Підтримка вибраних зусиль для зміцнення кібербезпеки країни та внесення змін до виконавчого наказу 13694 і виконавчого наказу 14144
Відповідно до повноважень, наданих мені як Президенту Конституцією та законами Сполучених Штатів Америки, включаючи Закон про міжнародні надзвичайні економічні повноваження (50 U.S.C. 1701 et seq.), Закон про національні надзвичайні ситуації (50 U.S.C. 1601 et seq.), розділ 212(f) Закону про імміграцію та національність 1952 року (8 U.S.C. 1182(f)), та розділ 301 заголовка 3 Кодексу Сполучених Штатів, наказую:
Розділ 1. Зміни до виконавчого наказу 14144. Виконавчий наказ 14144 від 16 січня 2025 року (Зміцнення та просування інновацій у кібербезпеці країни) змінюється наступним чином:
(a) виключити підрозділи 2(a)-(b) та перенумерувати підрозділи 2(c), 2(d) та 2(e) як підрозділи 2(a), 2(b) та 2(c) відповідно;
(b) виключити перше речення підрозділу 2(e);
(c) виключити підрозділи 3(a)-(b) та перенумерувати підрозділи 3(c), 3(d) та 3(e) як підрозділи 3(a), 3(b) та 3(c) відповідно;
(d) виключити з підрозділу 3(c) фразу «У виконавчому наказі 14028 я доручив Міністру оборони та Міністру внутрішньої безпеки встановити процедури для негайного обміну інформацією про загрози для зміцнення колективної оборони мереж Міністерства оборони та цивільних мереж.»;
(e) виключити з підрозділу 3(c)(i)(A) слово «новий»;
(f) виключити підрозділ 4(b)(iv);
(g) виключити підрозділи 4(d)(ii)-(iii);
(h) виключити розділ 5 та перенумерувати розділи 6, 7, 8, 9, 10 та 11 як розділи 5, 6, 7, 8, 9 та 10 відповідно; та
(i) виключити з підрозділу 8(c) фразу «в областях виявлення вторгнень, використання апаратних коренів довіри для безпечного завантаження та розробки та впровадження патчів безпеки.».
Sec. 2. Подальші зміни до виконавчого наказу 14144. Виконавчий наказ 14144 змінюється наступним чином:
(a) виключити розділ 1 та вставити натомість наступне:
«Розділ 1. Політика. Іноземні держави та злочинці продовжують проводити кіберкампанії, націлені на Сполучені Штати та американців. Народна Республіка Китай є найбільш активною та постійною кіберзагрозою для уряду Сполучених Штатів, приватного сектора та критичної інфраструктури, але значні загрози також походять з Росії, Ірану, Північної Кореї та інших, хто підриває кібербезпеку Сполучених Штатів. Ці кампанії порушують надання критичних послуг по всій країні, коштують мільярди доларів і підривають безпеку та конфіденційність американців. Необхідно вжити додаткових заходів для покращення кібербезпеки країни проти цих загроз. Я наказую вжити додаткових заходів для покращення кібербезпеки нашої країни, зосереджуючи увагу на захисті нашої цифрової інфраструктури, забезпеченні послуг та можливостей, які є найважливішими для цифрової сфери, та розвитку нашої здатності реагувати на ключові загрози.»;
(b) виключити підрозділ 2(c) та вставити натомість наступне:
«(c) Відповідні виконавчі департаменти та агентства (агентства) повинні вжити наступні заходи:
(i) До 1 серпня 2025 року Міністр торгівлі, діючи через Директора NIST, повинен створити консорціум з промисловістю в Національному центрі кібербезпеки для розробки рекомендацій, що базуються на консорціумі, які демонструють впровадження практик безпечного розроблення програмного забезпечення, безпеки та експлуатації на основі Спеціальної публікації NIST 800–218 (Рамка безпечного розроблення програмного забезпечення (SSDF)).
