運輸保安局 (TSA) は、地上輸送システムの特定の所有者および運営者に対して、サイバーリスク管理と報告義務を義務付けることを目的とした規則制定案の通知を発行しました。
TSA デイビッド・ペコスケ長官は、「TSA は業界関係者と緊密に連携し、国の重要な交通インフラのサイバーセキュリティ耐性を強化してきました。提案された規則は、この共同イニシアチブを拡大し、地上交通機関のサイバーセキュリティ フレームワークをさらに強化することを目的としています。この提案された規制に関して、業界関係者と一般の人々の両方から貴重なフィードバックが得られることを期待しています。」と述べました。
この規則は、TSA がパフォーマンスベースの要件に継続的に取り組んでいることを反映しています。この規則は、米国国立標準技術研究所が確立したサイバーセキュリティ フレームワークと、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) が作成したセクター横断的なサイバーセキュリティ パフォーマンス目標を活用し、2021 年以降 TSA が毎年発行しているセキュリティ指令を通じて発行したパフォーマンス重視のサイバーセキュリティ義務に基づいています。
これらの標準と要件に沿って、この規則では以下を提案しています。
- サイバーセキュリティのリスクプロファイルが高いと特定された特定のパイプライン、貨物鉄道、旅客鉄道、鉄道輸送の所有者/運営者は、徹底したサイバーリスク管理プログラムを開発し、維持する必要があります。
- これらの所有者/運営者は、すでに重大な物理的セキュリティ問題を運輸保安局 (TSA) に報告することが義務付けられている、よりリスクの高いバスのみの公共交通機関や長距離バス サービスを運営する運営者とともに、サイバーセキュリティ インシデントをサイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) に報告することも義務付けられます。
- さらに、鉄道および高リスクのバス運行に対する TSA の既存の要件は、高リスクのパイプラインの所有者/運営者も対象に拡大され、物理的セキュリティ コーディネーターの任命と、TSA への重大な物理的セキュリティ上の懸念の報告が必要になります。
TSA は、地上輸送部門がサイバーリスクに対処し、管理する準備を十分に整えるためには、強固なサイバーセキュリティ フレームワークを維持することが不可欠であると強調しています。この規制案で概説されている規定は、地上輸送システム部門全体のサイバーセキュリティの耐性を強化することを目的としています。