Dispositions cyber et technologiques clés incluses et exclues de la NDAA finale

Les membres de la Chambre et du Sénat ont réconcilié leurs deux versions de la loi d’autorisation de la défense nationale de 2023, autorisant 858 milliards de dollars de dépenses par le ministère de la Défense, en plus du ministère de l’Énergie et des agences de renseignement.

La commission des forces armées du Sénat a publié mardi le texte du projet de loi final, ainsi qu’un résumé de 748 pages, après plusieurs mois de délibérations des décideurs politiques sur ce qui est devenu l’un des rares textes législatifs à adopter chaque année.

Voici où les législateurs ont finalement atterri sur des dispositions Nextgov a suivi avec des implications pour la cybersécurité et les technologies émergentes.

La cyber-sécurité

Premièrement, la version finale du projet de loi choisit de ne pas instituer un mandat de cinq ans pour le directeur de l’Agence de la cybersécurité et de la sécurité des infrastructures.

La disposition a été incluse dans la NDAA adoptée par la Chambre par le représentant Andrew Garbarino, RN.Y., membre de premier plan du panel des comités de sécurité intérieure sur la cybersécurité, pour stabiliser la direction des départements, selon le membre du Congrès. Il aurait également précisé que le directeur du CISA devrait être nommé par le président et confirmé par le Sénat.

Bien que ce soit la deuxième année que Garbarino essaie et échoue à inclure la mesure dans la NDAA, elle a été considérée par les observateurs comme l’une des dispositions de cybersécurité les moins controversées du projet de loi sur la défense de cette année, avec la codification d’un bureau de la cyberdiplomatie à l’État. Département, qui l’a fait figurer dans le compromis publié mardi.

Les analystes ont prédit avec précision que les dispositions clés en matière de cybersécurité liées à l’augmentation de la visibilité des gouvernements sur les chaînes d’approvisionnement de logiciels de leurs fournisseurs et à l’identification des entités d’importance systémique pour l’assistance fédérale et les responsabilités réglementaires seraient exclues de la NDAA réconciliée après l’opposition de l’industrie.

Le projet de loi final excluait également une disposition du représentant Ritchie Torres, DN.Y., qui aurait tenu le Conseil d’examen de la cybersécurité du Département de la sécurité intérieure responsable de l’analyse de la campagne d’intrusion qui comprenait la tristement célèbre violation de SolarWinds. Après avoir été chargé dans le décret exécutif 14028 d’examiner les circonstances entourant cette violation afin d’éviter que de tels événements ne se reproduisent, le CSRB a plutôt signalé les implications en matière de sécurité des vulnérabilités de Log4J et a maintenant passé à l’examen des activités du groupe de rançongiciels Lapsus$. .

L’un des défis persistants que les législateurs ont cherché à relever pour améliorer la cybersécurité est la formation et le développement de la main-d’œuvre. Mais la version finale du projet de loi ne comprenait pas de disposition établissant un programme pilote de formation en cybersécurité pour les anciens combattants éligibles et les conjoints des militaires. La NDAA adoptée par la Chambre comprenait l’amendement de la représentante Chrissy Houlahan, D-Pa., Et une version du Sénat a été proposée par les sens. Maggie Hassan, DN.H., et John Cornyn, R-Texas.

Les dispositions des deux chambres ont été calquées sur la loi fédérale sur l’expansion des effectifs en cybersécurité, qui avait été précédemment présentée au Sénat par Hassan et Cornyn, et à la Chambre par Houlahan. La législation visait à aider à combler le manque de main-d’œuvre cybernétique en offrant aux vétérans et aux conjoints de militaires éligibles un accès à un programme de formation gratuit conçu pour renforcer leurs cybercompétences professionnelles.

Une initiative bipartite et bicamérale qui a survécu a été la réautorisation du National Computer Forensics Institute. L’accord final de la NDAA réautoriserait jusqu’en 2028 le NCFI financé par le gouvernement fédéral, qui sert de centre national de formation à la criminalistique numérique, fournissant aux responsables de l’application des lois l’expertise nécessaire pour enquêter sur les cybercrimes et les crimes électroniques, y compris un accent croissant sur le traitement des appareils cryptés et répondre aux attaques de rançongiciels.

La NDAA adoptée par la Chambre comprenait une législation qui aurait réautorisé l’institut jusqu’en 2032, mais le projet de loi final a opté pour un amendement des sens. Dianne Feinstein, D-Calif., Et Chuck Grassley, R-Iowa, qui a réduit la portée de Réautorisation des NCFI. Le Congrès a adopté une loi en 2017 réautorisant le NCFI jusqu’en 2022, après que l’ancien président Donald Trumps a proposé le budget de l’exercice 2018, qui a lancé l’idée d’éliminer le financement des instituts.

Technologie émergente

Poussées par une poussée bipartite pour concurrencer la Chine, les technologies émergentes ont largement reçu un soutien sans réserve dans la NDAA finale.

Certaines des dispositions axées sur les technologies innovantes incluses dans le projet de loi sont de nouveaux programmes pilotes pour moderniser les projets gouvernementaux en phase d’approvisionnement et la formation avancée du personnel aux nouvelles technologies.

L’intelligence artificielle était l’une des technologies émergentes les plus importantes présentées. Un cas d’utilisation spécifique qui devrait recevoir un financement en 2023 est la construction et le partage de référentiels de données, avec des informations du ministère de la Défense, qui sont pertinentes pour le développement ultérieur de logiciels d’IA pour diverses opérations de combat.

Le texte de la NDAA clarifie également les rôles de leadership en matière de développement de l’IA parmi le personnel de la Défense, et alloue davantage de fonds pour générer des rapports décrivant l’utilisation de l’IA dans les opérations de renseignement fédérales.

Les technologies de transformation numérique, à savoir les outils logiciels permettant de répondre aux objectifs de modernisation, ont également fait leur entrée dans la facture finale. La Force spatiale et l’Armée de l’air devraient mettre à niveau leurs plates-formes logicielles pour réviser et faciliter les opérations de gestion.

Une interdiction explicite des semi-conducteurs fabriqués en Chine a été incluse dans la version finale de la NDAA, s’appuyant sur une plus grande poussée pangouvernementale pour favoriser la fabrication nationale de semi-conducteurs afin de libérer davantage les États-Unis des liens économiques avec la Chine.

Une autre fonctionnalité incluse dans la NDAA prévoyait d’accélérer l’expansion de la 5G au sein des départements militaires.

Les dispositions sur les technologies émergentes incluses dans le projet de loi final sur la NDAA s’alignent globalement sur les amendements initialement proposés dans les versions individuelles au sein de la Chambre et du Sénat. Mais la création du Centre d’intelligence artificielle États-Unis-Israël était particulièrement absente de la version finale du projet de loi. Ce partenariat aurait favorisé la coopération entre les deux pays pour développer des technologies d’IA critiques, comme la classification des images et l’étiquetage des données. La disposition exclue était à l’origine un projet de loi présenté en juin 2021 par le sénateur Marco Rubio, R-Fla.

Le Congrès tiendra maintenant un vote final sur le avant de l’envoyer à la Maison Blanche pour la signature des présidents.