Conteúdo: Em 26 de agosto de 2021, o Comitê Federal de Segurança de Aquisições (FASC) emitiu as regras finais para a implementação da Lei Federal de Segurança da Cadeia de Suprimentos de Aquisição de 2018. Veja 86 Fed. Regg. 47582 (26 de agosto de 2021). O FASC fez pequenas alterações e esclarecimentos sobre suas regras provisórias, publicadas no Federal Reserve 85. Regg. 54263 (setembro) 1.2020), mas recusou-se a responder a muitas das recomendações do comentarista, rejeitando-as ou alegando que as regras provisórias ou as leis existentes forneceram procedimentos suficientes.
Tempo: A regra final entrou em vigor 30 dias após sua publicação no Registro Federal em 26 de agosto de 2021.
O que significa para a indústria: À medida que as ameaças de segurança cibernética e vigilância se tornam mais comuns, o governo dos EUA continuará a aumentar seus esforços para responder a essas ameaças por meio de uma série de autoridades legais. Portanto, os contratados federais devem esperar que as agências governamentais tomem mais medidas para abordar os riscos de segurança da cadeia de suprimentos, incluindo a emissão de ordens de remoção e exclusão de acordo com essa regra final. A última regra fez uma modificação modesta nas regras temporárias do FASC. Reorganizou as regras para cumprir a estrutura e o número de 41 C.F.R. Alguns termos foram esclarecidos e a proteção geral das informações enviadas por entidades não federais foi adicionada.
Antecedentes
Lei Federal de Segurança da Cadeia de Suprimentos de Compras 2018 (FASSSSA ou Act), capítulo II do bar. Eu No. 115-390, destinado a coordenar os esforços do governo para proteger a cadeia de fornecimento de tecnologia da informação e comunicação (TIC), inclusive melhorando o compartilhamento de informações e coordenando ações para proteger a cadeia de suprimentos. A FASSA criou a FASC, uma comissão interinstitucional de administração, presidida por um alto funcionário do Gabinete de Gestão e Orçamento, incluindo representantes da Administração Geral, do Departamento de Segurança Interna dos Estados Unidos da América (DHS), do Gabinete do Director da Agência Nacional de Inteligência e do Departamento de Justiça dos Estados Unidos da América, do Ministério da Defesa e do Comércio. O Financial Accounting Standards Board está mandatado para desempenhar várias funções, incluindo recomendações para pedidos de remoção de artigos cobertos por TIC do sistema de informações da agência executora ou para excluir fontes ou cobrir itens das ações de aquisição da agência executora. As recomendações do FASC sobre exclusão e exclusão são enviadas ao Ministro da Segurança Interna, ao Secretário de Defesa e ao Diretor da Agência Nacional de Inteligência, que podem então emitir ordens para excluir ou excluir sistemas de informação sob sua autoridade.
A regra temporária consiste em três partes principais. A Parte A discute o gerenciamento do FASC e seus membros. A Parte B estabelece o Departamento de Segurança Interna para agir através da Agência de Segurança de Rede e Infraestrutura (CISA) como uma agência de compartilhamento de informações (ISA) ou uma agência responsável pelas atividades diárias do Financial Accounting Standards Board. Finalmente, a subseção C discute os procedimentos que o FASC seguirá ao emitir recomendações de expulsão ou exclusão e descreve os procedimentos para que as agências solicitem isenções para ordens de expulsão ou exclusão.
