamtheit lesen, um alle Verpflichtungen zu verstehen und entsprechend zu planen.

FAR Case No. 2021- 0019 gilt im engeren Sinne für Bundesauftragnehmer, die ein Bundesinformationssystem bereitstellen oder pflegen. Ziel ist es, die Anforderungen für alle nicht klassifizierten Systeme zu standardisieren. Sie schreibt die Aufnahme spezifischer Vertragsklauseln für Cloud-basierte Systeme und nicht-Cloud-basierte Systeme vor, wie z. B. Systeme vor Ort. Beide Klauseln verlangen eine weitreichende Entschädigung und den Verzicht auf alle vorteilhaften Einreden, wodurch die Auftragnehmer einer größeren Haftung ausgesetzt werden.

FAR-Fall Nr. 2021-0017 würde für die meisten Auftragnehmer des Bundes gelten, da er sich auf diejenigen bezieht, die im Rahmen ihres Vertrags Informations- und Kommunikationstechnologiesysteme nutzen. Neben anderen Richtlinien legt diese Vorschrift strengere Anforderungen für die Meldung von Cybervorfällen fest und weist die Auftragnehmer an, eine umfassende Software-Stückliste zu entwickeln. Sie müssen Sicherheitsvorfälle innerhalb von acht Stunden nach ihrer Entdeckung über ein spezielles Meldesystem melden. Alle Berichte müssen alle 72 Stunden aktualisiert werden, bis die Ausmerzungs- oder Abhilfephase abgeschlossen ist.

Auch die Befugnisse der Agentur werden durch diese Vorschrift erweitert. Im Falle einer Sicherheitsverletzung muss der Auftragnehmer der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), dem FBI und dem Auftraggeber uneingeschränkten Zugang zu allen kompromittierten Systemen und Mitarbeitern gewähren. Die CISA würde auch Zugriff auf die Suche nach Bedrohungen und die Reaktion auf Vorfälle erhalten.

Mögliche Auswirkungen

Insgesamt führen diese Vorschriften zu einer Verschärfung der Cyber-Compliance und sind von wesentlicher Bedeutung für die Berechtigung und den Erhalt von Zahlungen im Rahmen von Regierungsverträgen. Die Richtlinien zur Reaktion auf Cybervorfälle sind besonders auffällig, da sich der Zeitrahmen und der Meldeaufwand für die meisten Bundesauftragnehmer stark erhöhen. Um die Umstellung zu erleichtern, ist Vorbereitung der Schlüssel.

Im Folgenden werden vier Möglichkeiten aufgezeigt, wie sich die neuen Meldepflichten auf die Reaktion auf Cybervorfälle auswirken würden:

• Bei der Budgetierung für die Cybersicherheit wäre eine weitere Kostenschicht zu berücksichtigen.
• Dies fügt der wachsenden internationalen Regulierungslandschaft noch eine weitere Reihe von Anforderungen hinzu. Dies kann die Einhaltung der Vorschriften verkomplizieren und erschweren, weshalb es wichtig ist, über die richtigen Ressourcen zu verfügen, um ordnungsgemäße Verfahren aufrechtzuerhalten und Verstöße zu vermeiden.
• Die Forderung nach einer Benachrichtigung innerhalb von acht Stunden ist extrem schnell. Dies kann dazu führen, dass die Auftragnehmer sich beeilen, die Frist einzuhalten und dabei wichtige Aspekte des Vorfalls übersehen. Die Anforderungen an die frühzeitige und fortlaufende Berichterstattung können die eigentliche Reaktion auf einen Vorfall behindern, da man sich um eine weitere Sache kümmern muss, während der einzige Fokus darauf liegen sollte, den Vorfall zu stoppen und die Folgen zu minimieren.
• Viele Personen, die von einer Sicherheitsverletzung betroffen sind, wenden sich bereits an Behörden wie das FBI, was zu einer hohen Anzahl von Meldungen führt, für deren Bearbeitung die Behörde nicht die nötige Bandbreite hat. Dies könnte sehr wohl bedeuten, dass die neuen Richtlinien der FAR eine weniger sinnvolle Beteiligung vorsehen. Auch hier liegt es nicht daran, dass man nicht eingreifen will, sondern einfach daran, dass es zu viele Vorfälle und nicht genügend Ressourcen der Behörde gibt.

Sobald ein Cybervorfall zu einer Datenschutzverletzung führt, müssen die Betroffenen schnell, gründlich, präzise und zuverlässig erreicht werden. Regulatorische Verpflichtungen sind ein weiteres Kästchen, das in dieser chaotischen Zeit zu überprüfen ist. Die vorgeschlagenen FAR-Vorschriften vermitteln die Botschaft, dass die Regierung die Bedeutung einer ständigen Cyber-Wachsamkeit anerkennt und ihre Auftragnehmer zur Verantwortung ziehen wird. Die Komplexität und der Zeitdruck, die ihnen auferlegt werden, werden jedoch zusätzliche Herausforderungen mit sich bringen, die sie antizipieren und Prozesse einführen müssen, um die Dinge im Falle eines Vorfalls reibungsloser zu gestalten.

Vorerst ist es wichtig zu beachten, ob die während der Kommentierungsfrist vorgeschlagenen Änderungen den Inhalt der Vorschriften wesentlich beeinflussen und wann die endgültigen Fassungen in Kraft treten. In der Zwischenzeit sollten Sie mit einem Berater besprechen, wie Sie das Risiko von Cybervorfällen mindern, die Reaktionsmaßnahmen im Falle eines Vorfalls verstärken und die Berichterstattung beschleunigen können. Auf diese Weise können Sie sich besser auf die Einhaltung der Vorschriften und die Aufrechterhaltung von Regierungsverträgen vorbereiten.

Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.