Cybersecurity Information Sharing Act (CISA) é proposta uma legislação que permitirá às agências governamentais dos Estados Unidos e entidades não-governamentais compartilhar informações entre si enquanto investigam os ciberataques. O compartilhamento é voluntário para as organizações participantes fora do governo.
Correntemente, uma série de estruturas regulatórias dos EUA impedem o compartilhamento. Por exemplo, se um hospital nos Estados Unidos fosse atacado, os administradores do hospital poderiam ser impedidos de compartilhar informações com agências governamentais por causa de privacidade restrições na Lei de Portabilidade do Seguro de Saúde e Responsabilidade (HIPAA).
A CISA, o Diretor de Inteligência Nacional e os departamentos federais de Segurança Nacional, Defesa e Justiça são obrigados a trabalhar juntos e desenvolver procedimentos para compartilhar informações sobre ameaças à segurança cibernética. N entidades federais serão obrigadas a remover informações pessoais antes de compartilhar indicadores de ameaças cibernéticas, e o Departamento de Segurança Nacional (DHS) será obrigado a realizar uma revisão de privacidade das informações recebidas.
Oponentes da legislação preocupam-se com a possibilidade de o governo federal abusar da forma como utiliza as informações coletadas. A partir deste escrito, o governo só poderá usar informações compartilhadas para:
- Identificar um propósito de cibersegurança.
- Identificar a fonte de uma ameaça cibernética ou vulnerabilidade de segurança.
- Identificar ameaças cibernéticas de segurança envolvendo o uso de um sistema de informação por um adversário ou terrorista estrangeiro.
- Prevenir ou mitigar uma ameaça iminente de morte, dano corporal grave ou dano econômico grave, incluindo um ato terrorista ou o uso de uma arma de destruição em massa.
- Prevenir ou mitigar uma ameaça grave a um menor, incluindo exploração sexual e ameaças à segurança física.
- Prevent, investigate, disrupt or prosecute an offense arising out of a threat such as serious violent felonies or relating to fraud and identity theft.