CISA 2015 recebe prorrogação

CISA 2015 recebe prorrogação

Uma lei cibernética crítica dos EUA que tinha expirou em setembro de 2025 recebeu uma extensão de curto prazo como parte do esforço dos legisladores para reabrir o governo dos EUA após a prolongada paralisação.

A Lei de Compartilhamento de Informações em Cibersegurança (CISA 2015), que protege as empresas de responsabilidade legal ao compartilhar inteligência sobre ameaças cibernéticas, é Fundamental para apoiar o compartilhamento de informações cibernéticas nos EUA e além.

No seu cerne, a legislação protege as empresas contra processos judiciais ao trocar dados de ameaças cibernéticas por meio de um programa voluntário chamado Programa Automatizado de Compartilhamento de Indicadores (AIS).

Isso trouxe clareza sobre o que pode ser compartilhado com parceiros e agências governamentais de forma segura.

Essa clareza é fundamental, já que uma nova pesquisa do CISO realizada pela fornecedora de plataforma automatizada de resposta a incidentes Binalyze mostrou que apenas uma hora de atraso na resposta a incidentes cibernéticos custa, em média, US$ 114.000 para qualquer organização vítima dos EUA.

O Lei de Apropriações Contínuas, Agricultura, Poder Legislativo, Construção Militar e Assuntos e Extensões de Veteranos, 2026 foi adotado pelo Senado dos EUA em 9 de novembro, encerrando temporariamente a paralisação do governo. Incluía uma cláusula que estendia a CISA 2015 até 30 de janeiro de 2026.

Prorrogação de Curto Prazo do CISA 2025, Apenas um “Patch Temporário”

Essa reautorização de três meses foi geralmente bem recebida pelos profissionais de cibersegurança, mas alguns pediram uma extensão de longo prazo, se não permanente.

Falando com Segurança da Informação, Errol Weiss, CSO do Health Information-Sharing Analysis Center (Health-ISAC), disse que era “um bom sinal” que a cláusula de extensão da CISA 2015 tenha sido incluída na resolução contínua, pois provava que “há definitivamente apoio à lei.”

“Quando o CISA 2015 expirou em 30 de setembro e sabíamos que o orçamento não seria aprovado, temia-o que se perdesse nas questões mais ‘sérias’ do orçamento. Agora que os dois estão ligados, voltamos a trabalhar até janeiro”, disse Weiss.

No entanto, ele também descreveu a medida como “um patch temporário” e instou o Congresso dos EUA a “considerar a extensão permanente do CISA 2015 ou pelo menos por mais 10 anos.”

Weiss disse que a interrupção do Act no final de setembro teve quase nenhum efeito na taxa de compartilhamento de informações entre os membros do Health-ISAC, que ele caracterizou como “em crescimento constante por anos.”

No entanto, acrescentou: “O verdadeiro impacto que vimos foi a disposição das organizações em compartilhar informações sobre ameaças cibernéticas com o governo federal.”

“Sinto que estamos vendo menos de parceiros governamentais, como o FBI, o Departamento de Segurança Interna (DHS) e a Agência de Segurança Cibernética e Infraestrutura (CISA). Isso se deve a vários fatores, incluindo a expiração do CISA 2015”, explicou.

Remediação de Ciberataques Dificultada pela Falta de Talento

Alguns desses fatores incluem a redução de funcionários por parte das agências federais dos EUA. Weiss disse que isso impactou pessoas que profissionais de cibersegurança conhecem, confiam e com quem desenvolveram relacionamentos.

Enquanto isso, os CISOs também estão com falta de pessoal e já enfrentam uma combinação de ameaças cibernéticas acrescidas e problemas internos. Isso torna ainda mais desafiador lidar com a falta de clareza sobre o que podem compartilhar com os governos.

Hoje, 84% dos CISOs acreditam que um ataque cibernético bem-sucedido direcionado à sua organização é “inevitável”, segundo o Estado das Investigações de Cibersegurança 2025, um relatório publicado em 18 de novembro pela Binalyze.

Internamente, muitos dos 200 CISOs baseados nos EUA pesquisados para o relatório disseram estar mal preparados para essas ameaças, com os entrevistados admitindo que só conseguem responder a 36% dos ataques cibernéticos, em média.

Além disso, 70% disseram que tiveram dificuldades para remediar ou se recuperar de um ataque no último ano.

A luta não para após um incidente, com 75% dos CISOs dizendo que não há “garantia” de que o mesmo ataque não terá sucesso novamente e 65% admitindo que suas organizações “nem sempre” aprenderam as lições certas.

O principal desafio citado pelos CISOs pesquisados é o talento, com nove em cada dez (90%) dos entrevistados apontando a falta de habilidades como principal causa das dificuldades de resposta a incidentes.

Essa lacuna se deve em parte às prioridades orçamentárias de suas organizações, com 79% das organizações preferindo a prevenção de ataques cibernéticos em vez de resposta a incidentes, com orçamentos em versãocom uma proporção de 2:1 para prevenção (3,02 milhões de dólares a 1,54 milhões).

Embora o impacto de um ataque cibernético possa ser assustador, uma resposta ruim também pode aumentar o peso da organização. Os entrevistados da pesquisa Binalyze estimaram que o custo de uma única hora de atraso na resposta a incidentes cibernéticos era de cerca de $114.000.

A falta de políticas claras na resposta a incidentes custa às empresas americanas US$ 48,1 bilhões

Além disso, a falta de clareza no compartilhamento de informações também dificulta a resposta a incidentes. A maioria dos CISOs (68%) “reportou incorretamente” uma violação aos reguladores por falta de clareza forense e 74% reivindicaram menos do que o direito ao seu provedor de seguro devido à falta de confiança na reivindicação.

Nos últimos cinco anos, os CISOs estimaram que a falta de clareza gerou um custo médio de US$ 1,1 milhão para as organizações dos EUA. Ampliado para o nível nacional, isso significaria que a falta de clareza nas investigações cibernéticas custou às empresas americanas US$ 48,1 bilhões no total nos últimos cinco anos.

Weiss disse Segurança da Informação ele gostaria de ver, em uma futura extensão de longo prazo do CISA 2015, uma “linguagem mais explícita” protegendo organizações que compartilham informações sobre incidentes cibernéticos, não apenas informações sobre ameaças cibernéticas.

“Uma das grandes questões que os advogados internos levantariam é que, se compartilhassem informações do incidente de forma mais ampla, mais pública, elas poderiam ser usadas contra eles em qualquer possível ação coletiva. E isso parece ser a norma, hoje em dia”, explicou.

Os resultados do relatório Binalyze baseiam-se em uma pesquisa com 200 CISOs dos EUA e outros com responsabilidade exclusiva pela tomada de decisões de cibersegurança em TI em empresas com 500 ou mais funcionários. A pesquisa foi realizada em setembro de 2025.

O número de US$ 48,1 bilhões é baseado na multiplicação do número de empresas americanas com mais de 500 funcionários (43.779, segundo o Associação NAICS), pelo custo médio de US$ 1,1 milhão que cada empresa suportou nos últimos cinco anos devido à falta de clareza nas investigações cibernéticas.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.