Resumo
Confidencialidade das informações fornecidas ao FASC
O Financial Accounting Standards Board revisou modestamente as regras provisórias para abordar as preocupações sobre o processamento de informações submetidas ao Financial Accounting Standards Board. Especificamente, a regra final acrescenta o parágrafo 201-1.201 (e) para descrever a proteção fornecida a informações apresentadas por instituições não financeiras que não estão disponíveis publicamente ou comercialmente. De acordo com o FASC, se o NFE enviado por essas informações for marcado como "confidencial e não divulgável", o FASC não publicará materiais marcados ao público, exceto conforme exigido por lei. No entanto, o parágrafo 201-1.201 (e) (2) também afirma claramente que o US Financial Accounting Standards Board mantém ampla discrição para divulgar as informações apresentadas pela NFEs aos destinatários apropriados “em uma série de casos”. Although the FASC recognized that this reservation “may dissuade some NFEs from submitting sensitive information,” the FASC chose at this time “to prioritize greater sharing of information in appropriate circumstances over the possibility of receiving more supply chain risk information from NFEs.”O FASC também indicou que modificou as regras provisórias para esclarecer que as informações confidenciais apresentadas pelas fontes de TIC estavam sujeitas ao mesmo grau de proteção fornecido pelo novo parágrafo 201-1.201 (d) para informações confidenciais voluntariamente apresentadas pela NFEs.
A FASC também se recusou a fornecer à NFEs a mesma proteção e bar que a Lei de Compartilhamento de Informações de Segurança Cibernética de 2015. Eu No. Divisão 114-113. N (CISA 2015) Como o FASC está coordenando com os membros do FASC para considerar qualquer interseção entre as autoridades do CISA 2015 e do FASC, ele se reserva qualquer orientação adicional em uma data posterior. Além disso, o US Financial Accounting Standards Board se recusou a adicionar proteção ao NFE para enviar informações para apoiar ordens de exclusão ou exclusão. A FASC afirma que “não tem o direito de dispensar, limitar ou alterar de outra forma a responsabilidade legal potencial de uma parte privada contra outra parte privada” e manifesta a sua preocupação de que formas de protecção, como a confidencialidade, possam ser atenuadas pela “eliminação de factores que impeçam a apresentação de informações imprecisas ou enganosas”.
Armazenamento e divulgação pública de informações mantidas pelo Financial Accounting Standards Board
A regra final recusou-se a processar como os dados submetidos ao Financial Accounting Standards Board seriam mantidos e o sistema usado para armazenar tais dados, dizendo que o Financial Accounting Standards Board não queria "restringir indevidamente" as Normas Internacionais de Auditoria. O FASC também não modificou as regras provisórias para abordar mais especificamente a questão da divulgação de informações ao público. Por exemplo, o Financial Accounting Standards Board recusou-se a especificar o compartilhamento de informações de risco da cadeia de suprimentos com o setor privado e recusou-se a estabelecer uma lista de fontes e itens de cobertura para a aplicação de ordens de remoção ou exclusão. De acordo com o FASC, a determinação de publicar informações de risco da cadeia de suprimentos-incluindo a fonte da ordem de exclusão ou remoção e o nome do item coberto-"será uma investigação altamente focada nos fatos". O Financial Accounting Standards Board explicou ainda que outras leis e políticas, como preocupações de segurança nacional, também podem limitar a divulgação de informações.
Precisão das informações enviadas ao FASC
O Financial Accounting Standards Board recusou-se a tomar medidas para garantir que as informações apresentadas ao Financial Accounting Standards Board fossem precisas e verdadeiras para impedir que as empresas enviassem informações para "destruir" seus concorrentes. O FASC indica que, de 201 a 1.300 d), o FASC é obrigado a realizar "a devida diligência" na avaliação dos riscos da cadeia de suprimentos. O Comitê de Investigação Financeira também está autorizado a obter informações de outras fontes governamentais, incluindo agências de investigação e coleta de informações. Portanto, o FASC concluiu que “tem meios suficientes para avaliar a confiabilidade das informações recebidas do setor privado ou de outro lugar”.
