Onder de Cyber Security and Resilience (CSR) Bill kunnen Britse IT ondernemers (MSP’s en distributeurs) rekenen op boetes tot 100.000 GBP per dag als ze brakke, lekke, ondeugdelijke software leveren.
Omdat er aan de andere kant van de Atlantische Oceaan zoveel gebeurt komen we er niet meer aan toe te kijken naar de andere kant van de Noordzee. Ook daar gebeurt het nodige dat de IT sector en gebruikers zal raken.
De Britse regering is namelijk al enige tijd aan het schrijven aan wetten die de verantwoordelijkheid voor software fatsoeneren. Net als bij auto’s en wasmachines moeten fabrikanten en verkopers zorgen voor deugdelijke producten.
Elke brancheorganisatie die IT resellers vertegenwoordigt is vanaf de start faliekant tegen dit soort wetgeving. De omvang van de steun die ze voor het protest uit Amerika ontvangen is zeer waarschijnlijk meer dan alleen de instemmende geluiden. De lobby tot op het hoogste niveau heeft jaren voor vertraging gezorgd, maar die route werkt niet meer.
De CTO van het Britse NCSC heeft laatst weer eens on the record aangegeven (bron) dat er op dit moment geen prikkels zijn voor makers en verkopers om tot betere software te komen. Klanten zijn gewoon altijd de pineut en niet in staat betere kwaliteit af te dwingen.
CSR
Omdat de markt niet voor de juiste prikkels zorgt en betere producten zal de Cyber Security and Resilience (CSR) Bill de mogelijkheden voor het opleggen van boetes makkelijk maken. Maximale boetes van 100.000 GBP per dag staan in de laatste versie van het wetsvoorstel.
Dat is niet zomaar een stok achter de deur, elke MSP zal zeer onrustig moeten worden. Blijven wijzen naar de eindklanten als verantwoordelijk voor de juiste werking van software (dat is boodschap van de makers en wederverkopers tot nu toe geweest) maakt duidelijk geen indruk meer. Een MSP kan zodra deze wet van kracht is niet meer zorgeloos ergens wat software uit een cloud plukken en doorschuiven naar de klant. Hij moet kunnen aantonen de werking gecontroleerd te hebben en dat te blijven doen. Distributeurs en marktplaatsen zullen hierdoor ook getroffen worden. Diensten aanbieden zonder te weten of die wel veilig zijn wordt zo wel heel erg moeilijk.
Een horrorverhaal of verlate 1 april grap? Nee, alles behalve dat. De Britse regering wil een hogere cyberweerbaarheid van het land en staat niet langer toe dat leveranciers amper verantwoordelijk gehouden kunnen worden. Om aan te geven dat het de regering ernst is: het verplicht melden van incidenten moet onder de nieuwe wet binnen 24 uur plaatsvinden, dat is nu nog 72 uur. Dat betekent nog al wat voor de MSP’s en andere IT dienstverleners.
Overigens, de Britten staan niet alleen met deze harde aanpak. De EU CSA, wijkt hier niet veel van af. Het grote verschil is dat de Britse pers het onderwerp heeft opgepakt en dat regering en toezichthouders via dat kanaal het onderwerp hoog op de agenda weten te houden. Onder andere door de concreet te maken wat de hoogte van de boetes is die voor MSP’s dreigen.
