Wetsvoorstel verplichte cybersecurity trainingen Amerikaanse ambtenaren

Amerika-CongresAmerikaanse politici buitelen over elkaar, iedere met een eigen wetsvoorstel om de cybersecurity niveau van het land te verbeteren. De redenen daarvoor zijn algemeen bekend. Het meest recente voorstel van twee senatoren heeft als doel federale ambtenaren te verplichten cybersecurity trainingen te volgen. Bij nadere bestudering is dat best een interessant wetsvoorstel. De snelheid waarmee politici in Washington op dit moment plannen lanceren om het cyberdomein veiliger te krijgen is onvoorstelbaar hoog. Het tempo is vanaf de SolarWinds hack al omhoog gegaan. Met de ransomware besmetting van Colonial Pipeline kwam er nog een tandje bij en sinds dit weekend zorgt Kaseya nog eens voor een acceleratie.

Verplichte trainingen

Een deel van de wetsvoorstellen is duidelijk alleen voor de bühne bedoeld en verdient verder geen aandacht. Het meest recente voorstel voor wettelijke verplichte trainingen heeft een paar interessante componenten, die wellicht ook voor Nederland nuttig kunnen zijn. Twee senatoren willen bereiken met nieuwe wetgeving is dat kennis van inkopers van IT omhoog gaat. De trainingen moeten er toe leiden dat ze beter kunnen doorvragen tijdens het aanschafproces van zowel hardware als software. Ze moeten zo kunnen achterhalen hoe de keten eruit zien waar de aanbieder deel van uitmaakt.

Aanscherping inkoopproces

Zo te zien is dit een aanscherping van een standaard inkoopprocedure of aanbestedingen. Dat de Amerikaanse overheid daar behoefte aan heeft is duidelijk. Tegelijk zou een dergelijke verplichting ook de IT aanbieders helpen. Het helpt immers het kaf van het koren te scheiden. Kiezen voor de aanbieder met de laagste prijs wordt dan minder waarschijnlijk, omdat die partij eigenlijk onmogelijk deel kan uitmaken van een robuuste keten. Dit wetsvoorstel is verder bedoeld om naast andere wetten over cybersecurity te bestaan. De indieners verwijzen bijvoorbeeld daar de opdracht van de president audits voor software vendors als SolarWinds te verbeteren.

Meer IT kennis bij de inkopers

Natuurlijk bestaat de kans dat deze regels gaan leiden tot meer lijstjes met voorwaarden die vluchtig worden bekeken. Aan de andere kant dwingt het de vraag- en aanbodzijde het zwaar onderschatte risico van lange en deels onduidelijk ketens (supply chains) onder ogen te zien. Daarom is het ook verwarrend dat het wetsvoorstel spreekt over cybersecurity trainingen. Het gaat meer over inkopen op basis van IT kennis. Inkopers het IT kennis die kritische vragen kunnen en moeten stellen om tot de veiligste oplossing te komen zouden ook in Nederland zeer welkom zijn.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein