美国运输安全管理局 (TSA) 发布了一份拟议规则制定通知,旨在为地面运输系统的特定所有者和运营商建立强制性的网络风险管理和报告义务。
TSA 管理员 David Pekoske 表示:“TSA 与行业利益相关者密切合作,以增强国家重要交通基础设施的网络安全弹性。拟议规则旨在扩大这一合作举措,并进一步加强地面交通实体的网络安全框架。我们期待行业参与者和公众对这项拟议法规提出宝贵的反馈意见。”
这项规定体现了 TSA 对基于绩效的要求的持续投入。它以 TSA 自 2021 年以来通过年度安全指令发布的以绩效为导向的网络安全要求为基础,利用了美国国家标准与技术研究所建立的网络安全框架和网络安全与基础设施安全局 (CISA) 制定的跨部门网络安全绩效目标。
根据这些标准和要求,本规则建议:
- 对于被确定为具有较高网络安全风险状况的特定管道、货运铁路、客运铁路和轨道交通所有者/运营商,有必要制定和实施全面的网络风险管理计划。
- 这些业主/运营商以及那些运营高风险的仅限公交车的公共交通和公路巴士服务的运营商,已经被要求向运输安全管理局 (TSA) 报告重大物理安全问题,他们也必须向网络安全和基础设施安全局 (CISA) 报告网络安全事件。
- 此外,TSA 对铁路和高风险公交车运营的现有要求将扩大到包括高风险管道所有者/运营商,从而需要任命物理安全协调员并向 TSA 报告重大物理安全问题。
TSA 强调,维护强大的网络安全框架对于确保地面运输部门做好充分准备应对和管理网络风险至关重要。本拟议法规中概述的规定旨在增强整个地面运输系统部门的网络安全弹性。