Wat het besluit daadwerkelijk voorschrijft
Op 22 juni 2026 stelde een Amerikaans presidentieel besluit vaste tijdlijnen vast voor de overgang van federale cryptografie naar post-quantumstandaarden. Gevoelige federale systemen, in het besluit omschreven als high value assets en high impact systems, moeten uiterlijk 31 december 2030 overstappen op post-quantum sleuteluitwisseling, met digitale handtekeningen, het mechanisme achter authenticatie, die tegen eind 2031 volgen. Het besluit presenteert dit als bescherming tegen een toekomst waarin grootschalige quantumcomputers de versleuteling kunnen breken die vandaag breed in gebruik is.
Het deel dat verder reikt dan de overheid is de aanbesteding. Het besluit draagt de verantwoordelijke raad op een voorgestelde regel te publiceren die betrokken federale contractanten verplicht om uiterlijk 31 december 2030 te voldoen aan de relevante NIST FIPS-standaarden, inclusief die welke post-quantumalgoritmen bevatten. Die contractantenregel bevindt zich nog in de voorgestelde fase, dus de precieze reikwijdte kan nog verschuiven voordat deze definitief is. De richting is echter duidelijk: post-quantumgereedheid verschuift van een specialistisch onderwerp naar een voorwaarde om zaken te doen met de Amerikaanse federale overheid.
Waarom een Amerikaans mandaat bij een Duitse eigenaar terechtkomt
Een Duits bedrijf is niet rechtstreeks gebonden door een Amerikaans presidentieel besluit. Het mechanisme dat telt is de toeleveringsketen. Wanneer een eis in Amerikaanse federale contracten wordt opgenomen, werkt die doorgaans door via hoofdcontractanten naar hun onderaannemers en leveranciers, waar die zich ook bevinden. Een Mittelstand-leverancier, een dienstverlener of een family-office-vehikel dat een Amerikaans federaal contract raakt, kan een post-quantumclausule van een klant zien aankomen in plaats van van een toezichthouder, op de tijdlijn van de klant in plaats van een die u zelf hebt gekozen.
De harvest-now-decrypt-later waarschuwing is de reden waarom dit niet zonder meer tot 2030 kan wachten. Het besluit stelt duidelijk dat tegenstanders nu versleutelde informatie kunnen verzamelen en die later kunnen ontsleutelen zodra quantumcomputers daartoe in staat zijn. Dat herkadert de vandaag beschermde gegevens als reeds risicovol als ze jaren vertrouwelijk moeten blijven. Contracten, financiele gegevens, gezondheids- en persoonsgegevens, en alles met een lange geheimhoudingsduur zijn de blootgestelde categorieen, omdat ze standhoud moeten wanneer de versleuteling eromheen dat mogelijk niet meer doet.
Wat nu de moeite waard is, en waarop te wachten
De verstandige reactie is niet om overhaast nieuwe cryptografie aan te schaffen. Omdat de contractantenregel nog een voorstel is en de standaarden nog uitkristalliseren, kan de technische migratie de tijdlijn volgen die het besluit uiteenzet. Wat niet kan wachten is het inventarisatiewerk waar elke latere stap van afhangt. Dat betekent weten welke van uw gegevensstromen werkelijk gevoelig zijn, hoe lang elk vertrouwelijk moet blijven, en welke klantrelaties een post-quantumeis naar u kunnen doorzetten. Niets daarvan vereist nu al diepgaande technische beslissingen.
Dit is een governancevraag voordat het een IT-project is, en het is er een die een eigenaar goed kan kaderen. 2030 als de deadline beschouwen doet het punt tekort, want de gegevens die u vandaag verstuurt zijn precies waar een decrypt-later tegenstander nu al in geinteresseerd is. Een korte, eerlijke kaart van gevoelige gegevens met een lange levensduur en blootgestelde contracten maakt van een ver buitenlands mandaat een reeks beslissingen die u weloverwogen kunt nemen, in de volgorde die uw onderneming past in plaats van de contractcyclus van een klant. Dit is een verslag van wat het besluit zegt en wat het impliceert, geen juridisch advies over uw specifieke verplichtingen.
Lees hierna: De meldtermijn van 24 uur gaat lopen · Uw cyberveiligheidsplicht is nu persoonlijk