MSP’s worden op dit moment amper, tot niet, gecontroleerd door de overheid. De Britse regering onderzoekt nu of dat nodig is en lijkt voor te sorteren op een vorm van regulering. Dit is meer dan zomaar een ontwikkeling aan de andere kant van de Noordzee.
Britse consultatie
Als de overheid iets wil weten is een consultatie een logische stap. Dat is in veel landen inmiddels een vaste procedure. Ook bij de Britten en ook als het gaat om de impact van cybercrime, online aanvallen, ransomware en dergelijke.
Iedereen, burgers en bedrijven hebben daarom afgelopen zomer de kans gekregen te reageren op de ideeën van Londen over deze onderwerpen. Toen die procedure startte was al duidelijk dat men een stap verder wilde en durfde zetten. De timing van de consultatie was bepalend. Het opstellen van het document vond plaatst min of meer gelijk met de hack van Kaseya. De schade en schande van SolarWinds was nog zeer actueel.
Het is daarom best te begrijpen dat Londen met de vragen ook boven tafel wil krijgen welke partijen beter gecontroleerd moeten worden. Sommige aanbieders of grootgebruikers hebben al enige tijd de status van “kritische infrastructuur”. Dat label – soms iets anders geformuleerd – bestaat in veel landen. De EU lidstaten hebben allemaal een dergelijke lijst en de Britten ook. Dat is te verklaren omdat het opzetten van die lijst en het daarbij horende beleid al liep toen de Britten nog deel van de EU waren.
Aandacht van de overheid
Nu dat niet meer het geval is kan Londen een eigen koers varen. En het lijkt erop dat men dat voor cybersecurity wil doen. In de consultatie is namelijk gevraagd of MSP’s meer aandacht van de overheid verdienen. Dat onderwerp is in de EU nog niet op die manier op de agenda gezet. De antwoorden en de eerste reactie van de overheid laten aan duidelijkheid weinig te wensen over. Zoals The Reg al aangeeft: het ziet er naar uit dat MSP’s en nog veel meer bedrijven die een schakel in de IT keten zijn gereguleerd gaan worden. De vraag is nog wel wat de Britten exact verstaan onder regulering. Waarschijnlijk is dat er eisen aan de kennis, werkzaamheden en bereikbaarheid van dit soort bedrijven gesteld gaan worden.
Dat in zowel Brussel als in de hoofdsteden van de EU lidstaten de nodige belangstelling bestaat voor deze ontwikkeling spreekt voor zich. Het zal niet lang duren eer een vergelijkbare vragenlijst wordt aan deze kant van de Noordzee gesignaleerd.