Subventions pour la cybersécurité

Dans la loi bipartisane sur les infrastructures, également connue sous le nom de Infrastructure Investment and Jobs Act (IIJA), le Congrès a créé le State and Local Cybersecurity Grant Program (SLCGP) pour "accorder des subventions aux entités éligibles afin de faire face aux risques et menaces de cybersécurité pesant sur les systèmes d'information détenus ou exploités par, ou au nom de, l'État, les collectivités locales ou les gouvernements tribaux". 

Le SLCGP fournit des fonds aux gouvernements étatiques, locaux, tribaux et territoriaux (SLTT) pour faire face aux risques de cybersécurité et aux menaces de cybersécurité qui pèsent sur les systèmes d'information appartenant aux SLTT ou exploités par eux. Toutes les exigences et les orientations du programme sont établies dans l'avis d'opportunité de financement (NOFO).

L'objectif principal du programme est d'aider les gouvernements des pays du Sud-Est de l'Europe à gérer et à réduire les cyberrisques systémiques. Pour ce faire, la CISA a défini quatre objectifs distincts, mais interdépendants : 

• Gouvernance et planification : Élaborer et mettre en place des structures de gouvernance appropriées, ainsi que des plans, afin d'améliorer les capacités de réaction aux incidents de cybersécurité et d'assurer la continuité des opérations.
• Évaluation : Déterminer les domaines dans lesquels la posture de cybersécurité de la SLTT peut être améliorée sur la base de tests, d'évaluations et d'évaluations structurées en continu.
• Atténuation : Mettre en œuvre des mesures de sécurité proportionnelles au risque (résultats des objectifs 1 et 2), en utilisant les meilleures pratiques décrites dans l'élément 5 des éléments 16 requis des plans de cybersécurité et celles énumérées dans l'avis de convocation.
• Développement du personnel : Veiller à ce que le personnel de l'organisation reçoive une formation adéquate en matière de cybersécurité, en fonction de ses responsabilités, comme le suggère l'initiative nationale pour l'éducation à la cybersécurité.

Au total, 4 années de financement ont été allouées au SLCGP. Le financement a commencé au cours de l'année fiscale fédérale (FFY) 2022 et s'étend jusqu'à FFY2025. Chaque année de financement a une période d'exécution de 48 mois.

La formule de répartition de la loi bipartisane sur les infrastructures comprend un niveau de financement de base pour chaque État et territoire. Les allocations pour les États, le district de Columbia et Porto Rico comprennent des fonds supplémentaires basés sur une combinaison de la population totale et de la population rurale. Les dotations définitives pour chaque État et territoire sont incluses dans les avis d'opportunités de financement.

Les agences administratives des États et des territoires sont les seuls candidats éligibles aux subventions fédérales. En Virginie, les collectivités locales travailleront avec le comité de planification de la cybersécurité de Virginie pour recevoir des sous-subventions.

Le Virginia Cybersecurity Planning Committee (VCPC) a été créé et a le pouvoir d'adopter une charte et des statuts conformément à la loi sur l'investissement dans les infrastructures et les emplois (Infrastructure Investment and Jobs Act - IIJA), Pub. L. No. 117- 58, § 70612 (2021), et l'article 93(F) de la 2022 Appropriation Act. 

Le VCPC est constitué en vertu de l'IIJA et du point 93 en tant que "comité de planification". En tant que "planification Le VCPC est spécifiquement chargé de la mise en place d'un "comité d'experts" : 

• Contribuer à l'élaboration, à la mise en œuvre et à la révision du plan de cybersécurité ;
• Approbation du plan de cybersécurité ;
• Contribuer à la détermination de priorités de financement efficaces ;
• Coordonner avec d'autres comités et entités similaires dans le but de maximiser la coordination et de réduire la duplication des efforts ;
• Créer un réseau de planification cohérent qui élabore et met en œuvre des initiatives de préparation à la cybersécurité en utilisant les ressources de la FEMA, ainsi que d'autres ressources fédérales, des SLT, du secteur privé et des communautés confessionnelles ;
• Veiller à ce que les investissements permettent de combler les lacunes en matière de capacités ou de maintenir les capacités ; et
• Veiller à ce que les membres du gouvernement local, y compris les représentants des comtés, des villes et des communes au sein de l'entité éligible, donnent leur accord au nom de toutes les entités locales de l'entité éligible pour les services, les capacités ou les activités fournis par l'entité éligible dans le cadre de ce programme. 

Le VCPC n'est pas autorisé à prendre des décisions relatives aux systèmes d'information détenus ou exploités par l'État ou pour son compte. 

