Descripción: El 26 de agosto de 2021, el Comité Federal de Seguridad de Adquisiciones (FASC) publicó la regla final para implementar la Ley Federal de Seguridad de la Cadena de Suministro de Adquisición 2018. Ver 86 Fed. Reg. 47582 (26 de agosto de 2021). FASC realizó cambios menores y aclaraciones sobre sus reglas provisionales, publicadas en 85 de la Reserva Federal. Reg. 54263 (septiembre) 1.202) Sin embargo, se negó a responder a muchas de las sugerencias de los comentaristas, ya sea rechazando las recomendaciones o alegando que las reglas provisionales o las leyes existentes han proporcionado procedimientos adecuados.
Hora: La regla final entró en vigencia 30 días después de su publicación en el Registro Federal el 26 de agosto de 2021.
¿Qué significa para la industria? A medida que la ciberseguridad y las amenazas de vigilancia se vuelvan más comunes, el gobierno de EE. UU. Continuará intensificando sus esfuerzos para enfrentar estas amenazas a través de una serie de autoridades legales. Por lo tanto, los contratistas federales deberían esperar ver a las agencias gubernamentales tomar más medidas para abordar los riesgos de seguridad de la cadena de suministro, incluida la emisión de órdenes de eliminación y exclusión de acuerdo con esta regla final. La regla final modificó modestamente las reglas provisionales de FASC. Reorganizó las reglas para cumplir con la estructura y el número de 41 C.F.R. Se aclararon algunos términos y se agregó una protección general para la presentación de información a entidades no federales.
Antecedentes
Ley Federal de Seguridad de la Cadena de Suministro de Compras 2018 (FASSSA o Act), Capítulo II del bar. Yo. No. 115-390, diseñado para coordinar los esfuerzos del gobierno para proteger la cadena de suministro de las tecnologías de la información y la comunicación (TIC), incluso a través de acciones para mejorar el intercambio de información y coordinar la protección de la cadena de suministro. FASSA creó FASC, un comité interinstitucional de la rama ejecutiva presidido por un alto funcionario de la Oficina de Administración y Presupuesto, que incluye la Oficina de Asuntos Generales, el Departamento de Seguridad Nacional (DHS), la Oficina del Director de Inteligencia Nacional y el Departamento de Justicia de los EE. UU., El Departamento de Defensa y el Ministerio de Comercio. UU. El Consejo de Normas de Contabilidad Financiera está facultado para realizar diversas funciones, incluidas recomendaciones sobre pedidos que requieren la eliminación de artículos cubiertos por las TIC del sistema de información del organismo de ejecución o la exclusión de fuentes o artículos cubiertos de las operaciones de adquisición del organismo de ejecución. Las recomendaciones de la FASC sobre exclusión y exclusión se envían al Ministro de Seguridad Nacional, al Secretario de Defensa y al Director de la Agencia Nacional de Inteligencia, que luego pueden emitir órdenes para excluir o excluir los sistemas de información bajo su autoridad.
Las reglas provisionales contienen tres partes centrales. La Parte A analiza la gestión de FASC y sus miembros. La subsección B establece el Departamento de Seguridad Nacional para actuar a través de la Agencia de Seguridad Cibernética y Seguridad de Infraestructura (CISA) como agencia de intercambio de información (ISA) o como agencia responsable de las actividades diarias del Consejo de Normas de Contabilidad Financiera. Finalmente, la subsección C analiza los procedimientos que debe seguir FASC al emitir una recomendación de expulsión o exclusión y describe el procedimiento de la agencia para solicitar una exención de expulsión o exclusión.
