Amerikaanse vitale organisaties die slachtoffer van ransomware worden en losgeld aan de aanvallers betalen zullen dit straks verplicht bij de Amerikaanse overheid moeten rapporteren. Ook cyberincidenten dienen straks te worden gemeld. Dat is het gevolg van de Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA).

Hoe de meldplicht er precies komt uit te zien is nog niet helemaal duidelijk. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, is een 'request for information' gestart. Vanaf vandaag kan de vitale infrastructuur en het publiek op het voorstel reageren. Aan de hand van de verkregen feedback wordt gekeken hoe de nieuwe meldplicht effectief kan worden geïmplementeerd.

Het CISA wil graag input over zaken als definities en gebruikte terminologie, alsmede vorm, inhoud en procedures voor het melden van cyberincidenten en losgeldbetalingen, maar ook hoe de verplichting kan worden gehandhaafd. Volgens de overheidsinstantie zorgt de meldplicht ervoor dat het sneller middelen kan vrijmaken voor slachtoffers van aanvallen en opkomende dreigingen en trends sneller in kaart kan brengen.

"CIRCIA is voor de hele cybersecurity-community en iedereen die de vitale infrastructuur van ons land wil beschermen een game changer. Het zorgt ervoor dat we de dreigingen waarmee we te maken hebben beter kunnen begrijpen, aanvalscampagnes eerder kunnen herkennen en meer gecoördineerde actie met onze private en publieke partners kunnen ondernemen", zegt CISA-directeur Jen Easterly. "We kunnen niet beschermen tegen wat we niet kennen en de informatie die we ontvangen zal helpen om belangrijke gaten te dichten."