(ii) До 2 вересня 2025 року Міністр торгівлі, діючи через Директора NIST, повинен оновити Спеціальну публікацію NIST 800–53 (Контроль безпеки та конфіденційності для інформаційних систем та організацій), щоб надати рекомендації щодо того, як безпечно та надійно впроваджувати патчі та оновлення.
(iii) До 1 грудня 2025 року Міністр торгівлі, діючи через Директора NIST, у консультації з керівниками таких агентств, яких Директор NIST вважає доцільними, повинен розробити та опублікувати попереднє оновлення SSDF. Це попереднє оновлення повинно включати практики, процедури, контролі та приклади впровадження щодо безпечного та надійного розроблення та доставки програмного забезпечення, а також безпеки самого програмного забезпечення. Протягом 120 днів з моменту публікації попереднього оновлення Міністр торгівлі, діючи через Директора NIST, повинен опублікувати остаточну версію оновленого SSDF.»;
(c) виключити з підрозділу 4(b) фразу «Безпека Інтернет-трафіку залежить від правильного маршрутизації та доставки даних до мережі отримувача.» та вставити натомість наступне:
«Відповідні агентства повинні вжити наступні заходи:»;
(d) виключити підрозділ 4(f) та вставити натомість наступне:
«(f) Квантовий комп’ютер достатнього розміру та складності — також відомий як криптоаналітично релевантний квантовий комп’ютер (CRQC) — буде здатний зламати більшість публічної ключової криптографії, що використовується в цифрових системах по всіх Сполучених Штатах та у всьому світі. Національна меморандума безпеки 10 від 4 травня 2022 року (Сприяння лідерству Сполучених Штатів у квантових обчисленнях, одночасно зменшуючи ризики для вразливих криптографічних систем) доручила Федеральному уряду підготуватися до переходу на криптографічні алгоритми, які не будуть вразливими для CRQC.
(i) До 1 грудня 2025 року Міністр внутрішньої безпеки, діючи через Директора Агентства з кібербезпеки та безпеки інфраструктури (CISA), та у консультації з Директором Національної безпеки, повинні опублікувати та регулярно оновлювати список категорій продуктів, у яких продукти, що підтримують постквантову криптографію (PQC), широко доступні.
(ii) До 1 грудня 2025 року, щоб підготуватися до переходу на PQC, Директор Національної безпеки щодо Національних безпекових систем (NSS), та Директор OMB щодо не-NSS, повинні видати вимоги для агентств підтримувати, якнайшвидше, але не пізніше 2 січня 2030 року, протокол безпеки транспортного шару версії 1.3 або наступну версію.»;
(e) виключити колишній розділ 6 (ново призначений розділ 5) та вставити натомість наступне:
«Sec. 5. Сприяння безпеці з використанням штучного інтелекту. Штучний інтелект (ШІ) має потенціал трансформувати кіберзахист, швидко виявляючи вразливості, збільшуючи масштаб технік виявлення загроз та автоматизуючи кіберзахист.
(a) До 1 листопада 2025 року Міністр торгівлі, діючи через Директора NIST; Міністр енергетики; Міністр внутрішньої безпеки, діючи через Заступника міністра з науки та технологій; та Директор Національного наукового фонду повинні забезпечити, щоб існуючі набори даних для досліджень у сфері кіберзахисту були доступні для ширшої академічної дослідницької спільноти (як безпечно, так і публічно) в максимально можливій мірі, з урахуванням конфіденційності бізнесу та національної безпеки.
