行業新聞與部落格

CISA 2015 獲得延期，為網路資訊共享提供短暫的寬限期

2025年11月19日|亞洲註冊

一項重要的美國網路安全法原定於 2025 年 9 月到期，但由於國會議員為在長期政府停擺後重新開放美國政府所做的努力，該法律獲得了短期延期。

《網路安全資訊共享法》（CISA 2015）保護公司在共享網路威脅情報時免於承擔法律責任，是支援美國及其他地區網路資訊共享的關鍵。

該立法的核心在於保護企業在透過名為“自動指標共享計劃 (AIS)”的自願計劃交換網路威脅資料時免受訴訟。

它明確了哪些資訊可以以安全的方式與合作伙伴和政府機構共享。

這種清晰性至關重要，因為自動化事件響應平臺提供商 Binalyze 的一項新的首席資訊保安官 (CISO) 調查顯示，網路事件響應延遲一小時平均會給任何美國受害組織造成 114,000 美元的損失。

2026年11月9日，美國參議院通過了《持續撥款、農業、立法部門、軍事建設和退伍軍人事務及延期法案》，暫時結束了政府停擺。該法案包含一項條款，將《網路安全和基礎設施安全法案》（CISA 2015）的有效期延長至 2026年1月30日。

儘管法律期限已延長，但國會是否會在新的終止日期之前重新授權該法律仍不明朗。

網路安全專業人士普遍歡迎此次為期三個月的重新授權，但一些人敦促進行更長期的延期，甚至永久延期。

健康資訊共享分析中心 (Health-ISAC) 的首席安全官 Errol Weiss 在接受Infosecurity採訪時表示，CISA 2015 延期條款被納入持續決議是一個“好兆頭”，因為它證明“該法律確實得到了支援”。

“當 CISA 2015 於 9月30日到期，而我們知道預算不會獲得透過時，我擔心它會被預算中其他更‘重要’的問題所掩蓋。現在這兩件事聯絡在一起了，我們又得重新開始，一直到明年一月，”韋斯說。

然而，他也將此舉描述為“暫時的權宜之計”，並敦促美國國會“考慮永久延長 CISA 2015，或至少再延長 10 年”。

韋斯表示，該法案在 9 月底失效，對 Health-ISAC 成員之間的資訊共享速度幾乎沒有影響，他認為 Health-ISAC 成員之間的資訊共享速度“多年來一直穩步增長”。

但他補充說：“我們看到的真正打擊是各組織與聯邦政府分享網路威脅資訊的意願下降了。”

他解釋說：“我覺得我們越來越少看到來自政府合作伙伴的反饋，例如聯邦調查局、國土安全部和網路安全與基礎設施安全域性。這歸因於多種因素，其中包括 CISA 2015 的失效。”

這些因素中包括美國聯邦機構裁員。韋斯表示，這影響到了網路安全專業人員認識、信任並建立起良好關係的人。

與此同時，首席資訊保安官（CISO）也面臨人手不足的問題，並且已經承受著日益嚴重的網路威脅和內部問題的雙重壓力。這使得他們在與政府分享資訊方面更加難以把握方向，也更具挑戰性。

根據 Binalyze 於 11 月 18 日釋出的《2025 年網路安全調查狀況》報告，如今 84% 的首席資訊保安官 (CISO) 認為針對其組織的成功網路攻擊是“不可避免的”。

報告調查的 200 位美國首席資訊保安官 (CISO) 中，許多人表示他們對這些威脅準備不足，受訪者承認他們平均只能應對 36% 的網路攻擊。

此外，70% 的人表示，他們在過去一年中難以從網路攻擊中恢復或修復。

一次事件發生後，鬥爭並不會就此結束。75% 的首席資訊保安官表示，無法“保證”同樣的攻擊不會再次成功，65% 的首席資訊保安官承認他們的組織“並非總是”吸取了正確的教訓。

接受調查的首席資訊保安官 (CISO) 指出，主要挑戰是人才，十分之九 (90%) 的受訪者認為缺乏技能是事件響應困難的首要原因。

這種差距部分是由於各組織的預算優先事項造成的，79% 的組織更傾向於預防網路攻擊而不是應對事件，預防預算與事件響應預算的平均比例為 2:1（302 萬美元對 154 萬美元）。

網路攻擊的影響固然巨大，但應對不力也會加重組織的負擔。Binalyze 的一項調查顯示，受訪者估計，網路安全事件響應每延遲一小時，就會造成約 11.4 萬美元的損失。

此外，資訊共享不透明也會阻礙事件響應。大多數首席資訊保安官 (CISO) (68%) 由於缺乏清晰的取證資訊，向監管機構“錯誤報告”了安全漏洞；74% 的 CISO 由於對索賠缺乏信心，向保險公司索賠的金額低於其應得的金額。

過去五年，首席資訊保安官 (CISO) 們估計，網路安全調查缺乏透明度平均給美國企業造成了 110 萬美元的損失。如果將這一數字放大到全國範圍，則意味著過去五年美國企業因網路安全調查缺乏透明度而遭受的總損失高達 481 億美元。

Weiss 告訴Infosecurity，他希望在未來的 CISA 2015 長期擴充中看到“更明確的措辭”，以保護共享網路事件資訊的組織，而不僅僅是網路威脅資訊。

他解釋說：“內部律師會提出的一個重要問題是，如果他們更廣泛、更公開地分享事件資訊，這些資訊可能會在任何潛在的集體訴訟中被用來對他們不利。而如今，這種情況似乎已成為常態。”

Binalyze 報告的調查結果基於對 200 位美國首席資訊保安官（CISO）以及其他在擁有 500 名或以上員工的企業中全權負責 IT 網路安全決策的人員的調查。該調查於 2025年9月進行。

481 億美元的數字是根據美國擁有 500 名以上員工的企業數量（根據北美行業分類系統協會的資料為 43,779 家）乘以過去五年中每家企業因網路調查缺乏透明度而產生的平均 110 萬美元成本得出的。