Departamento de Segurança Interna Usando a prontidão da segurança cibernética como um fator de avaliação

O Departamento de Segurança Interna (DHS) dos EUA anunciou em 1º de novembro de 2023 que a prontidão para segurança cibernética seria usada como um fator de avaliação para contratos envolvendo o uso de Informações Não Classificadas Controladas (CUI). Isto segue-se a uma regulamentação significativa do DHS do início deste ano que exige que certos contratantes do DHS com CUI ou que operam sistemas de informação do DHS estejam em conformidade com extensos controlos de segurança cibernética e requisitos de relatórios. O DHS não declarou quando a política entraria em vigor, mas solicita comentários até 17 de novembro de 2023, por meio de um endereço de e-mail identificado no aviso em sam.gov.

O DHS planeja incluir a política, conhecida como Fator de Prontidão para Segurança Cibernética, em aquisições avaliadas com base no melhor valor e dividir os contratantes em três categorias:

  • Alta probabilidade de prontidão para segurança cibernética (para contratados acima da média da população de contratados do DHS que lidam com dados CUI (acima do 53º percentil))
  • Probabilidade de prontidão para segurança cibernética (para contratados entre o 15º e o 53º percentil em comparação com outros contratados do DHS que lidam com dados CUI)
  • Baixa probabilidade de preparação para segurança cibernética (para prestadores de serviço abaixo do 15º percentil de prestadores de serviço do DHS que lidam com dados CUI)

A prontidão será classificada em relação aos padrões de segurança cibernética desenvolvidos pelo National Institute of Standards and Technology (NIST), especificamente NIST Special Publication (SP) 800-171 revisão 2 e NIST SP 800-172. Observe que o NIST está atualmente desenvolvendo a terceira revisão para o NIST 800-171. Os contratados que enviarem ofertas serão obrigados a enviar respostas ao DHS por meio de um questionário de instrumento de avaliação seguro em relação a um modelo desenvolvido pelo DHS, e a classificação atribuída será baseada em quantos e no tipo de requisitos de segurança cibernética um contratado cumpriu total ou parcialmente. Embora não haja verificação de terceiros, os contratados devem ter cuidado ao fornecer informações incorretas porque o DHS pode argumentar que a conformidade com esses controles é material para desencadear implicações do False Claims Act. Além disso, o último rascunho do próximo padrão NIST SP 800-171 inclui um requisito de verificação de terceiros (a partir de agora).

Notavelmente, mesmo os contratados que têm baixa probabilidade de prontidão para a segurança cibernética não serão necessariamente eliminados da competição, mas, presumivelmente, terão mais dificuldade para serem bem-sucedidos após uma avaliação de melhor valor. A forma como o fator de avaliação é elaborado será específica para cada contrato, e pesos diferentes podem ser atribuídos a ele, dependendo da natureza do contrato e das informações envolvidas. Além disso, os contratados que não atendem às expectativas de conformidade com a segurança cibernética do DHS podem ser obrigados a cumprir planos de ação e marcos como uma entrega pós-adjudicação.

Quando isso for implementado, os contratantes deverão estudar cuidadosamente as solicitações com um fator de avaliação de prontidão para segurança cibernética para garantir que o fator de avaliação e os pesos atribuídos sejam claros. Caso contrário, os empreiteiros deverão considerar a possibilidade de interagir com o DHS, conforme permitido, ou apresentar um protesto de licitação pré-adjudicação. Isto também representa mais um incentivo para os contratantes garantirem a conformidade com vários (e, em alguns casos, divergentes) padrões de segurança cibernética. Por sua vez, o DHS também exige que os contratantes da CUI cumpram os controles de segurança adicionais descritos em seu site . Finalmente, os contratantes avaliados sob este factor devem procurar um balanço, se possível, para garantir que a avaliação da segurança cibernética foi consistente com a compreensão do contratante sobre a sua própria prontidão.

O Holland & Knight’s Government Contracts Group continuará monitorando isso para atualizações futuras. Isso também será o assunto de um episódio futuro do podcast de segurança cibernética de contratos governamentais do Holland & Knight, Regulatory Phishing, disponível no Apple Podcasts , Spotify e Amazon Podcasts .