Contenu: Le 26 août 2021, la Federal Acquisition Safety Commission (FASC) a publié les règles finales pour la mise en œuvre de la Federal Acquisition Supply Chain Security Act 2018. Voir 86 Fed. Reg. 47582 (26 août 2021). Le FASC a apporté des modifications et des éclaircissements mineurs à ses règles provisoires, qui ont été publiés dans 85 Fed. Reg. 54263 (septembre) 1, 2020), mais a refusé de répondre à de nombreuses suggestions des commentateurs, soit en les rejetant, soit en affirmant que les règles provisoires ou les lois existantes prévoyaient déjà des procédures adéquates.
Date: Les règles finales entreront en vigueur 30 jours après leur publication dans le Federal Register le 26 août 2021.
Ce que cela signifie pour l'industrie: Alors que les menaces de cybersécurité et de surveillance deviennent plus courantes, le gouvernement américain continuera d'intensifier ses efforts pour y faire face par le biais d'une série d'autorités judiciaires. Par conséquent, les entrepreneurs fédéraux devraient s'attendre à ce que les agences gouvernementales prennent des mesures supplémentaires pour contrer les risques liés à la sécurité de la chaîne d'approvisionnement, y compris des ordonnances de retrait et d'exclusion en vertu de cette règle finale. Les règles définitives apportent des modifications modestes aux règles provisoires de l'EASFC. A réorganisé les règles pour les aligner sur la structure et la numérotation des 41 C.F.R. Certains termes ont été clarifiés et la protection générale des renseignements soumis par des entités non fédérales a été ajoutée.
Historique
Loi fédérale de 2018 sur la sécurité de la chaîne d'approvisionnement en matière d'approvisionnement (FASSSA ou Loi), chap. II, Bar. Moi. No. 115-390, visant à coordonner les efforts du gouvernement pour protéger la chaîne d'approvisionnement des technologies de l'information et des communications (TIC), y compris en améliorant le partage de l'information et en coordonnant les actions pour protéger la chaîne d'approvisionnement. La FASSA a créé le FASC, un comité interinstitutions de l ' exécutif présidé par un haut fonctionnaire du Bureau de la gestion et du budget, qui comprend des représentants de l ' Administration des services généraux, du Département de la sécurité intérieure des États-Unis, du Bureau du Directeur de la National Intelligence Agency et des Ministères de la justice, de la défense et du commerce des États-Unis. Le Financial Accounting Standards Board est chargé de diverses fonctions, notamment de formuler des recommandations sur les commandes qui nécessitent la suppression des articles couverts par les TIC des systèmes d'information des agences d'exécution ou l'exclusion des sources ou des articles couverts des opérations d'achat des agences d'exécution. Les recommandations de l ' AFSC concernant l ' exclusion et l ' exclusion sont envoyées au Secrétaire à la sécurité intérieure, au Secrétaire à la défense et au Directeur général de la National Intelligence Agency, qui peuvent alors émettre des ordonnances d ' exclusion ou d ' exclusion des systèmes d ' information relevant de leur compétence.
Les règles provisoires comportent trois éléments essentiels. La partie A traite de la gestion de l'EASFC et de ses membres. La sous-partie B établit le Département de la sécurité intérieure, agissant par l ' intermédiaire de la Cybersecurity and Infrastructure Security Agency (CISA), en tant qu ' organisme de partage de l ' information (ISA) ou en tant qu ' organisme responsable des activités quotidiennes du Conseil des normes de comptabilité financière. Enfin, la sous-partie C traite du processus que l'ACSF doit suivre pour émettre une recommandation de renvoi ou d'exclusion et décrit le processus par lequel l'Agence peut demander une exemption d'une ordonnance de renvoi ou d'exclusion.
