Un merci spécial à l’associé d’été de Taft Richard Rodiger pour sa contribution significative à ce poste.
Le 20 mai 2025, le représentant de l’Ohio Adam Mathews (district 56) et le représentant de l’Ohio Haraz N. Ghangbari (district 75) Ohio House Bill 283 (La loi), législation qui nécessite des subdivisions politiques au sein de l’État pour émettre des programmes de sécurité informatique. Dans l’Ohio, une «subdivision politique» est un comté, une municipalité, une société municipale ou un autre organisme d’entreprise et politique responsable des activités gouvernementales dans un domaine géographique plus petit de tout l’État.
La langue de la loi a été incorporée dans son intégralité Facture budgétaire de l’Ohio State Passé le 30 juin 2025.
Les experts en matière de confidentialité et de sécurité affirment qu’un programme informatique obligatoire est attendu depuis un certain temps. Mais compliquer les efforts de conformité d’une subdivision politique est le fait que le temps est court. Les dispositions de la loi entrent en vigueur le 29 septembre 2025. Non seulement les subdivisions politiques devront déterminer comment améliorer efficacement un programme efficace, mais devront également se préparer à des restrictions sur la façon de gérer les menaces à la sécurité des ransomwares. Voici quelques-unes des caractéristiques clés des exigences de la loi:
Adoption du programme de sécurité informatique
L’acte place un large éventail de responsabilités pour les organismes gouvernementaux locaux. Généralement, il faut que les subdivisions politiques adoptent un programme de sécurité informatique conforme aux meilleures pratiques et cite le Institut national des normes et du cadre de cybersécurité technologique et le Centre des meilleurs pratiques pour la cybersécurité de la sécurité Internet comme directives potentielles.
Plus précisément, la loi répertorie les exigences minimales pour ce qu’un programme devrait faire:
- Identifier et faire face aux fonctions critiques et aux risques de sécurité informatique,
- identifier les impacts potentiels de la violation,
- Spécifier les mécanismes de détection des menaces,
- Créer des procédures pour analyser et contenir des accidents de sécurité informatique et établir des canaux de communication E
- Créez des procédures pour réparer l’infrastructure et maintenir la sécurité après un accident.
La loi exige également que les subdivisions politiques mettent en œuvre la formation sur la sécurité informatique des employés. Le niveau et la fréquence de formation pour un employé donné doivent correspondre à leurs fonctions.
Réponse aux accidents de la sécurité informatique
La loi exige d’autres devoirs des divisions politiques lorsque des “accidents de sécurité informatique” et des “accidents de ransomware” se produisent. Les accidents de la sécurité informatique impliquent tous deux:
- une perte de confidentialité, d’intégrité ou de disponibilité du système ou du réseau,
- Un impact sur la sécurité et la résilience des systèmes et des processus d’exploitation,
- Interruptions des opérations commerciales ou industrielles ou dans la capacité de fournir des biens et des services, ou
- Accès non autorisé au système ou au réseau causé par (i) un compromis d’un fournisseur d’hébergement de données de troisième partie ou (ii) un compromis de la chaîne d’approvisionnement.
Les accidents de ransomware sont un sous-ensemble d’accidents de sécurité informatique qui impliquent d’abord un acteur utilisant un logiciel pour (1) obtenir un accès non autorisé aux systèmes ou aux données de la technologie informatique d’une subdivision ou (2) autrement rendre les systèmes ou les données non disponibles pour la division. L’acteur exige donc un paiement de rachat pour empêcher la publication des données, restaurer l’accès à la division aux données ou remédier autrement aux effets du logiciel de l’acteur.
Exigences post-incident
Après tout accident de sécurité informatique, la subdivision politique doit signaler tous les accidents au directeur exécutif de la Division de la sécurité nationale au sein du ministère de la Sécurité publique dès que possible, mais au plus tard sept jours après avoir découvert l’accident. La division politique doit également signaler tous les accidents à l’auditeur d’État dès que possible, mais au plus tard trente jours après avoir découvert l’accident.
Dans le cas d’un accident de ransomware, la loi interdit une subdivision politique pour se conformer à la demande à moins que son autorité législative n’approuve une résolution ou une ordonnance en particulier en affirmant pourquoi la conformité est dans le meilleur intérêt de la subdivision.
Recommandations
Bien que la loi modifie considérablement les responsabilités des subdivisions politiques, au moins ils peuvent mettre en œuvre les éléments suivants pour s’assurer que leurs programmes de sécurité informatique sont efficaces.
- Mettez en œuvre les politiques de classification et de cartographie pour permettre à la division d’identifier et d’identifier rapidement ses documents électroniques. Ces politiques sont des conditions préalables à tout programme de sécurité informatique efficace.
- Adoptez une politique de sécurité de l’entreprise qui maintient tous les employés sur la même page concernant les problèmes de sécurité informatique.
- Effectuer des efforts de profondeur sur la formation et la sensibilisation pour réduire le risque d’accidents de la sécurité informatique et des ransomwares dérivant d’abord et informe les employés des exigences légales en cas d’accident.
- Élaborer, mettre en œuvre et tester un plan de réponse aux accidents. Ce plan fournit un livre de jeu pour aider à guider les décisions pendant et après un accident.
La mise en œuvre d’un programme de sécurité informatique solide est un processus compliqué. Les subdivisions politiques devraient consulter un consultant juridique qualifié pour s’assurer que leur programme est conforme à la nouvelle loi et est efficace pour limiter les risques associés à la sécurité informatique et aux accidents de ransomware.
Pour aller plus loin
