︿
Top

網路安全資訊共享法案(CISA 2015):失效、復活,以及美國網路防禦的下一步

關鍵字:Cybersecurity Information Sharing Act of 2015(CISA 2015);日落條款(Sunset Provision);持續決議案(Continuing ResolutionCR);美國國土安全部(United States Department of Homeland SecurityDHS);自動指標分享系統(Automated Indicator SharingAIS);基礎設施網路事件報告法案(Cyber Incident Reporting for Critical Infrastructure ActCIRCIA);
瀏覽次數:97| 歡迎推文: facebook twitter wechat Linked

科技產業資訊室(iKnow) - 洪綺臨 發佈於 2025年11月19日
facebook twitter wechat twitter

圖、網路安全資訊共享法案(CISA 2015):失效、復活,以及美國網路防禦的下一步

2025年9月底,美國《網路安全資訊共享法案》(Cybersecurity Information Sharing Act of 2015,簡稱CISA 2015)正式屆滿。這部運作十年的網路安全核心法規,一度經歷約六週的法律真空期,讓公私部門在威脅通報與資料共享上都變得謹慎許多。直到11月12日,國會以一項持續決議案(CR)暫時延長其效力至2026年1月30日,才勉強止住不確定感。但這次只是一記臨時止血,外界更關心的,是CISA 2015下一步要走向長期延長、局部翻修,還是再度面臨到期風險。

在討論延長與爭議之前,先回到法案本身。CISA 2015的核心任務,是讓聯邦政府和私人部門之間,可以更放心、更有系統地共享網路威脅資訊。它授權多個聯邦機構,尤其是國土安全部(DHS),集中接收企業回報的「網路威脅指標」(如惡意網域、攻擊行為、漏洞資訊)以及「防禦措施」(如偵測與阻擋工具)。透過自動指標分享系統(AIS),這些資料可以在機關與參與企業間快速流通,無論是解密後的公開資訊或仍具敏感性的技術細節,都能在一定的規範下被運用,使各機關企業能夠提早偵測攻擊、加速應變。法案亦提供責任豁免、反托拉斯保護以及個資刪除,確保共享不會成為法律風險來源。十年下來,CISA 2015被視為美國網路安全生態系的地基之一。

也因此,2025年10月到11月中這段短暫失效期格外引發關注。從實務上看,AIS平台並沒有關機,企業與政府間的合作也沒有完全停止,但少了CISA 2015的明確保障,許多公司內部法律部門不得不加強把關,每一筆要共享的資料都要重新檢查是否涉及個資、是否可能被解讀為超出原本授權範圍。結果就是共享速度變慢、風險認知變高。多位前政府官員警告,如果這種狀態持續,政府對中國、俄羅斯、北韓、伊朗等國家駭客行動的掌握恐將受影響,過去像Volt Typhoon這類攻擊行動之所以能被及早偵測,就與CISA 2015的情資共享機制有關。

為避免進一步擴大風險,國會在2025年11月12日通過的持續決議案中,將 CISA 2015的條文原封不動地延長到2026年1月30日。這種維持原條文、不加入新規或政治附帶條件的「純延長」(clean reauthorization),目的是先恢復法律效力,為後續的長期協商爭取時間。問題是,這段時間究竟要拿來做技術性更新還是政治攻防,目前看來走勢仍未明朗。

眾議院與參議院分別提出不同方向的長期方案。眾議院版本由國土安全委員會主席Andrew Garbarino主導,提出H.R.5079-Widespread Information Management for the Welfare of Infrastructure and Government Act(簡稱WIMWIG),主張延長十年並更新法案內容,使其能涵蓋人工智慧帶來的新型攻擊模式,並強化DHS的威脅通報與政策推廣能力。這個版本目前僅在國土安全委員會表決通過,尚未排入眾議院全院議程,離真正代表眾議院立場還有一段距離。

參議院版本則採保守路線,由Gary Peters和Mike Rounds提出的S. 2983主張直接將CISA 2015延長十年至2035年9月30日,並追溯生效以銜接這次的失效空窗,同時把法案正式名稱改為《Protecting America from Cyber Threats Act》,避開與CISA機構的縮寫混淆,內容幾乎不變,只求給企業十年穩定法規環境,獲得產業界壓倒性支持。然而,參議院版本卡關的主因並非技術,而是國土安全委員會資深成員Rand Paul的強硬立場,他要求在條文中加入限制CISA機構從事「假訊息」相關工作,否則拒絕放行。這個立場源於2020年大選後的爭議:部分共和黨員認為,CISA官方曾與社群平台合作處理選舉相關不實資訊,等於讓政府介入言論審查。這讓原本專注資安的立法,被捲入更廣泛的意識形態對抗。

白宮方面則明確表態支持不修改內容的十年延長版本,認為法案已證明其必要性,應避免因政治糾結讓國家網路防禦出現斷層。CISA當局也坦言,在短暫失效期間,整體共享量雖未瞬間歸零,但供應商與企業的互動確實受到了衝擊,顯示法規的穩定性對維持情資共享意願至關重要。

往後幾個月,情勢大致有三種可能走向。最理想的情況,是在2026年1月30日前達成兩黨共識,通過十年延長,並視需要整合部分AI或新型攻擊的技術性更新,使體系更貼近現況。第二種情境,是再度依賴短期延長,讓法案不至於中斷,但持續製造不確定性。最具風險的情境則是,政治僵局讓CISA 2015再次到期,企業因法律疑慮而降低共享量,最終削弱整體威脅偵測能力。

對企業而言,這段歷程凸顯了法規到期雖不會讓共享瞬間停止,但確實會墊高法律審查成本,並迫使企業更保守。從政策角度來看,美國接下來不只要思考是否以及如何更新CISA 2015以因應AI與新型攻擊,也得更清楚地畫出隱私保護與威脅共享的邊界。更重要的是,美國作為國際資安威脅情資共享網路的核心之一,CISA 2015能否穩定延續,也會間接影響盟國之間的合作深度與全球攻擊態勢的掌握。整體來說,這次僅是暫時延長,真正的考驗,是國會能否在政治分歧之外,為下一個十年的網路安全韌性找到一條可長可久的路。(1798字;圖1)


參考資料:
Cyber information sharing law would get extension under shutdown deal bill. Cyberscoop, 2025/11/10
Congress extends CISA 2015, but path to long-term reauthorization remains murky. Federal News Network, 2025/11/13
The Cybersecurity Information Sharing Act of 2015: Expiring Provisions. CONGRESS.GOV, 2025/11/14
Cybersecurity Information Sharing Act of 2015. America’s Cyber Defense Agency, 2015/12/18
S.2983 - Extending Expired Cybersecurity Authorities Act. CONGRESS.GOV, 2025/10/07
Peters & Rounds Introduce Bipartisan Bill to Restore Critical Cybersecurity Protections. 2025/10/09
H.R.5079 - Widespread Information Management for the Welfare of Infrastructure and Government Act. CONGRES.GOV, 2025/09/03

 

 
歡迎來粉絲團按讚!
--------------------------------------------------------------------------------------------------------------------------------------------