Résumé
Confidentialité des renseignements fournis à l’ASFC
Le Conseil des normes de comptabilité financière a apporté des modifications modestes aux règles provisoires pour répondre aux préoccupations concernant le traitement des informations soumises au Conseil des normes de comptabilité financière. Plus précisément, les articles 201-1.201 e) ont été ajoutés à la règle finale pour décrire la protection qui sera accordée aux informations soumises par des institutions non financières qui ne sont pas autrement accessibles au public ou commercialement. Selon les dispositions de l'ACSF, si ces renseignements sont marqués comme « confidentiels et non divulgables au public » par l'ENF qui les a soumis, l'ACSF ne mettra pas les documents marqués à la disposition du public, sauf dans la mesure exigée par la loi. Néanmoins, le paragraphe 201-1.201(e)(2) précise également que le Financial Accounting Standards Board des États-Unis conserve un large pouvoir discrétionnaire pour divulguer les informations soumises par les ONF aux destinataires appropriés « dans une série de circonstances». Bien que l'ACSF reconnaisse que cette réserve « pourrait empêcher certaines ENF de soumettre des renseignements sensibles », l'ACSF choisit pour le moment « d'accorder la priorité à un plus grand échange de renseignements, le cas échéant, plutôt qu'à la possibilité d'obtenir davantage de renseignements sur les risques liés à la chaîne d'approvisionnement de la part des ENF ». L'AFSC a également indiqué qu'elle avait modifié les règles provisoires afin de préciser que les renseignements confidentiels soumis par des sources de TIC sont assujettis au même niveau de protection que les renseignements confidentiels soumis volontairement par les EFN au nouvel alinéa 201-1.201(d).
L'AFSC a également refusé d'accorder aux NFE la même protection que la Loi de 2015 sur le partage de l'information en matière de cybersécurité, Bar. Moi. No. Division 114-113. N (CISA 2015) Étant donné que l'ACSF se concerte avec les organismes membres de l'ACSF pour tenir compte de tout chevauchement entre l'ACSF 2015 et les autorités de l'ACSF, toute orientation supplémentaire est réservée à une date ultérieure. En outre, le Financial Accounting Standards Board des États-Unis a refusé d'ajouter une protection aux ENF qui soumettent des informations à l'appui d'une ordonnance de retrait ou d'exclusion. L'AFSC a fait valoir qu'elle n'avait « pas le pouvoir d'exonérer, de limiter ou de modifier d'une autre manière la responsabilité juridique potentielle d'une partie privée à l'égard d'une autre partie privée » et s'est dite préoccupée par le fait que des formes de protection telles que la confidentialité pourraient « nuire à la qualité de l'information reçue » en « éliminant les facteurs dissuasifs qui empêchent la communication d'informations inexactes ou trompeuses ».
Stockage et divulgation des informations détenues par le Financial Accounting Standards Board
La règle finale refuse de traiter de la manière dont les données soumises au FASB seront conservées et des systèmes utilisés pour stocker ces données, affirmant que le FASB ne veut pas "restreindre indûment" les ISA. L'AFCP n'a pas non plus modifié les règles provisoires pour traiter plus précisément de la communication de renseignements au public. Par exemple, le Financial Accounting Standards Board a refusé de préciser les circonstances dans lesquelles les informations sur les risques liés à la chaîne d'approvisionnement sont partagées avec le secteur privé, et a refusé d'établir une liste des sources et des articles couverts auxquels des ordonnances de retrait ou d'exclusion s'appliquent. Selon l'ACSF, la détermination de publier des renseignements sur les risques liés à la chaîne d'approvisionnement, y compris les sources visées par une ordonnance d'exclusion ou de retrait et les noms des articles visés, « serait une enquête hautement factuelle ». Le Financial Accounting Standards Board a en outre expliqué que d'autres lois et politiques, telles que les préoccupations de sécurité nationale, peuvent également restreindre la divulgation d'informations.
Exactitude des renseignements présentés à l’ASFC
Le FASB a refusé de prendre des mesures pour s'assurer que les informations soumises au FASB sont exactes et véridiques afin d'empêcher les entreprises de soumettre des informations pour « nuire » à leurs concurrents. L'ASFC fait référence à l'alinéa 201-1.300(d) qui exige que l'AASFC fasse preuve d'une « diligence raisonnable appropriée » dans l'évaluation des risques liés à la chaîne d'approvisionnement. La Commission d'enquête financière est également autorisée à obtenir des informations d'autres sources gouvernementales, y compris des agences d'enquête et de collecte de renseignements. Par conséquent, l'ACSF a conclu qu'elle disposait déjà de « moyens suffisants pour évaluer la fiabilité des renseignements reçus du secteur privé ou d'ailleurs ».