Les projets suivants ont été approuvés par le VCPC et seront mis en œuvre grâce au financement de l'année de programme 1 du SLCGP : 

• Gestion et administration - Financement destiné à assurer l'administration, le contrôle et la conformité de la subvention.
• Partage d'informations sur les indicateurs de cybermenaces - Financement de la création d'un centre d'analyse et de partage d'informations de Virginie (VA-ISAC).
• Plan de cybersécurité et évaluations - Financement de la mise en place du plan de cybersécurité de la Virginie et de l'évaluation des capacités du plan de cybersécurité.
• *La fenêtre de candidature est maintenant fermée Plan de cybersécurité - Financement de la conduite évaluations de référence par rapport aux objectifs du programme du plan de cybersécurité à l'échelle de l'État

Plan de cybersécurité de l'État de Virginiecréé par le VCPC, représente un engagement continu en faveur de l'amélioration de la qualité de vie des citoyens. améliorer et soutenir une approche de la cybersécurité à l'échelle de l'État. Le plan répond également à l'exigence de la les lignes directrices actuelles du ministère américain de la sécurité intérieure pour le SLCGP.​

Le plan de cybersécurité comprend des buts et des objectifs réalisables et mesurables, axés sur : l'inventaire et l'évaluation de l'efficacité des systèmes de sécurité. contrôle des actifs technologiques, des logiciels et des données, surveillance des menaces, protection et prévention des menaces, données, etc. la récupération et la continuité, et la compréhension du niveau de maturité d'une organisation en matière de cybersécurité. Ils sont conçus pour aider le Commonwealth à planifier des technologies de sécurité efficaces et à s'adapter à l'évolution constante des technologies de sécurité. le paysage de la cybersécurité.​

Plan de cybersécurité Vision pour l'amélioration de la cybersécurité​

Créer un écosystème de cybersécurité soutenant une approche globale de l'État pour que les États et les collectivités locales puissent sauvegarder les infrastructures critiques, protéger les données des Virginiens et assurer la continuité des services essentiels. ​

Mission du plan de cybersécurité​

Établir et renforcer les capacités de cybersécurité des entités gouvernementales étatiques, locales et tribales dans les domaines suivants Virginie en fournissant un cadre de technologies et de services permettant d'identifier, d'atténuer, de protéger, de détecter et d'améliorer efficacement la qualité de vie des citoyens de la Virginie. répondre aux cybermenaces. En tirant parti de capacités partagées, d'une planification stratégique et d'une technologie commune le Commonwealth de Virginie s'efforce de protéger de manière efficace et effective la confidentialité, l'intégrité et la sécurité des données. la disponibilité des systèmes, des données et des services essentiels dont bénéficient les Virginiens.​

Voir le plan de cybersécurité​

Les demandes éligibles à ce programme doivent répondre à la définition de "gouvernement local" au sens de l'article 6 U.S.C. § 101(13) :

• Comté, municipalité, ville, canton, autorité publique locale, district scolaire, district spécial, district intra-étatique, conseil de gouvernements (que le conseil de gouvernements soit ou non constitué en société à but non lucratif en vertu de la législation de l'État), entité gouvernementale régionale ou interétatique, ou agence ou instrument d'un gouvernement local.
• Un établissement d'enseignement public (par exemple, une école primaire, une école secondaire ou un établissement d'enseignement supérieur) peut généralement bénéficier d'une aide au titre du SLCGP s'il s'agit d'une agence ou d'un instrument d'un État ou d'une administration locale en vertu de la législation de l'État et/ou de l'administration locale.
• Tribu reconnue par le gouvernement fédéral ou organisation tribale autorisée
• Communauté rurale, ville ou village non constitué en municipalité, ou autre entité publique.

Les candidats non éligibles sont les suivants 

1. les organisations à but non lucratif ; et
2. Sociétés privées
3. Privé Établissements d'enseignement 
   Un établissement d'enseignement privé ne serait pas éligible à l'aide du SLCGP car il ne s'agit pas d'une agence ou d'un instrument d'un État ou d'un gouvernement local. On entend par "assistance" une aide financière, une aide non financière (c'est-à-dire des articles, des services, des capacités ou des activités) ou une combinaison de ces deux types d'aide.  
    
   L'éligibilité des écoles à charte dépend de la fonction de l'école à charte - elle sera éligible si, et seulement si, elle est une agence ou un instrument de l'État ou du gouvernement local. C'est à VITA et à VDEM qu'il appartiendra de prendre cette décision, sur la base de la législation locale ou de l'État. 

Si vous avez des questions ou si vous pensez que votre juridiction a besoin d'aide pour répondre à l'une des exigences de la subvention, veuillez contacter cybercommittee@vita.virginia.gov. 

For more information about the federal grant program, visit: State and Local Cybersecurity Grant Program | CISA. For more information about Virginia’s program, visit: Grant Programs | Virginia IT Agency.

