Nieuwe Amerikaanse meldplicht cybersecurity incidenten

Washington - WhiteHousePersbureau Reuters schrijft dat de Amerikaanse overheid, in reactie de problemen bij SolarWinds, komt met een meldplicht voor cybersecurity incidenten. De meldplicht geldt voor elk bijna IT bedrijf dat aan de overheid levert. Daardoor zal de impact van deze Executive Order groot en zelfs grensoverschrijdend.

Washington reageert

Dat Washington moet reageren op de hacks van SolarWinds is voor iedereen duidelijk. Niet alleen de vermeende daders kunnen op een vorm van vergelding rekenen. SolarWinds is inmiddels al door de politiek onder de loep genomen. Rechtszaken zijn onvermijdelijk. Maar dat laatste is natuurlijk geen oplossing voor het onderliggende probleem. Een Executive Order moet dat probleem voor eens en altijd oplossen. Washington is voornemens elke “service provider” die aan de federale overheden leveren een meldplicht op te leggen. De meldplicht bestaat uit twee delen. Voor het eerst komt er de verplichting (!) jbi een geconstateerde “breach” de klanten onverwijld te informeren. Het tweede deel bestaat uit registratie en heeft meer voeten in de aarde. Logboeken moeten worden bijgehouden, zodat na een incident sneller en beter onderzoek kan plaatsvinden. Deze tweede bepaling zegt iets over wat men bij SolarWinds heeft aangetroffen, of beter gezegd juist niet heeft aangetroffen. De combinatie van een EO en de verplichting tot het bijhouden van logboeken moet een einde maken aan de huidige situatie waarin NDA’s het onderzoek naar de slachtoffers van de SolarWinds hacks belemmeren.

Service providers

De groep die volgens Reuters met deze EO te maken krijgt noemt men service providers. Dat is een behoorlijk breed begrip. Het lijkt te gaan om iedereen die software maakt. Bedrijven die software inzetten om klanten te faciliteren en leveranciers van “kant en klare” software. (Major software companies that sell to the government, like Microsoft and SalesForce, will be affected by the change, said people familiar with the plans. – Bron).

Grensoverschrijdend

Waar in de Amerikaanse pers nog niet over is geschreven is het grensoverschrijdende aspect van deze EO. Met het opheffen van de NDA’s wordt namelijk ook duidelijk met welke bedrijven de “service providers” samenwerken. Reken maar dat het voor de federale overheid niets uitmaakt of dat bedrijf in Amerika zit of in Europa. Bij controle zal bij elke toeleveranciers worden aangeklopt. De impact van de Amerikaanse meldplicht voor cybersecurity incidenten zal daarom ook in Europa en Nederland merkbaar zijn.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein