
Neste artigo (4)
Análise da Regra de Relato de Violações da CISA: Fluxo de Trabalho de Conformidade
Principais conclusões
- Trate a notificação de violações como um fluxo de trabalho, não como uma tarefa de redação pós-incidente.
- Mapeie o roteamento de alertas, a preservação de evidências e as transferências para o jurídico antes que a CISA finalize a regra.
- Acompanhe o texto final quanto às definições de escopo, especialmente se você atende clientes de infraestrutura crítica.
Uma meta de lançamento em setembro é uma orientação de planejamento para registros, caminhos de escalonamento, preservação de evidências e repasses de relatórios.
Uma meta de lançamento em setembro é um sinal de planejamento para registros, caminhos de escalonamento, preservação de evidências e transferências de relatórios.
O lado útil de um prazo de reporte é que ele não se importa com quem é dono do canal no Slack. Se a regra pendente de reporte de violações da CISA entrar no cronograma de setembro informado pela Bloomberg Law, o primeiro problema de conformidade não será a redação. Será saber se um registro de incidente, uma avaliação jurídica e uma transferência de reporte federal conseguem se encontrar rápido o suficiente.
A data que importa é uma meta de lançamento
A Bloomberg Law informou em 6 de julho de 2026 que a Cybersecurity and Infrastructure Security Agency está mirando um lançamento em setembro para sua regra de reporte de violações. A MeriTalk, citando um documento regulatório, também informou que a CISA planeja finalizar uma regra de reporte de incidentes de cibersegurança em setembro. Isso não é a mesma coisa que aplicação imediata, e as evidências fornecidas aqui não indicam a data da primeira multa. Ainda assim, é um sinal prático para parar de tratar o reporte de violações como um documento redigido depois que a chamada sobre o incidente termina.
A MeriTalk vincula a regra ao Cyber Incident Reporting for Critical Infrastructure Act de 2022, conhecido como CIRCIA, e informa que a CISA publicou seu aviso de proposta de regulamentação em 4 de abril de 2024. A Inside Privacy cobriu o adiamento da regra de reporte de incidentes cibernéticos da CISA em 5 de setembro de 2025. Juntando tudo, a sequência é menos dramática do que operacional: o Congresso criou a obrigação de reporte, a CISA propôs os detalhes, o processo atrasou, e a agência agora mira setembro.
Do que a regra realmente trata
A MeriTalk informa que a regulamentação exigiria que entidades de infraestrutura crítica reportassem grandes incidentes cibernéticos e pagamentos de ransomware diretamente à CISA, conforme a lei de 2022. Também afirma que entidades de infraestrutura crítica seriam obrigadas a reportar incidentes cibernéticos substanciais em até 72 horas e pagamentos de ransomware em até 24 horas. Esses dois relógios são a parte que os construtores deveriam colar no runbook de resposta a incidentes, de preferência antes que alguém esteja decidindo se uma interrupção é apenas constrangedora ou legalmente reportável.
Isso não significa que todo fornecedor de software de repente tenha um reporte federal de violação a fazer sempre que um dashboard fica vermelho. Com base no resumo da MeriTalk, a regra é voltada a entidades de infraestrutura crítica e implementa os requisitos de reporte da CIRCIA para incidentes cibernéticos cobertos e pagamentos de resgate. A questão de escopo ainda importa, especialmente para fornecedores que atendem clientes de infraestrutura regulada. Se seu cliente provavelmente pedirá evidências do incidente dentro de uma janela de 72 horas, seu contrato pode se tornar o mecanismo prático de aplicação antes mesmo de a CISA enviar uma carta.
O fluxo de trabalho escondido dentro do prazo
As janelas de 72 horas e 24 horas informadas pela MeriTalk não são apenas cronômetros jurídicos. Elas são restrições de design para ferramentas de resposta a incidentes, taxonomias de tickets, retenção de logs e caminhos de escalonamento. Uma equipe que descobre um incidente às 2h da manhã precisa de um registro de quem percebeu o quê, quais sistemas foram afetados, quais evidências foram preservadas e quem pode decidir se o reporte à CISA foi acionado. Isso é uma questão de fluxo de trabalho usando um chapéu jurídico.
A preparação útil é entediante, que é como a conformidade geralmente anuncia que é real. As empresas devem mapear quem recebe alertas de segurança, quem pode classificar um evento como potencialmente reportável, quem preserva evidências e quem transmite informações ao jurídico ou à conformidade. Elas também devem verificar se decisões de pagamento de ransomware passam por um processo separado de aprovação financeira, jurídica ou executiva, porque a MeriTalk informa uma janela separada de 24 horas para esses pagamentos. A lei talvez não exija que seu diagrama interno seja bonito. Ela exige que a organização funcione mais rápido do que um comitê de pós-morte.
O atraso foi o aviso
A cobertura da Inside Privacy em 5 de setembro de 2025 enquadrou a regra como adiada, o que foi útil se as empresas usaram o tempo extra para criar preparo em vez de esperar que o Federal Register as entretivesse. A própria página pública da CISA identifica o programa como Cyber Incident Reporting for Critical Infrastructure Act de 2022, um lembrete de que isso não é uma campanha voluntária de compartilhamento de informações com um logotipo mais bonito. É um regime legal de reporte avançando para sua forma final.
A próxima coisa a observar é o texto final, especialmente como a CISA define as entidades e os incidentes que devem reportar. Até lá, a distinção mais segura é entre o que já está claro e o que ainda está pendente. Claro: o reporte por infraestrutura crítica é o alvo, e as janelas informadas são de 72 horas para incidentes cibernéticos substanciais e 24 horas para pagamentos de ransomware. Pendente: os casos-limite operacionais exatos que decidirão se seu contrato de fornecedor precisa de uma nova cláusula ou de três.
Para construtores e aprendizes, a meta de setembro é um item de calendário com consequências de engenharia. A resposta a incidentes está se tornando um fluxo de trabalho de conformidade, o que significa que logging, preservação, escalonamento e transferências de reporte precisam ter responsáveis antes que a regra chegue. Acompanhe a regra final para ver as definições de escopo, mas não espere que ela invente seu processo. Reguladores raramente multam empresas por terem evidências demais e um caminho de escalonamento claro demais.