Restrições ao comércio e transações com fornecedores estrangeiros
O Artigo 201-1.300 (b) estipula que a fonte ou o contato do item em questão com um país estrangeiro é um fator considerado como parte da análise de risco da cadeia de suprimentos. As commenters pointed out, many companies have connections to ICT sources around the world, and companies could be chilled in dealing with certain suppliers if their association with a certain country will place them automatically under suspicion by the FASC. Para resolver esses problemas, o FASC revisou as regras provisórias, incluindo o parágrafo 201-1.300 (c), que é consistente com o Capítulo 41 do Código dos Estados Unidos. Parágrafo 1323 (f) (2) enfatiza que nada na regra deve ser interpretado como autorizando a emissão de uma ordem de exclusão ou deportação com base apenas na propriedade estrangeira de outras fontes elegíveis. No entanto, o Financial Accounting Standards Board se recusou a abordar ainda mais as relações com fontes globais de TIC, incluindo os aliados dos EUA. A FASC considera que estas proteções adicionais não são necessárias, uma vez que “o FASC pode considerar não apenas se a fonte está ligada a países estrangeiros, mas também a natureza da relação entre o país e os Estados Unidos; Pode não apenas considerar se uma agência federal designou um país como um adversário, mas também considerar qual instituição ou funcionário fez tal designação e por quê. "
Procedimentos para a emissão de recomendações de remoção ou remoção de listas e procedimentos para revisão judicial de ordens de remoção ou remoção de listas
O FASC esclareceu ligeiramente as recomendações relativas à remoção ou exclusão de recomendações e procedimentos de comando, mas rejeitou as alterações mais amplas propostas. Por exemplo, o Financial Accounting Standards Board rejeitou disposições adicionais destinadas a garantir que as fontes de TIC tenham informações suficientes para responder às recomendações de remoção ou exclusão, alegando que as disposições existentes das Regras Provisórias fornecem garantias suficientes. O FASC indica o parágrafo 201 a 1.302 b) 2), que estabelece que as fontes especificadas nas recomendações de notificação padrão nas quais as recomendações do FASC se baseiam devem ser incluídas. Além disso, a fonte tem o direito de conhecer as informações nas quais se baseia a recomendação do Financial Accounting Standards Board, “desde que seja do interesse da segurança nacional e da aplicação da lei”. O FASC também se recusou a solicitar notificações antecipadas e oportunidades antecipadas para responder às recomendações do FASC, alegando que as considerações de segurança nacional podem ser prejudiciais para notificar a fonte de que está sob revisão antes de fazer recomendações. Além disso, o US Financial Accounting Standards Board se recusou a aumentar os elementos do devido processo da regra, incluindo permitir a descoberta. De acordo com as disposições do FASC, as regras e regulamentos já prevêem que o Tribunal Federal de Apelações realize uma revisão judicial de qualquer ordem de exclusão ou deportação decorrente das recomendações do FASC. O FASC também concluiu que o FASSA não previa a detecção. Na revisão judicial baseada em registros administrativos, a descoberta não é uma prática padrão; A descoberta de procedimentos adicionais, como a descoberta, retardará o processo do FASC, o tornará mais caro e impedirá a capacidade do governo de proteger seus sistemas contra ameaças cibernéticas. Além disso, o Financial Accounting Standards Board recusou-se a alterar as regras provisórias, A conclusão é que a Lei de Procedimento Administrativo oferece uma oportunidade suficiente para a participação pública, e as Normas Contábeis Financeiras já prevêem uma revisão judicial da expulsão ou exclusão por meio de medidas adicionais ou (ii) para as empresas que possam se tornar alvos específicos para as quais as partes comentam sobre as futuras regras propostas.
O Financial Accounting Standards Board fez um pequeno esclarecimento. Primeiro, o FASC modifica o § 201-1.300 B) Alterar o rótulo da lista de fatores na regra final de "Padrão" para "Fatores Relacionados" e o parágrafo 201-1.303 B) (4) e C) Eliminar a palavra "diretamente" para que essas disposições reflitam a linguagem do cartão fascista; Uma nova disposição foi incluída no parágrafo 201-1.302 (c) para esclarecer que, uma vez que o FASC emite uma recomendação, a fonte envia uma resposta e, se a fonte provar que a ordem de expulsão ou exclusão é desnecessária, o FASC tem o direito de retirar a proposta.
