Il Cybersecurity Information Sharing Act (CISA) è una proposta di legge che consentirà alle agenzie governative degli Stati Uniti e alle entità non governative di condividere informazioni tra loro mentre indagano sugli attacchi informatici. La condivisione è volontaria per le organizzazioni partecipanti al di fuori del governo.
Attualmente, una serie di quadri normativi statunitensi impedisce la condivisione. Ad esempio, se un ospedale negli Stati Uniti fosse stato attaccato, agli amministratori dell'ospedale potrebbe essere impedito di condividere le informazioni con le agenzie governative a causa delle restrizioni sulla privacy nell'Health Insurance Portability and Accountability Act (HIPAA).
In base alla CISA, il direttore dell'intelligence nazionale e i dipartimenti federali di sicurezza interna, difesa e giustizia sono tenuti a collaborare e sviluppare procedure per la condivisione delle informazioni sulle minacce alla sicurezza informatica. Nalle entità federali sarà richiesto di rimuovere le informazioni personali prima di condividere gli indicatori di minaccia informatica e il Dipartimento per la sicurezza interna (DHS) sarà tenuto a condurre una revisione della privacy delle informazioni ricevute.
Gli oppositori della legislazione temono che il governo federale abusi del modo in cui utilizza le informazioni raccolte. Al momento della stesura di questo documento, il governo può utilizzare le informazioni condivise solo per:
- Identifica uno scopo di sicurezza informatica.
- Identifica la fonte di una minaccia alla sicurezza informatica o di una vulnerabilità alla sicurezza.
- Identificare le minacce alla sicurezza informatica che comportano l'uso di un sistema informativo da parte di un avversario o terrorista straniero.
- Prevenire o attenuare una minaccia imminente di morte, gravi lesioni personali o gravi danni economici, inclusi un atto terroristico o l'uso di un'arma di distruzione di massa.
- Prevenire o mitigare una grave minaccia per un minore, compreso lo sfruttamento sessuale e le minacce alla sicurezza fisica.
- Prevenire, indagare, interrompere o perseguire un reato derivante da una minaccia come gravi crimini violenti o relativi a frodi e furti di identità.