美國參議院於3月11日通過“Cyber Incident Reporting for Critical Infrastructure Act”，該法案要求關鍵基礎設施之所有者與運營商於特定情況下，須將其資安事件通報聯邦政府。

關鍵基礎設施之所有者與運營商在事件72小時內與支付勒索軟體款項後24時內，向國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)通報重大資安事件，並賦予CISA傳喚未通報網路攻擊或勒索軟體付款者之權力。此外，CISA亦須於24小時內向適當之聯邦機構，提交資安事件相關報告。

該法案正式簽署後，CISA需於24個月內制定通報規則與定義通報細節，包括涵蓋之關鍵基礎設施、須通報之資安事件及須涵蓋之內容。
該法案亦對所提交報告訂定明確之保護規定，與美國2015年訂定之網路安全資訊共享法類似，對於自願與聯邦政府分享其網路安全資訊有所保護，相關規定如下：
1. 政府僅能以網路安全為目的使用相關報告(或其他非常有限之目的)。
2. 禁止將勒索軟體支付報告應用於監管相關單位。
3. 應將報告視為自身之資訊。
4. 豁免該報告不受資訊自由法、州與地方資訊揭露相關法令之約束。
5. 保有該報告之特權。
6. 不將報告視為單向溝通。
7. 保護相關單位免除向聯邦政府提供資訊之責任。

該法案提供所分享之資安事件報告與“僅為準備、草擬或提交此類報告而產生之資訊、文件、題材或其他紀錄”廣泛之保護，以防止任何聯邦、州或地方法院，以及監管機構將此類資訊作為證據。

該法案正進行總統簽署程序，預計於3月中旬完成。白宮本週發表一份支持該法案之聲明，惟聯邦政府對於該法案仍意見分歧，CISA鼓勵其通過，司法部(Department of Justice, DOJ)則批評該法案無要求受駭單位通知CISA外，同時通知FBI。

https://www.natlawreview.com/article/cyber-incident-reporting-language-omnibus-bill-headed-to-president-biden-s-desk
https://www.theregister.com/2022/03/14/in_brief_security/