Restrictions au commerce et aux transactions avec les fournisseurs étrangers
L'article 201-1.300(b) prévoit que la source ou le lien de l'article en question avec un pays étranger est un facteur à prendre en considération dans le cadre de l'analyse des risques de la chaîne d'approvisionnement. Comme l ' ont noté les commentateurs, de nombreuses entreprises ont des liens avec des sources de TIC dans le monde entier et peuvent avoir des relations froides avec certains fournisseurs si leurs liens avec un pays donné les exposent automatiquement à la suspicion du FASB. Pour résoudre ces problèmes, l'ACSF a modifié les règles provisoires, y compris l'article 201-1.300(c), qui est conforme au chapitre 41 de l'USC. L'article 1323(f)(2) souligne que rien dans cette règle ne doit être interprété comme autorisant la délivrance d'ordonnances d'exclusion ou d'expulsion fondées uniquement sur la propriété étrangère d'autres sources éligibles. Cependant, le Financial Accounting Standards Board a refusé de poursuivre ses relations avec les sources mondiales de TIC, y compris les relations avec les pays alliés des États-Unis. L ' AFSC estime que ces protections supplémentaires ne sont pas nécessaires car, lorsqu ' elle évalue les risques liés à l ' article ou à la source visés, <; <; l ' AFSC peut examiner non seulement si la source a un lien avec un pays étranger, mais aussi la nature de la relation de ce pays avec les États-Unis >; >;; Peut non seulement déterminer si une agence fédérale a désigné un pays comme adversaire, mais aussi quel organisme ou fonctionnaire a fait une telle désignation et pourquoi. "
Procédure pour émettre une recommandation de renvoi ou de radiation et procédure de contrôle judiciaire d'une décision de renvoi ou de radiation
L'AFCP a apporté des éclaircissements mineurs sur la proposition de retirer ou d'exclure la proposition et le processus d'ordonnance, mais a rejeté la proposition de modification plus générale. Par exemple, le Financial Accounting Standards Board a rejeté les dispositions supplémentaires visant à garantir que les sources TIC disposent d'informations suffisantes pour répondre aux propositions de suppression ou d'exclusion, au motif que les dispositions existantes des règles provisoires fournissent des garanties suffisantes. L'ASFC renvoie au paragraphe201-1.302b)(2), qui stipule que la source désignée dans la recommandation doit être informée des critères sur lesquels l'AASFC fonde sa recommandation. De plus, les sources ont le droit de connaître les renseignements sur lesquels se fondent les recommandations du FASB, « dans la mesure où leur divulgation est dans l'intérêt de la sécurité nationale et de l'application de la loi ». L'AFCP a également refusé d'exiger un préavis et une occasion rapides de répondre à ses recommandations au motif que des considérations de sécurité nationale pourraient ne pas être favorables à ce que la source soit informée qu'elle fait l'objet d'un examen avant qu'une recommandation ne soit faite. En outre, le Financial Accounting Standards Board des États-Unis a refusé d'ajouter des éléments de procédure régulière à la règle, y compris la permission de découvrir. Conformément aux dispositions de l'ACSF, les règles et les lois prévoient déjà un contrôle judiciaire par la Cour d'appel fédérale de toute mesure d'exclusion ou de renvoi découlant de la recommandation de l'ACSF. L'AFSC a également déduit que la FASSA ne prévoit pas de découvertes; La constatation n'est pas une pratique courante dans le cadre d'un contrôle judiciaire fondé sur des dossiers administratifs; Des procédures additionnelles, comme la découverte, ralentiraient les procédures de l'EASFC, les rendraient plus coûteuses et empêcheraient le gouvernement de protéger ses systèmes contre les cybermenaces. En outre, le Conseil des normes de comptabilité financière a refusé de modifier les règles provisoires, Afin de prévoir i) des mesures supplémentaires permettant aux parties de formuler des observations sur les futures règles proposées ou ii) des possibilités de recours supplémentaires pour les entreprises qui pourraient être spécifiquement ciblées, il a été conclu que l ' APA offrait suffisamment de possibilités de participation du public et que l ' APA prévoyait déjà un contrôle judiciaire des ordonnances d ' expulsion ou d ' exclusion.
Le Financial Accounting Standards Board a apporté quelques éclaircissements. Premièrement, l’ASFC modifie le paragraphe201-1.300. (b) Changer l'étiquette de la liste des facteurs dans la règle finale de « critère » à « facteur pertinent » et modifier le paragraphe 201-1.303 B) 4) et C) supprimer le mot "directement" afin que ces dispositions reflètent le langage de la carte fasciste; Une nouvelle disposition a été ajoutée au paragraphe 201-1.302 (c) pour préciser qu'une fois que l'ACSF a émis une recommandation et que la source a soumis une réponse, l'ACSF a le droit de retirer la recommandation si la source prouve que l'ordonnance de renvoi ou d'exclusion n'est pas nécessaire.