Implicações reais e legais de ordens de exclusão que afetam a cadeia de suprimentos do contratado
As partes que comentaram levantaram várias preocupações sobre o impacto da ordem de deportação ou da ordem de deportação. Em geral, o Financial Accounting Standards Board não fez nenhuma alteração. Por exemplo, o Financial Accounting Standards Board recusou-se a determinar quando a ação de aquisição coberta foi anunciada e quando entrou em vigor, explicando que tal determinação seria baseada em fatos e riscos específicos. A FASC também se recusou a definir a natureza e o escopo das obrigações do contratado e do subcontratado sob a ordem de exclusão ou remoção, uma vez que o FASC pressupõe que as obrigações do contratado variam de caso para caso. Portanto, o US Accounting Standards Board adiou "o conteúdo do pedido e quaisquer orientações emitidas pela agência de pedidos ou pela agência que executou o pedido, bem como quaisquer termos contratuais aplicáveis ou regulamentos de aquisição".
Com relação ao impacto geral da remoção ou exclusão de ordens em pequenas empresas ou indústrias dos EUA, o Financial Accounting Standards Board apontou que a regra final exige que o Financial Accounting Standards Board inclua em suas recomendações “discussões sobre medidas menos intrusivas consideradas e por que elas não podem ser razoavelmente usadas para reduzir os riscos da cadeia de suprimentos”. O Financial Accounting Standards Board também afirmou que espera pesar o ônus do cumprimento e os benefícios esperados da ordem de expulsão ou exclusão.
A FASC também rejeitou um pedido para isentar a COTS de suas regras, alegando que a colocação de tais fontes sob as regras poderia privar o governo de inovações e novas tecnologias. O Financial Accounting Standards Board apontou que o COTS é generalizado no governo e no setor privado, tornando o COTS um alvo de atores maliciosos, e a exclusão do COTS prejudicaria a capacidade do Financial Accounting Standards Board de implementar com sucesso suas tarefas para reduzir o risco do governo na cadeia de suprimentos.
Isenção de agência
No parágrafo 201 a 1.304 da regra final, o FASC estabeleceu um novo parágrafo que esclarece o procedimento de isenção para agências governamentais. Especificamente, o executivo deve exigir que o funcionário que emitiu a ordem renuncie às seguintes ordens: (1) determinar a ordem relevante; Ii) Uma descrição das exceções solicitadas pela Agência; Iii) Fornecer razões convincentes para conceder exceções; E (iv) fornecer qualquer método alternativo de redução de risco a ser usado pela Agência em vez de cumprir a ordem. O funcionário do pedido tem o direito de decidir se deve conceder uma exceção.
Coordenar os esforços do governo e da cadeia de fornecimento do setor privado
A regra final não especifica um tipo específico de relacionamento formal ou contato entre o FASC e o setor. O Financial Accounting Standards Board explicou que, embora o setor privado tenha uma forte base empírica para riscos e mitigação da cadeia de suprimentos, é cedo demais para estabelecer formalmente qualquer relacionamento com o setor privado. O Financial Accounting Standards Board também se recusou a especificar o conhecimento e a experiência da Força-Tarefa de Gerenciamento de Risco da Cadeia de Suprimentos de TIC na Pesquisa Demográfica e de Saúde na gestão de risco da cadeia de suprimentos, já que a Força-Tarefa não era permanente. Em geral, o Financial Accounting Standards Board recusou-se a alterar as regras provisórias para fortalecer a coordenação entre agências, alegando que o próprio Financial Accounting Standards Board é um órgão interinstitucional.
***
Como o Financial Accounting Standards Board emitiu suas regras finais, as empresas devem estar preparadas para a possibilidade de que certas fontes de TIC possam ser removidas ou excluídas do sistema federal e da cadeia de fornecimento de tais sistemas.