Resumen
Confidencialidad de la información proporcionada a FASC
El Consejo de Normas de Contabilidad Financiera ha realizado una revisión modesta de las normas provisionales para abordar las preocupaciones sobre el procesamiento de la información presentada al Comité de Normas de Contabilidad Financiera. Específicamente, la regla final agrega 201-1.201 (e) para describir la protección que se proporcionará a la información presentada por instituciones no financieras que de otro modo no estaría disponible públicamente o comercialmente. De acuerdo con FASC, FASC no publicará material marcado al público, excepto cuando el NFE enviado se marque como "confidencial y no divulgable". No obstante, el vs. 201-1.201 (e) (2) también estipula claramente que el Consejo de Normas de Contabilidad Financiera de los Estados Unidos se reserva una amplia discreción para divulgar la información presentada por los NFE a los destinatarios apropiados "en una serie de circunstancias". Aunque FASC reconoce que esta reserva "puede evitar que algunos NFE envíen información sensible", FASC ahora elige" dar prioridad a un mayor intercambio de información cuando corresponda, en lugar de obtener más información sobre el riesgo de la cadena de suministro de NFE". FASC también señaló que modificó las normas provisionales para aclarar que la información confidencial presentada por las fuentes de TIC está protegida en la misma medida que la información confidencial presentada voluntariamente por los NFE en el nuevo punto 201-1.201 (d).
FASC también se negó a proporcionar a los NFE la misma protección que la Ley de Intercambio de Información de Seguridad Cibernética de 2015. Yo. No. División 114-113. N (CISA) 2015 Como FASC se está coordinando con las agencias miembros de FASC para considerar cualquier cruce entre CISA 2015 y las autoridades de FASC, se reserva cualquier orientación adicional más adelante. Además, el Consejo de Normas de Contabilidad Financiera de EE. UU. Se ha negado a agregar protección al NFE que envía información para respaldar las órdenes de eliminación o exclusión. La razón de FASC es que "no tiene derecho a eximir, restringir o alterar la posible responsabilidad legal de una parte privada por otra parte privada" y expresó su preocupación de que las formas de protección, como la confidencialidad, puedan "eliminar la información que impide la presentación de información inexacta o engañosa".
Almacenamiento y publicación de información en poder del Comité de Normas de Contabilidad Financiera
La regla final se niega a tratar cómo se mantendrán los datos presentados al Comité de Normas de Contabilidad Financiera y el sistema utilizado para almacenar dichos datos, diciendo que la Junta de Normas de Contabilidad Financiera no quiere "limitar indebidamente" las Normas Internacionales de Auditoría. FASC tampoco modificó las reglas provisionales para abordar más específicamente el tema de la divulgación de información al público. Por ejemplo, la Junta de Normas de Contabilidad Financiera se negó a especificar el intercambio de información sobre el riesgo de la cadena de suministro con el sector privado y también se negó a establecer una lista de fuentes y artículos cubiertos que apliquen órdenes de eliminación o exclusión. Según FASC, la determinación de publicar información de riesgo de la cadena de suministro, incluida la exclusión o eliminación de las fuentes involucradas en la orden y los nombres de los artículos cubiertos, "será una investigación muy basada en los hechos". El Consejo de Normas de Contabilidad Financiera explicó además que otras leyes y políticas, como las preocupaciones de seguridad nacional, también pueden limitar la divulgación de información.
Precisión de la información enviada a FASC
La Junta de Normas de Contabilidad Financiera se ha negado a tomar medidas para garantizar que la información presentada al Consejo de Normas de Contabilidad Financiera sea precisa y veraz para evitar que las empresas envíen información para "socavar" a sus competidores. FASC señaló que sí 201-1.300 (d) requiere que FASC lleve a cabo una "debida diligencia" al evaluar el riesgo de la cadena de suministro. La Junta de Investigación Financiera también está autorizada para obtener información de otras fuentes gubernamentales, incluidas las agencias de investigación y recopilación de inteligencia. Por lo tanto, FASC concluyó que "tiene" medios suficientes para evaluar la confiabilidad de la información recibida del sector privado o de otro lugar".
