Uitvoeringsbesluit van Trump stelt termijnen vast voor de overgang van de federale overheid naar kwantumbestendige versleuteling

Instanties hebben te maken met deadlines in 2030 en 2031 voor gevoelige federale systemen

President Donald Trump heeft federale instanties opgedragen om hoogwaardige activa en systemen met grote impact over te zetten naar post-kwantumcryptografie, met deadlines van 31 december 2030 voor het instellen van sleutels en 31 december 2031 voor digitale handtekeningen. Het uitvoeringsbesluit van 22 juni is van toepassing op gevoelige federale systemen, aanbestedingsregels en planning in sectoren met kritieke infrastructuur.

Het decreet richt zich op de risico’s die kwantumcomputers met zich meebrengen. Het waarschuwt dat tegenstanders vandaag de dag versleutelde Amerikaanse gegevens zouden kunnen verzamelen en deze later zouden kunnen ontsleutelen zodra de kwantumtechnologie verder is ontwikkeld. Post-kwantumcryptografie verwijst naar cryptografische algoritmen of methoden die zijn ontworpen om aanvallen van zowel kwantum- als klassieke computers te weerstaan.

In het uitvoeringsbesluit staat:

„De Verenigde Staten moeten maatregelen nemen om de cryptografische beveiliging van de gevoelige gegevens, de kritieke infrastructuur en de digitale economie van het land te versterken.”

Hoofden van instanties moeten binnen 30 dagen een verantwoordelijke voor de migratie naar post-kwantumcryptografie aanwijzen. Deze functionarissen zullen rapporteren aan de Chief Information Officers van hun instantie en cryptografische inventarissen beheren, migratieplannen ontwikkelen en de implementatie tussen de verschillende afdelingen coördineren.

Binnen 90 dagen moet het Office of Management and Budget (OMB) richtlijnen uitvaardigen in samenwerking met het Cybersecurity and Infrastructure Security Agency (CISA) en de National Cyber Director. Agentschappen zullen hun hoogwaardige activa en systemen met grote impact, met uitzondering van nationale veiligheidssystemen, moeten beoordelen en gedetailleerde plannen moeten indienen voor de overgang naar nieuwe standaarden.

NIST, CISA en aannemers krijgen welomschreven implementatietaken

Verschillende federale instanties hebben specifieke verantwoordelijkheden op grond van het decreet. Het National Institute of Standards and Technology (NIST) moet binnen 180 dagen een proefproject voor migratie starten op geselecteerde systemen waarover het de controle heeft; dit project moet uiterlijk op 31 december 2027 zijn voltooid. Dit proefproject zal als leidraad dienen voor een bredere invoering vóór de deadlines van 2030 en 2031.

Het decreet benadrukt ook de gegevensrisico’s op de lange termijn. Daarin staat:

„Aanhoudende cyberactiviteiten tegen onze natie brengen ook het risico met zich mee dat tegenstanders nu informatie over de Verenigde Staten verzamelen en deze later ontcijferen zodra grootschalige kwantumcomputers operationeel zijn.”

Wijzigingen in het aanbestedingsbeleid zullen via regelgeving worden doorgevoerd. De Federal Acquisition Regulatory Council heeft 180 dagen de tijd om een voorstel voor een regel te publiceren dat de betrokken aannemers verplicht om uiterlijk op 31 december 2030 te voldoen aan de NIST-normen, waaronder post-kwantumalgoritmen. Ook kritieke infrastructuur valt hieronder: sectorale risicobeheerinstanties krijgen de opdracht om samen te werken met CISA om exploitanten te helpen bij het opstellen van migratieplannen, terwijl CISA en NIST 270 dagen de tijd hebben om richtsnoeren te publiceren over de minimale elementen voor een cryptografische stuklijst.

Het besluit reikt verder dan binnenlandse systemen door de minister van Buitenlandse Zaken op te dragen samen te werken met federale instanties en inlichtingenfunctionarissen om de invoering van NIST-normen voor post-kwantumcryptografie in het buitenland te bevorderen. Nationale veiligheidssystemen volgen een apart traject, waarbij de directeur van de NSA verplicht is om binnen 180 dagen en daarna jaarlijks verslag uit te brengen aan de president over de voortgang.