Co rozporządzenie faktycznie nakazuje
22 czerwca 2026 roku amerykańskie rozporządzenie wykonawcze wyznaczyło sztywne harmonogramy przejścia federalnej kryptografii na standardy postkwantowe. Wrażliwe systemy federalne, opisane w rozporządzeniu jako aktywa o wysokiej wartości i systemy o dużym znaczeniu, muszą przejść na postkwantowe ustanawianie kluczy do 31 grudnia 2030 roku, a podpisy cyfrowe, mechanizm stojący za uwierzytelnianiem, mają zostać wdrożone do końca 2031 roku. Rozporządzenie ujmuje to jako ochronę przed przyszłością, w której komputery kwantowe na dużą skalę będą mogły złamać szyfrowanie powszechnie stosowane dzisiaj.
Częścią, która sięga poza rząd, są zamówienia publiczne. Rozporządzenie poleca odpowiedzialnej radzie opublikowanie proponowanej regulacji wymagającej od objętych nią wykonawców federalnych zgodności z odpowiednimi standardami NIST FIPS, w tym tymi obejmującymi algorytmy postkwantowe, do 31 grudnia 2030 roku. Ta regulacja dotycząca wykonawców jest wciąż na etapie propozycji, więc jej dokładny zakres może się zmienić, zanim stanie się ostateczny. Kierunek zmian jest jednak jasny: gotowość postkwantowa przechodzi z tematu specjalistycznego w warunek prowadzenia interesów z amerykańskim rządem federalnym.
Dlaczego amerykański nakaz dotyka niemieckiego właściciela
Niemiecka firma nie jest bezpośrednio związana amerykańskim rozporządzeniem wykonawczym. Mechanizmem, który ma znaczenie, jest łańcuch dostaw. Gdy wymóg zostaje zapisany w amerykańskich umowach federalnych, ma tendencję do spływania poprzez głównych wykonawców do ich podwykonawców i dostawców, gdziekolwiek się znajdują. Dostawca z sektora Mittelstand, usługodawca lub struktura family-office, która styka się z amerykańską umową federalną, może odkryć, że klauzula postkwantowa przychodzi od klienta, a nie od regulatora, według harmonogramu klienta, a nie takiego, który sam wybrałeś.
Ostrzeżenie harvest-now-decrypt-later jest powodem, dla którego nie można po prostu czekać do 2030 roku. Rozporządzenie wprost stwierdza, że przeciwnicy mogą gromadzić zaszyfrowane informacje teraz i odszyfrować je później, gdy komputery kwantowe będą do tego zdolne. To przedstawia dzisiejsze chronione dane jako już zagrożone, jeśli muszą pozostać poufne przez lata. Umowy, dane finansowe, dane medyczne i osobowe oraz wszystko o długim okresie tajności to kategorie narażone, ponieważ muszą one nadal chronić dane wtedy, gdy szyfrowanie wokół nich może już tego nie robić.
Co warto zrobić teraz, a z czym zaczekać
Wyważoną reakcją nie jest pochopne kupowanie nowej kryptografii. Ponieważ regulacja dotycząca wykonawców jest wciąż propozycją, a standardy wciąż się ustalają, migracja techniczna może podążać za harmonogramem wyznaczonym w rozporządzeniu. Tym, co nie powinno czekać, jest praca inwentaryzacyjna, od której zależy każdy późniejszy krok. Oznacza to wiedzę o tym, które z Twoich przepływów danych są rzeczywiście wrażliwe, jak długo każdy z nich musi pozostać poufny oraz które relacje z klientami mogłyby przenieść na Ciebie wymóg postkwantowy. Żadne z tego nie wymaga jeszcze głębokich decyzji technicznych.
To jest kwestia ładu korporacyjnego, zanim stanie się projektem informatycznym, i jest to coś, co właściciel jest w dobrej pozycji, aby ująć. Traktowanie 2030 roku jako terminu pomniejsza sedno sprawy, ponieważ dane, które wysyłasz dziś, są tym, czym przeciwnik odszyfrowujący później interesuje się już teraz. Krótka, uczciwa mapa wrażliwych danych o długim okresie życia i narażonych umów zamienia odległy zagraniczny nakaz w zestaw decyzji, które możesz podejmować rozważnie, w kolejności odpowiadającej Twojemu biznesowi, a nie cyklowi umownemu klienta. Niniejsze jest relacją o tym, co mówi rozporządzenie i co implikuje, a nie poradą prawną dotyczącą Twoich konkretnych obowiązków.
Czytaj dalej: Zegar 24-godzinnego zgłoszenia rusza · Obowiązek cyberbezpieczeństwa jest teraz osobisty