Restricciones al comercio y las transacciones con proveedores extranjeros
Los artículos 201-1.300 (b) establecen que el vínculo entre la fuente o el artículo en cuestión y el país extranjero es un factor a considerar como parte del análisis de riesgo de la cadena de suministro. Como señalan los comentaristas, muchas empresas están vinculadas a fuentes de TIC en todo el mundo y pueden sentirse indiferentes al tratar con ciertos proveedores si la conexión de la empresa con un país los pone automáticamente en duda por el Consejo de Normas de Contabilidad Financiera.. Para abordar estos problemas, FASC modificó las normas provisionales, incluido el 201-1.300 (c), que es coherente con el Capítulo 41 del Código de los Estados Unidos. P 1323 (f) (2) enfatiza que nada en la regla debe interpretarse como una autorización para emitir una orden de exclusión o deportación basada únicamente en la propiedad extranjera de otras fuentes elegibles. Sin embargo, el Consejo de Normas de Contabilidad Financiera se ha negado a seguir abordando la relación con las fuentes mundiales de TIC, incluidos los aliados de los Estados Unidos. FASC cree que estas protecciones adicionales no son necesarias porque al evaluar el riesgo de los artículos o fuentes cubiertos, "FASC puede considerar no solo si la fuente está vinculada a un país extranjero, sino también la naturaleza de las relaciones del país con los Estados Unidos; No solo puede considerar si una agencia federal designa a un país como adversario, sino que también puede considerar qué agencia o funcionario hizo tal designación y por qué. "
Procedimientos para emitir propuestas de deportación o exclusión de la lista, y procedimientos para la revisión judicial de las órdenes de deportación o exclusión de la lista
FASC hizo una ligera aclaración sobre la propuesta de eliminar o excluir recomendaciones y procedimientos de comando, pero rechazó una propuesta de enmienda más amplia. Por ejemplo, la Junta de Normas de Contabilidad Financiera ha rechazado disposiciones adicionales destinadas a garantizar que las fuentes de TIC tengan suficiente información para responder a la eliminación o exclusión de las recomendaciones sobre la base de que las disposiciones existentes de las Reglas Provisionales brindan garantías suficientes. FASC declara que a (b) 201-1.302 (2) se estipula que la fuente especificada en la recomendación de notificación estándar en la que se basa la recomendación de FASC debe ser notificada. Además, las fuentes tienen derecho a conocer la información en la que se basa la recomendación de la Junta de Normas de Contabilidad Financiera, "siempre que la divulgación de dicha información sea de interés para la seguridad nacional y la aplicación de la ley". FASC también se negó a solicitar una notificación temprana y una oportunidad temprana para responder a las recomendaciones de la FASC sobre la base de que las consideraciones de seguridad nacional podrían no ser propicias para informar a las fuentes que se encuentran bajo revisión antes de hacer una recomendación. Además, el Consejo de Normas de Contabilidad Financiera de EE. UU. Se ha negado a aumentar los elementos del debido proceso de la regla, incluido el permiso para descubrirlo. De acuerdo con FASC, las reglas y regulaciones han estipulado que el Tribunal Federal de Apelaciones lleve a cabo una revisión judicial de cualquier orden de exclusión o deportación que surja de la recomendación FASC. FASC también concluyó que FASSA no especificó el descubrimiento; En la revisión judicial basada en registros administrativos, no se encontró una práctica estándar; El descubrimiento de procedimientos adicionales ralentizará los procedimientos de FASC, los hará más caros y obstaculizará la capacidad del gobierno para proteger sus sistemas de las amenazas cibernéticas. And, the FASC declined to revise the interim rule to provide (i) additional measures for parties to comment on future proposed rules or (ii) additional appeal opportunities for companies that may be specifically targeted, concluding that the Administrative Procedure Act provides adequate opportunities for public participation, and the FASCSA already provides for judicial review of a removal or exclusion order.
El Comité de Normas de Contabilidad Financiera hizo una pequeña aclaración. Primero, FASC modifica 201-1.300 (b) Cambie la etiqueta de la lista de factores en la regla final de "estándar" a "factor relacionado", modifique el punto 101-1.303 (b) (4) y (c) Eliminando la palabra "directo" para que estas disposiciones reflejen el lenguaje de las tarjetas fascistas, Y se incluyó una nueva disposición en el párrafo (c) de 5/201-1.302 para aclarar que una vez que la FASC emitió una propuesta, la fuente presentó una respuesta y FASC tenía la facultad de retirar la propuesta si la fuente demostraba que la expulsión o la orden de exclusión era innecesaria..
