Gegensätzliche Standpunkte zum von der liberalen Regierung vorgeschlagenen Cybersicherheitsgesetz für Anbieter kritischer Infrastrukturen wurden bei einer Anhörung im Parlamentsausschuss am Donnerstag deutlich.
Ein BlackBerry-Beamter forderte die Abgeordneten des nationalen Sicherheitsausschusses des Unterhauses auf, den Gesetzentwurf 26 zu verabschieden, da es in anderen Ländern Gesetze gibt, die dem Privatsektor rechtliche Verantwortung für die Cybersicherheit übertragen.
„Kanada ist nicht im Einklang mit seinen engsten Verbündeten, und diese Gesetzgebung wird dazu beitragen, diese Lücke zu schließen“, sagte John de Boer, der leitende Direktor für Regierungsangelegenheiten und öffentliche Ordnung des Unternehmens für Kanada.
Jennifer Quaid, Geschäftsführerin der Canadian Cyber Threat Exchange, einer Genossenschaft für Bedrohungsinformationen, sagte, dass der Gesetzentwurf mit „einigen kleinen Änderungen“ dazu beitragen werde, die Cybersicherheit bei Anbietern kritischer Infrastrukturen zu stärken.
Und Chris Loewen, Executive Vice President für Regulierungsangelegenheiten bei der Canadian Energy Regulator (CER), die interprovinzielle Pipeline- und Strombetreiber reguliert, sagte, die Mechanismen des Gesetzentwurfs für Regulierungsbehörden würden der Art und Weise ähneln, wie CER derzeit funktioniert.
Doch Francis Bradley, CEO von Electricity Canada, einem Verband von Energieversorgern, warnte davor, dass die vorgeschlagene Gesetzgebung kanadische Energieerzeuger ins Abseits der Cybersicherheitsanforderungen der North American Electric Reliability Corp. (NERC) bringen könnte, die US-amerikanische und kanadische Unternehmen beaufsichtigt.
Leila Wright, Geschäftsführerin für Telekommunikation bei der Canadian Radio-Television and Telecommunications Commission (CRTC), sagte, dass C-26 ihrer Agentur ein neues Mandat erteilen werde, um die Cybersicherheit bei Telekommunikationsanbietern zu fördern und sicherzustellen, dass die Netzbetreiber die staatlichen Anordnungen im Zusammenhang mit der Kybernetik einhalten. Zu Versäumnissen oder Verbesserungsmöglichkeiten des Gesetzentwurfs wollte sie sich jedoch nicht äußern, da es sich um einen Gesetzesvorschlag handelt. Die Aufgabe der Kommission bestehe darin, verabschiedete Gesetze umzusetzen, erklärte sie.
Um die Bedeutung des Handelns zu unterstreichen, stellte de Boer fest, dass BlackBerry in den letzten vier Monaten des Jahres 2023 im Auftrag von Kunden 5,2 Millionen Cyberangriffe gestoppt hat; 62 Prozent von ihnen zielten auf Anbieter kritischer Infrastruktur (CI) wie Banken und Regierungsbehörden ab.
In einem Five Eyes-Bericht dieser Woche über die von China unterstützte Bedrohungsgruppe Volt Typhoon hieß es, sie habe mehrere kritische Infrastrukturanbieter in den USA kompromittiert, darunter einige aus den Bereichen Kommunikation, Energie, Transport und Wasser. Ein US-Beamter, fügte er hinzu, befürchtet, dass der Bericht nur „die Spitze des Eisbergs“ sei.
Abgesehen von den Datenschutzanforderungen im Personal Information Protection and Electronic Data Act (PIPEDA) gibt es in Kanada keine Gesetzgebung, die Anbieter kritischer Infrastrukturen verpflichtet, Cyberangriffe zu melden, sich darauf vorzubereiten oder sie zu verhindern, sagte er.
Im Gegensatz dazu haben die USA im Jahr 2022 den Cyber Incident Reporting for Critical Infrastructure Act verabschiedet, der CI-Anbieter verpflichtet, Cybersicherheitsvorfälle innerhalb von 72 Stunden der Regierung zu melden. Ebenfalls im Jahr 2022 verabschiedete die Europäische Union ein Gesetz, das Anbieter dazu verpflichtet, grundlegende Cybersicherheitsmaßnahmen umzusetzen und die nationalen Cybersicherheitsbehörden innerhalb von 72 Stunden über schwerwiegende Vorfälle zu informieren.
„Kanada fällt in Sachen Cybersicherheit hinter unsere G7-Kollegen zurück“, sagte de Boer.
