De ECA
In de VS zijn ze wat dat betreft al een paar strepen verder. Daar ligt de Energy Cybersecurity Act (ECA) te wachten om getekend te worden. Onderdeel van (bijna) elke wet in de VS is een analyse van de kosten. De tegenhanger van onze Rekenkamer, het Congressional Budget Office (CBO) neemt alles onder de loep. Het heeft eind oktober de doorrekening van de ECA (PDF) gepubliceerd.
Wat als eerste opvalt is de geringe omvang. Op een vel papier staan wat de wet tussen 2020 en 2029 zal gaan kosten. Centraal in de wet staat de bevoegdheid van met ministerie van energie om een “cybertesting and mitigation program to identify vulnerabilities in the energy sector” te starten en regelmatig door te voeren. De output, waartoe heel interessant ook een de verplichte cybereisen voor medewerkers van de enerige sector toe horen, is nodig om meer inzicht de cyberrisico’s van de sector te krijgen. De kennis zal met de stakeholders worden gedeeld.
Kosten
De kosten voor het implementeren van de wet en daarna de uitvoer worden ingeschat op $20 miljoen voor dit jaar (de wet moet 1-1-2020 van kracht worden, dus er zal wel iets aan voorbereiding zijn om op die dag up and running te zijn). De eerste vijf jaar zijn de implementatie en uitvoeringskosten ingeschat op $335 miljoen. En $832 miljoen voor de periode 2020 – 2029.
Voor een groot land met heel wat eigen energie productie faciliteiten en een omvangrijke infrastructuur lijkt dat een laag bedrag. Het is natuurlijk afwachten waartoe de wet in de praktijk mag en zal leiden, maar vooralsnog lijkt het erop dat kosten niet de reden kunnen zijn kantjes er af te lopen als het om de beveiliging van de vitale infrastructuur gaat.
