Cybersecurity Information Sharing Act (CISA) is wetsvoorstel dat Amerikaanse overheidsinstanties en niet-gouvernementele entiteiten in staat zal stellen om informatie met elkaar te delen als ze cyberaanvallen onderzoeken. Het delen van informatie is vrijwillig voor deelnemende organisaties buiten de overheid.
Huidig belemmert een aantal Amerikaanse regelgevingskaders het delen van informatie. Als bijvoorbeeld een ziekenhuis in de Verenigde Staten wordt aangevallen, kunnen ziekenhuisbestuurders worden belet om informatie te delen met overheidsinstanties vanwege privacybeperkingen in de Health Insurance Portability and Accountability Act (HIPAA).
Onder CISA moeten de Director of National Intelligence en de federale ministeries van Binnenlandse Veiligheid, Defensie en Justitie samenwerken en procedures ontwikkelen voor het delen van informatie over cyberdreigingen. Non-federale entiteiten zullen persoonlijke informatie moeten verwijderen voordat indicatoren van cyberdreigingen worden gedeeld, en het ministerie van Binnenlandse Veiligheid (DHS) zal een privacybeoordeling moeten uitvoeren van de ontvangen informatie.
Voorstanders van de wetgeving vrezen dat de federale overheid misbruik zal maken van de manier waarop zij de verzamelde informatie gebruikt. Vanaf dit moment mag de overheid gedeelde informatie alleen gebruiken voor:
- Het identificeren van een cyberbeveiligingsdoel.
- Het identificeren van de bron van een cyberbeveiligingsbedreiging of beveiligingslek.
- Het identificeren van cyberbeveiligingsbedreigingen waarbij een informatiesysteem wordt gebruikt door een buitenlandse tegenstander of terrorist.
- Een onmiddellijke dreiging van overlijden, ernstig lichamelijk letsel of ernstige economische schade, met inbegrip van een terroristische daad of het gebruik van een massavernietigingswapen, voorkomen of beperken.
- Een ernstige dreiging voor een minderjarige, met inbegrip van seksuele uitbuiting en bedreigingen van de fysieke veiligheid, voorkomen of beperken.
- Prevent, investigate, disrupt or prosecute an offense arising out of a threat such as serious violent felonies or relating to fraud and identity theft.