Mere end 60 virksomheder forpligter sig til CISA Secure by Design løftet for at forbedre softwaresikkerhed. Det frivillige initiativ diskuteres i sammenligning med den bindende EU Cyber Resilience Act.
Deltagerne i initiativet har forpligtet sig til at opnå betydelige fremskridt inden for tolv måneder på syv områder:
- Forbedret brug af multifaktor-autentificering
- Erstatning af standardadgangskoder med sikre alternativer
- Reduktion af modtagelighed for almindelige sårbarheder som SQL injections
- Forbedring af kunders installation af sikkerhedspatches
- Etablering af en sårbarhedsoplysningspolitik
- Hurtig tildeling af CVE IDs til rapporterede sårbarheder
- Lettelse af informationsindsamling efter sikkerhedshændelser
Skønt denne forpligtelse er et vigtigt skridt, forbliver den frivillig og juridisk ikke-bindende. I modsætning hertil lover den europæiske Cyber Resilience Act (CRA) en stærkere og bindende effekt på industrien gennem sine regulatoriske foranstaltninger og mulige sanktioner for manglende overholdelse. På grund af størrelsen af det europæiske indre marked har CRA en demonstrativ effekt, der også påvirker amerikanske virksomheder og dermed kan bidrage til et højere sikkerhedsniveau på verdensplan.
Erfaring viser, at på trods af de gode intentioner bag selvforpligtelser, er bindende krav ofte nødvendige for at sikre bred og bæredygtig implementering af sikre praksisser. Fremtiden for cybersikkerhed har brug for både frivillige initiativer og strenge love.
Mere information om selvforpligtelsen og de konkrete foranstaltninger er tilgængelig her: https://www.cisa.gov/securebydesign/pledge