Nieuwe Amerikaanse meldplicht cybersecurity incidenten

Persbureau Reuters schrijft dat de Amerikaanse overheid, in reactie de problemen bij SolarWinds, komt met een meldplicht voor cybersecurity incidenten. De meldplicht geldt voor elk bijna IT bedrijf dat aan de overheid levert. Daardoor zal de impact van deze Executive Order groot en zelfs grensoverschrijdend.

Washington reageert

Dat Washington moet reageren op de hacks van SolarWinds is voor iedereen duidelijk. Niet alleen de vermeende daders kunnen op een vorm van vergelding rekenen. SolarWinds is inmiddels al door de politiek onder de loep genomen. Rechtszaken zijn onvermijdelijk. Maar dat laatste is natuurlijk geen oplossing voor het onderliggende probleem. Een Executive Order moet dat probleem voor eens en altijd oplossen. Washington is voornemens elke “service provider” die aan de federale overheden leveren een meldplicht op te leggen. De meldplicht bestaat uit twee delen. Voor het eerst komt er de verplichting (!) jbi een geconstateerde “breach” de klanten onverwijld te informeren. Het tweede deel bestaat uit registratie en heeft meer voeten in de aarde. Logboeken moeten worden bijgehouden, zodat na een incident sneller en beter onderzoek kan plaatsvinden. Deze tweede bepaling zegt iets over wat men bij SolarWinds heeft aangetroffen, of beter gezegd juist niet heeft aangetroffen. De combinatie van een EO en de verplichting tot het bijhouden van logboeken moet een einde maken aan de huidige situatie waarin NDA’s het onderzoek naar de slachtoffers van de SolarWinds hacks belemmeren.

Service providers

De groep die volgens Reuters met deze EO te maken krijgt noemt men service providers. Dat is een behoorlijk breed begrip. Het lijkt te gaan om iedereen die software maakt. Bedrijven die software inzetten om klanten te faciliteren en leveranciers van “kant en klare” software. (Major software companies that sell to the government, like Microsoft and SalesForce, will be affected by the change, said people familiar with the plans. – Bron).

Grensoverschrijdend

Waar in de Amerikaanse pers nog niet over is geschreven is het grensoverschrijdende aspect van deze EO. Met het opheffen van de NDA’s wordt namelijk ook duidelijk met welke bedrijven de “service providers” samenwerken. Reken maar dat het voor de federale overheid niets uitmaakt of dat bedrijf in Amerika zit of in Europa. Bij controle zal bij elke toeleveranciers worden aangeklopt. De impact van de Amerikaanse meldplicht voor cybersecurity incidenten zal daarom ook in Europa en Nederland merkbaar zijn.