Nel marzo 2023, l'amministrazione statunitense ha pubblicato il primo Piano di attuazione della strategia nazionale di cybersecurity (NCSIP). Questo è stato presentato come un piano d'azione del governo composto da 27 obiettivi strategici che danno priorità a iniziative critiche per proteggere la sicurezza nazionale dalle minacce informatiche in corso.
Recentemente, sono state aggiunte 31 iniziative a questo piano e sono state identificate diverse agenzie federali per promuovere questi sforzi in futuro.
L'NCSIP delinea diverse azioni critiche di implementazione per migliorare il livello nazionale di cybersecurity degli Stati Uniti. Questo sforzo prevede la collaborazione con vari settori e agenzie di supporto per regolamentare e far rispettare nuovi standard nelle best practice di cybersecurity, supportando al contempo lo sviluppo di tecnologie più sicure.
I cinque pilastri fondamentali stabiliti dal NCSIP si concentrano sulle seguenti aree:
L'ultima versione del piano, pubblicata il 7 maggio 2024, introduce 31 iniziative aggiuntive che sono state incluse e raggruppate nei cinque pilastri fondamentali.
Di seguito sono riportate alcune delle aggiunte più recenti:
Sono state aggiunte nuove iniziative che affrontano azioni progettate per promuovere migliori pratiche di cybersecurity in una serie di settori, tra cui l'assistenza sanitaria e i servizi idrici e di acque reflue.
Nel settore sanitario, la Casa Bianca collaborerà con il National Institute of Standards and Technology (NIST) per creare una strategia per il Dipartimento della salute e dei servizi umani (HHS) volta a imporre una maggiore responsabilità in questo ambito.
Nel settore dei servizi idrici e delle acque reflue, il Dipartimento dell'agricoltura degli Stati Uniti collaborerà con l'Agenzia per la protezione dell'ambiente (EPA) per promuovere l'assistenza tecnica, l'istruzione e la formazione in materia di cybersecurity.
Il secondo pilastro del NCSIP, incentrato sulla "disgregazione e lo smantellamento degli attori delle minacce", ha visto diverse nuove aggiunte per quanto riguarda la collaborazione volta a ridurre l'impatto e la probabilità di campagne di attacchi informatici più ampie.
Sono state ora specificate le tempistiche di attuazione della strategia informatica iniziale del Dipartimento della Difesa (DoD) per il 2023, messa in atto lo scorso anno, nonché una rinnovata attenzione alla collaborazione con enti del settore privato per migliorare la velocità e l'utilità degli sforzi in materia di cybersecurity.
Un'altra parte del NCSIP è progettata per attribuire maggiore responsabilità ai brand digitali influenti nella creazione di prodotti più sicuri. L'ultima versione del piano aggiunge una nuova iniziativa che prevede che il Dipartimento di Stato collabori con la Joint Ransomware Task Force, il Dipartimento di Giustizia e altri partner interagenzia degli Stati Uniti per impedire agli aggressori ransomware di trovare rifugi sicuri nei paesi.
Sono inoltre previsti piani per aggiornare la Strategia di ricerca sulla privacy nazionale in collaborazione con l'Office of Science and Technology Policy (OSTP) per proteggere la privacy dei dati degli individui quando i dati personali vengono memorizzati e utilizzati per analytics su larga scala.
Un pilastro fondamentale del NCSIP è la sicurezza delle tecnologie e delle infrastrutture di nuova generazione attraverso investimenti più intelligenti nella formazione e nel supporto alla cybersecurity.
Il nuovo piano introduce la Strategia nazionale per la forza lavoro e la formazione informatica e prevede la presentazione di resoconti sui suoi progressi nel corso del prossimo anno. Questa strategia è stata progettata per aiutare a sviluppare un playbook per migliorare la forza lavoro nel settore della cybersecurity e facilitare l'ingresso dei lavoratori nel settore.
Molte altre iniziative sono state aggiunte a quest'ultima versione del CSIP. Sebbene le scadenze per ogni iniziativa varino, la maggior parte prevede scadenze che si estendono fino all'anno fiscale 2025, mentre alcune iniziative sono pianificate per essere eseguite entro la fine di quest'anno.
L'NCSIP è stato progettato per essere un piano dinamico che verrà aggiornato annualmente. La versione 2 di questo piano rappresenta il primo aggiornamento annuale e non dovrebbe sorprendere le organizzazioni.
Le organizzazioni private devono aspettarsi un aumento degli sforzi di collaborazione con il governo man mano che queste nuove iniziative vengono implementate e devono tenersi aggiornate con l'avvicinarsi delle scadenze per gli obiettivi critici.
Sebbene molte delle nuove iniziative abbiano un impatto su settori specifici, potrebbero esserci anche ripercussioni a livello settoriale che richiederanno a tutte le organizzazioni del settore privato di adattarsi rapidamente ai nuovi standard in vigore, con la guida di agenzie di supporto ed esperti del settore.