Incidences pratiques et juridiques des ordonnances d'exclusion affectant la chaîne d'approvisionnement du contractant
Les parties qui ont formulé des observations ont soulevé diverses préoccupations au sujet de l ' ordonnance d ' expulsion ou de ses effets. Dans l'ensemble, le Financial Accounting Standards Board n'a apporté aucun changement. Par exemple, le Financial Accounting Standards Board a refusé de fixer un "calendrier raisonnable" pour déterminer quand les actions de passation de marché visées par l'annonce et quand elles entreront en vigueur, expliquant qu'une telle détermination serait fondée sur des faits et des risques spécifiques. L'AFCP a également refusé de définir la nature et la portée des obligations de l'entrepreneur et du sous-traitant en vertu d'une ordonnance d'exclusion ou de retrait, car elle suppose que les obligations de l'entrepreneur varieront selon les circonstances. En conséquence, le US Accounting Standards Board a reporté "toute directive concernant le contenu de la commande et toute directive émise par l'organisme qui a commandé la commande ou qui l'a exécutée, ainsi que toute clause contractuelle ou réglementation applicable en matière de passation des marchés".
En ce qui a trait à l'incidence globale des ordonnances de retrait ou d'exclusion sur les petites entreprises ou l'industrie américaine, le FASB a noté que la règle finale exige que le FASB inclue dans ses recommandations « une discussion sur les mesures moins intrusives envisagées et sur les raisons pour lesquelles elles ne peuvent pas raisonnablement être utilisées pour réduire les risques liés à la chaîne d'approvisionnement ». Le Financial Accounting Standards Board a également déclaré qu'il comptait peser le fardeau de la conformité avec les avantages escomptés des ordonnances d'expulsion ou d'exclusion.
L'AFCP a également rejeté une demande d'exemption des produits commerciaux prêts à l'emploi (COTS) de ses règles, au motif que le fait de soumettre ces sources aux règles risquait de priver le gouvernement de l'innovation et des nouvelles technologies. Le FASB a noté que la prévalence des STC dans les secteurs public et privé en faisait une cible pour les acteurs malveillants et que leur exclusion compromettrait la capacité du FASB de s ' acquitter avec succès de son mandat consistant à réduire l ' exposition des gouvernements aux risques liés à la chaîne d ' approvisionnement.
Dérogation par procuration
L'AFCP a établi un nouveau paragraphe dans les règles finales, §201-1.304, qui clarifie le processus d'exemption pour les institutions fédérales. Plus précisément, l'organe exécutif doit exiger que le fonctionnaire qui a émis l'ordonnance renonce à l'ordonnance suivante: (1) déterminer l'ordonnance pertinente; Ii) Une description des exceptions demandées par l ' Office; Iii) Fournir des raisons impérieuses justifiant l ' octroi d ' une dérogation; Iv) fournir toute autre méthode de réduction des risques que l'Office utilisera au lieu de se conformer à l'arrêté. L'officier de commande a le pouvoir de décider d'accorder ou non une exception.
Coordonner les efforts des chaînes d'approvisionnement du gouvernement et du secteur privé
La règle finale ne prévoit aucun type particulier de relation ou de contact formel entre l'ACSF et l'industrie. Le Financial Accounting Standards Board a expliqué que, bien que le secteur privé dispose d'une solide base d'expérience en matière de risques liés à la chaîne d'approvisionnement et d'atténuation, il est trop tôt pour établir officiellement une relation avec le secteur privé. Le Financial Accounting Standards Board a également refusé de spécifier qu'il s'appuyait sur les connaissances et l'expérience du groupe de travail sur la gestion des risques de la chaîne d'approvisionnement des TIC dans le cadre de l'enquête démographique et de santé en matière de gestion des risques de la chaîne d'approvisionnement, car le groupe de travail n'était pas permanent. En général, le FASB a refusé de modifier les règles provisoires pour renforcer la coordination interinstitutions au motif que le FASB était lui-même un organe interinstitutions.
***
Maintenant que le Financial Accounting Standards Board a publié ses règles finales, les entreprises devraient se préparer à la possibilité que certaines sources de TIC puissent être supprimées ou exclues des systèmes fédéraux et de la chaîne d'approvisionnement de ces systèmes.