Le SLCGP cherche à réunir les gouvernements des États et des collectivités locales pour améliorer la cybersécurité et équilibre donc les rôles et les autorités. Par exemple, le SLCGP n'autorise l'octroi de subventions qu'aux États et impose des plans de cybersécurité à l'échelle de l'État, mais exige également que 80% du financement de la subvention soit utilisé au profit des localités. Le SLCGP encourage les services partagés mais exige également des ACV lorsqu'un État fournit des articles, des services, des capacités et des activités en lieu et place de sous-subventions de financement (à moins que la législation de l'État n'autorise l'État à décider pour les localités). Pour ce projet d'évaluation, la Virginie assume toutes les obligations en matière d'administration de la subvention et de financement de contrepartie et fournit des services (une évaluation) à chaque entité participante. Par conséquent, les entités participantes doivent soumettre à la fois une demande et un ACL.

Pour postuler aux projets de la phase 2, vous devez avoir participé au projet d'évaluation des capacités du plan de cybersécurité ou avoir réalisé une évaluation comparable à l'aide du modèle de la phase 2 .

Un domaine de projet est une capacité de cybersécurité spécifique du 2022 Plan de cybersécurité de la Virginie. Vous pourrez soumettre des candidatures dans les domaines de projets suivants :

• Installation et maintenance d'un logiciel de gestion de la vulnérabilité
• Mise en œuvre d'un accès sécurisé au réseau à distance, y compris l'accès au réseau sans confiance et l'authentification multifactorielle
• Créer et tenir à jour un inventaire de tous les actifs technologiques de l'entreprise (y compris le matériel et les logiciels).
• Établir et tenir à jour un inventaire des données et effectuer une analyse de sensibilité des données pour tous les systèmes soutenant les activités de l'organisation.
• Déploiement d'un système de détection et de réponse pour tous les postes de travail et serveurs
• Mise en œuvre de pare-feu pour les points d'entrée et de sortie, les dispositifs d'extrémité et les applications web.

Ces domaines de projet ont été approuvés par le comité de planification de la cybersécurité en Virginie lors de sa30 réunion d'octobre. Vous pouvez consulter les données présentées à la commission et la recommandation sur le site de la mairie réglementaire. Vous pouvez également consulter le compte-rendu de la réunion.

Un type d'exécution de projet est une manière d'effectuer le travail associé aux domaines de projet susmentionnés. Ces types d'exécution de projet ont été conçus dans le but de simplifier au maximum les choses pour les collectivités locales et les autres entités qualifiées.

Vous soumettrez une demande pour chaque zone de projet et, dans le cadre de cette demande, vous choisirez parmi les types d'exécution de projet suivants.​​

Pour poser votre candidature, vous devez

• L'évaluation des capacités du plan de cybersécurité est requise pour tous les domaines de projet et tous les types d'exécution de projet. Si vous avez participé au premier projet SLCGP, cette étape est déjà terminée pour vous. Si ce n'est pas le cas, vous devrez compléter les lignes surlignées applicables dans le modèle d'évaluation de la subvention cybernétique phase 2.

• Pour les demandes d'achat de licences supplémentaires uniquement dans le cadre de l'exécution de projets, vous devez indiquer le nom de votre logiciel actuel, le nombre de licences supplémentaires nécessaires et le coût par licence.

• Les demandes de financement de type "Pass-through" pour l'exécution de projets devront être préparées de manière à traiter les points suivants dans la demande :
• Description du projet
• Améliorations attendues
• Total des fonds demandés
• Budget ventilé selon les catégories suivantes :
  • Logiciel
  • Matériel
  • Personnel/augmentation du personnel
• Calendrier prévu
• Principales étapes

Non - La participation au projet précédent (projet d'évaluation des capacités du plan de cybersécurité) n'est pas requise.

Les décisions concernant les demandes de la phase 2 seront prises sur la base des éléments suivants :

• Votre organisation répond-elle aux critères d'éligibilité des sous-récipiendaires énumérés ci-dessus ?

• Participation à l'évaluation des capacités du plan de cybersécurité - ou réalisation d'une évaluation équivalente

• Alignement des ressources de votre organisation pour soutenir le domaine de projet et le type d'exécution de projet sélectionnés. Par exemple, si vous choisissez la mise en œuvre du pare-feu uniquement, votre organisation doit avoir les connaissances, les compétences et la capacité de maintenir le logiciel de pare-feu une fois qu'il a été mis en œuvre.

Les décisions prises dans le cadre du SLCGP visent à maximiser les améliorations apportées aux capacités de cybersécurité dans l'ensemble du Commonwealth, tout en respectant les exigences du programme de subventions, telles que la mise en réserve obligatoire pour les localités rurales.

Nous prévoyons que les projets pourraient commencer dès le 2025 mai et se terminer au 2026 mai.

Oui ! Les résultats de votre évaluation devraient vous donner une idée des domaines dans lesquels vous devriez intervenir ainsi que du type d'exécution de projet le mieux adapté à votre organisation. Cependant, nous ne voulons pas présumer que vous souhaitez explorer tous les domaines potentiels et que le calendrier de la phase 2 est approprié pour votre organisation.