(b) До 1 листопада 2025 року Міністр оборони, Міністр внутрішньої безпеки та Директор Національної розвідки, у координації з відповідними посадовими особами в Виконавчому офісі Президента, включаючи посадових осіб в Офісі політики науки та технологій, Офісі Національного кібердиректора та Директорі OMB, повинні включити управління вразливостями програмного забезпечення ШІ та компромісами в існуючі процеси своїх агентств та міжвідомчі механізми координації для управління вразливостями, включаючи відстеження інцидентів, реагування та звітування, а також обмін показниками компромісу для систем ШІ.»;
(f) виключити розділ 7 та вставити натомість наступне:
«Sec. 7. Узгодження політики з практикою. Політики агентств повинні узгоджувати інвестиції та пріоритети для покращення видимості мережі та контролю безпеки для зменшення кіберризиків. У консультації з Національним кібердиректором агентства повинні вжити наступні заходи:
(a) Протягом 3 років з дати цього наказу Директор OMB повинен видати рекомендації, включаючи будь-які необхідні зміни до Кола OMB A–130, щоб вирішити критичні ризики та адаптувати сучасні практики та архітектури в усіх федеральних інформаційних системах та мережах.
(b) Протягом 1 року з дати цього наказу Міністр торгівлі, діючи через Директора NIST; Міністр внутрішньої безпеки, діючи через Директора CISA; та Директор OMB повинні створити пілотну програму підходу правил як коду для машинозчитуваних версій політики та рекомендацій, які OMB, NIST та CISA публікують та управляють щодо кібербезпеки.
(c) Протягом 1 року з дати цього наказу члени агентства Ради FAR повинні, за необхідності та відповідно до чинного законодавства, спільно вжити заходів для внесення змін до FAR, щоб вимагати від постачальників федерального уряду споживчих продуктів Інтернету речей, як визначено в 47 CFR 8.203(b), носити маркування United States Cyber Trust Mark для цих продуктів.»; та
(g) виключити підрозділ 8(a) та вставити натомість наступне:
«(a) За винятком випадків, спеціально передбачених у підрозділі 4(f) цього наказу, розділи 1-7 цього наказу не застосовуються до федеральних інформаційних систем, які є NSS або інакше визначені Міністерством оборони або Спільнотою розвідки як системи з руйнівним впливом.».
Sec. 3. Зміни до виконавчого наказу 13694. Виконавчий наказ 13694 від 1 квітня 2015 року (Блокування майна певних осіб, які займаються значними зловмисними кіберзлочинами), змінений виконавчим наказом 13757 від 28 грудня 2016 року (Вжиття додаткових заходів для вирішення національної надзвичайної ситуації щодо значних зловмисних кіберзлочинів), виконавчим наказом 13984 від 19 січня 2021 року (Вжиття додаткових заходів для вирішення національної надзвичайної ситуації щодо значних зловмисних кіберзлочинів) та виконавчим наказом 14144, далі змінюється наступним чином:
(a) виключити з підрозділу 1(a)(ii) фразу «будь-яка особа» та вставити натомість «будь-яка іноземна особа»; та
(b) виключити з підрозділу 1(a)(iii) фразу «будь-яка особа» та вставити натомість «будь-яка іноземна особа.».
Sec. 4. Загальні положення. (a) Нічого в цьому наказі не слід тлумачити як таке, що обмежує або інакше впливає на:
(i) повноваження, надані законом виконавчому департаменту або агентству, або його керівнику; або
(ii) функції Директора OMB, що стосуються бюджетних, адміністративних або законодавчих пропозицій.
(b) Цей наказ буде реалізовано у спосіб, що відповідає чинному законодавству та за наявності асигнувань.
(c) Цей наказ не має на меті і не створює жодних прав або вигод, матеріальних або процедурних, які можуть бути примусово виконані в суді або в рівності будь-якою стороною проти Сполучених Штатів, їх департаментів, агентств або суб’єктів, їх посадових осіб, працівників або агентів, або будь-якою іншою особою.
(d) Витрати на публікацію цього наказу покриваються Міністерством внутрішньої безпеки.
ДОНАЛД ТРАМП
БІЛИЙ ДІМ,
6 червня 2025 року.
Цей пост Підтримка вибраних зусиль для зміцнення кібербезпеки країни та внесення змін до виконавчого наказу 13694 і виконавчого наказу 14144 вперше з’явився на Білому домі.