行业新闻与博客

CISA 2015 获得延期，为网络信息共享提供短暂的宽限期

2025年11月19日|亚洲注册

一项重要的美国网络安全法原定于 2025 年 9 月到期，但由于国会议员为在长期政府停摆后重新开放美国政府所做的努力，该法律获得了短期延期。

《网络安全信息共享法》（CISA 2015）保护公司在共享网络威胁情报时免于承担法律责任，是支持美国及其他地区网络信息共享的关键。

该立法的核心在于保护企业在通过名为“自动指标共享计划 (AIS)”的自愿计划交换网络威胁数据时免受诉讼。

它明确了哪些信息可以以安全的方式与合作伙伴和政府机构共享。

这种清晰性至关重要，因为自动化事件响应平台提供商 Binalyze 的一项新的首席信息安全官 (CISO) 调查显示，网络事件响应延迟一小时平均会给任何美国受害组织造成 114,000 美元的损失。

2026年11月9日，美国参议院通过了《持续拨款、农业、立法部门、军事建设和退伍军人事务及延期法案》，暂时结束了政府停摆。该法案包含一项条款，将《网络安全和基础设施安全法案》（CISA 2015）的有效期延长至 2026年1月30日。

尽管法律期限已延长，但国会是否会在新的终止日期之前重新授权该法律仍不明朗。

网络安全专业人士普遍欢迎此次为期三个月的重新授权，但一些人敦促进行更长期的延期，甚至永久延期。

健康信息共享分析中心 (Health-ISAC) 的首席安全官 Errol Weiss 在接受Infosecurity采访时表示，CISA 2015 延期条款被纳入持续决议是一个“好兆头”，因为它证明“该法律确实得到了支持”。

“当 CISA 2015 于 9月30日到期，而我们知道预算不会获得通过时，我担心它会被预算中其他更‘重要’的问题所掩盖。现在这两件事联系在一起了，我们又得重新开始，一直到明年一月，”韦斯说。

然而，他也将此举描述为“暂时的权宜之计”，并敦促美国国会“考虑永久延长 CISA 2015，或至少再延长 10 年”。

韦斯表示，该法案在 9 月底失效，对 Health-ISAC 成员之间的信息共享速度几乎没有影响，他认为 Health-ISAC 成员之间的信息共享速度“多年来一直稳步增长”。

但他补充说：“我们看到的真正打击是各组织与联邦政府分享网络威胁信息的意愿下降了。”

他解释说：“我觉得我们越来越少看到来自政府合作伙伴的反馈，例如联邦调查局、国土安全部和网络安全与基础设施安全局。这归因于多种因素，其中包括 CISA 2015 的失效。”

这些因素中包括美国联邦机构裁员。韦斯表示，这影响到了网络安全专业人员认识、信任并建立起良好关系的人。

与此同时，首席信息安全官（CISO）也面临人手不足的问题，并且已经承受着日益严重的网络威胁和内部问题的双重压力。这使得他们在与政府分享信息方面更加难以把握方向，也更具挑战性。

根据 Binalyze 于 11 月 18 日发布的《2025 年网络安全调查状况》报告，如今 84% 的首席信息安全官 (CISO) 认为针对其组织的成功网络攻击是“不可避免的”。

报告调查的 200 位美国首席信息安全官 (CISO) 中，许多人表示他们对这些威胁准备不足，受访者承认他们平均只能应对 36% 的网络攻击。

此外，70% 的人表示，他们在过去一年中难以从网络攻击中恢复或修复。

一次事件发生后，斗争并不会就此结束。75% 的首席信息安全官表示，无法“保证”同样的攻击不会再次成功，65% 的首席信息安全官承认他们的组织“并非总是”吸取了正确的教训。

接受调查的首席信息安全官 (CISO) 指出，主要挑战是人才，十分之九 (90%) 的受访者认为缺乏技能是事件响应困难的首要原因。

这种差距部分是由于各组织的预算优先事项造成的，79% 的组织更倾向于预防网络攻击而不是应对事件，预防预算与事件响应预算的平均比例为 2:1（302 万美元对 154 万美元）。

网络攻击的影响固然巨大，但应对不力也会加重组织的负担。Binalyze 的一项调查显示，受访者估计，网络安全事件响应每延迟一小时，就会造成约 11.4 万美元的损失。

此外，信息共享不透明也会阻碍事件响应。大多数首席信息安全官 (CISO) (68%) 由于缺乏清晰的取证信息，向监管机构“错误报告”了安全漏洞；74% 的 CISO 由于对索赔缺乏信心，向保险公司索赔的金额低于其应得的金额。

过去五年，首席信息安全官 (CISO) 们估计，网络安全调查缺乏透明度平均给美国企业造成了 110 万美元的损失。如果将这一数字放大到全国范围，则意味着过去五年美国企业因网络安全调查缺乏透明度而遭受的总损失高达 481 亿美元。

Weiss 告诉Infosecurity，他希望在未来的 CISA 2015 长期扩展中看到“更明确的措辞”，以保护共享网络事件信息的组织，而不仅仅是网络威胁信息。

他解释说：“内部律师会提出的一个重要问题是，如果他们更广泛、更公开地分享事件信息，这些信息可能会在任何潜在的集体诉讼中被用来对他们不利。而如今，这种情况似乎已成为常态。”

Binalyze 报告的调查结果基于对 200 位美国首席信息安全官（CISO）以及其他在拥有 500 名或以上员工的企业中全权负责 IT 网络安全决策的人员的调查。该调查于 2025年9月进行。

481 亿美元的数字是根据美国拥有 500 名以上员工的企业数量（根据北美行业分类系统协会的数据为 43,779 家）乘以过去五年中每家企业因网络调查缺乏透明度而产生的平均 110 万美元成本得出的。