Implicaciones reales y legales que afectan la orden de exclusión de la cadena de suministro del contratista
Las partes que hicieron los comentarios expresaron varias preocupaciones sobre el impacto de la orden de deportación o la orden de deportación. En general, el Consejo de Normas de Contabilidad Financiera no hizo ningún cambio. Por ejemplo, la Junta de Normas de Contabilidad Financiera se negó a determinar cuándo declarar las acciones de adquisición cubiertas y cuándo entrar en vigor un "calendario razonable", explicando que tales determinaciones se basarían en hechos y riesgos específicos. FASC también se niega a definir la naturaleza y el alcance de las obligaciones de los contratistas y subcontratistas en virtud de la orden de exclusión o remoción, ya que FASC asume que las obligaciones del contratista variarán caso por caso. Como resultado, el Consejo de Normas Contables de EE. UU. Pospuso "el contenido del pedido y cualquier orientación emitida por la agencia de pedidos o la agencia que ejecuta el pedido, así como cualquier disposición contractual o regulación de adquisiciones aplicable".
Con respecto al impacto general de las órdenes de exclusión o exclusión en las pequeñas empresas o la industria de los EE. UU., El Consejo de Normas de Contabilidad Financiera señaló que la regla final requiere que el Consejo de Normas de Contabilidad Financiera incluya en sus recomendaciones "discusiones sobre medidas menos intrusivas consideradas y por qué estas medidas no pueden ser razonablemente reducidas"Cadena de suministro". La Junta de Normas de Contabilidad Financiera también dijo que espera sopesar los beneficios esperados de cumplir con la carga de cumplimiento y la orden de expulsión o exclusión.
FASC también rechazó una solicitud para eximir a COTS de sus reglas sobre la base de que colocar tales fuentes bajo las reglas podría privar al gobierno de la innovación y las nuevas tecnologías. El Consejo de Normas de Contabilidad Financiera señaló que la prevalencia de COTS en el gobierno y el sector privado ha hecho que COTS sea un objetivo de actores maliciosos, excluyendo que COTS perjudique la capacidad del Consejo de Normas de Contabilidad Financiera para implementar con éxito su tarea de reducir el riesgo del gobierno en la cadena de suministro.
Exención de agente
FASC identificó un nuevo párrafo en la regla final 201-1.304 que aclara el procedimiento de exención para las agencias gubernamentales. Específicamente, el ejecutivo debe exigir al funcionario que emitió la orden que renuncie a la siguiente orden: (a) determinar la orden; (ii) Describa las excepciones buscadas por la Agencia; (iii) proporciona razones convincentes para otorgar excepciones; Y (iv) proporciona cualquier método alternativo de reducción de riesgos que utilizará la Agencia en lugar de cumplir con la orden. El oficial de pedidos tiene el poder de decidir si otorga una excepción.
Coordinar los esfuerzos del gobierno y la cadena de suministro del sector privado
La regla final no especifica un tipo específico de relación o contacto formal entre FASC e industria. La Junta de Normas de Contabilidad Financiera explicó que si bien el sector privado tiene una sólida base de experiencia en el riesgo y la mitigación de la cadena de suministro, es demasiado pronto para establecer formalmente cualquier relación con el sector privado. La Junta de Normas de Contabilidad Financiera también se negó a especificar el conocimiento y la experiencia de confiar en la gestión del riesgo de la cadena de suministro de las TIC en las encuestas de población y salud en la gestión del riesgo de la cadena de suministro, ya que el grupo de trabajo no es permanente. En general, el Consejo de Normas de Contabilidad Financiera se ha negado a enmendar las normas provisionales para mejorar la coordinación interinstitucional sobre la base de que el propio Consejo de Normas de Contabilidad Financiera es un organismo interinstitucional.
***
Dado que el Consejo de Normas de Contabilidad Financiera ha publicado su regla final, las empresas deben estar preparadas para la posibilidad de que ciertas fuentes de TIC puedan ser eliminadas o excluidas del sistema federal y de la cadena de suministro de dichos sistemas.