Der Gesetzentwurf C-26 besteht aus zwei Teilen: Einer würde das Telekommunikationsgesetz ändern, um dem Bundeskabinett und dem Industrieminister die Befugnis zu geben, bestimmten Telekommunikationsanbietern anzuweisen, „alles“ zu tun, um ihre Systeme vor einer Reihe von Bedrohungen zu schützen. Das CRTC würde eine Rolle dabei spielen, sicherzustellen, dass Telekommunikationsanbieter das Gesetz einhalten.
Der andere Teil von C-26, die Schaffung des CCSPA, würde für andere Anbieter kritischer Infrastrukturen gelten. Zunächst wären diese auf Banken, Finanzclearing-Firmen, interprovinzielle Transport- und Energieunternehmen sowie Kernkraftwerksbetreiber beschränkt. Ähnlich wie bei den Änderungen des Telekommunikationsgesetzes würde dadurch ein System zur Einhaltung der Cybersicherheit für bestimmte Unternehmen geschaffen. Dazu gehört auch die Verpflichtung, Cybervorfälle „sofort“ dem Canadian Security Establishment (CSE) zu melden, der Abteilung des Verteidigungsministeriums, die für die Cybersicherheit der Regierung zuständig ist.
Das CCSPA werde Regierungen und dem Privatsektor dabei helfen, schnell Informationen über Cyberangriffe auszutauschen, sagte de Boer, andere potenzielle Opfer zu warnen und zu schützen und schnell Hilfe bereitzustellen, um Schäden durch Angriffe einzudämmen.
Der vorgeschlagene CCSPA sei nicht perfekt, sagte er. Er empfahl drei Änderungen:
— Die Verpflichtung für CI-Anbieter, Cyber-Ereignisse unverzüglich zu melden, sollte auf eine Frist von 72 Stunden geändert werden.
— Es sollte Garantien geben, dass Unternehmen nicht verklagt oder strafrechtlich verfolgt werden können, wenn sie der Regierung Informationen im Zusammenhang mit Cyberangriffen melden.
– und der Gesetzentwurf sollte klarstellen, dass Unternehmen nicht bestraft werden, wenn sie in gutem Glauben Anstrengungen zur Cybersicherheit unternehmen, ihr Unternehmen jedoch einen Verstoß gegen Sicherheitskontrollen erlitten hat oder vermutet wird, dass es im Widerspruch zum Gesetz steht.
Quaid sagte, dass die Präambel des CCSPA alle kanadischen öffentlichen und privaten Organisationen dazu ermutigen sollte, ihre Informationen über Cyber-Bedrohungen weiterzugeben; sollte es CI-Anbietern ermöglichen, Bedrohungsinformationen über Cyber-Austausche sowie mit der Regierung auszutauschen; und sollte es CI-Anbietern ermöglichen, jedem Verband zum Informationsaustausch über Cybersicherheitsbedrohungen beizutreten.
Bradley beklagte, dass der Gesetzentwurf etablierte Sicherheitsstandards und Fachkenntnisse im kanadischen Energiesektor nicht anerkenne. Neben anderen Problemen, sagte er, belässt der Gesetzentwurf die Definition eines meldepflichtigen Cybersicherheitsvorfalls bei noch nicht bekannt gegebenen Vorschriften. Unsere Definition müsse die gleiche sein wie die von NERC, sagte er.
Klicken Sie hier, um den schriftlichen Beitrag von Electricity Canada zu sehen
Die Cybersicherheitsanforderungen von NERC – die die Mitglieder von Electricity Canada befolgen müssen – seien höher als die des CCSPA, fügte er hinzu, weshalb er glaubt, dass der Gesetzentwurf die Cybersicherheit unter seinen Mitgliedern auf dieser Seite der Grenze nicht verbessern wird.
Aber Bradley sagte, dass die Cybersicherheit der Energieversorger hier zwar höher sei als in anderen Sektoren, der CCSPA jedoch dazu beitragen würde, die Lücke zu schließen.
Er möchte nicht, dass die Verabschiedung des Gesetzentwurfs verzögert wird, meint aber, dass er in einigen Bereichen geändert werden sollte.
Die Anhörungen werden am Montag mit Aussagen des Bundesdatenschutzbeauftragten Philippe Dufresne, des Büros des Superintendent of Financial Institutions, der Canadian Bankers Association und der Canadian Telecommunications Association fortgesetzt.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/7DPPUVFCTRAN5CLCORW6QEJENY.jpg?fit=300%2C300&ssl=1)