Dal 3 novembre diventa un obbligo per le aziende e i loro subappaltatori che svolgono attività nei confronti del Dipartimento della Difesa americano comunicare qualsiasi tipologia di incidente informatico ai loro sistemi entro 72 ore. È quanto si legge nella Final Rule del Department of Defense (DoD)’s Defense Industrial Base (DIB) Cybersecurity (CS) Activities, che in questo modo cerca di creare soluzioni efficaci e che responsabilizzino questi attori, che sono da sempre uno degli anelli più deboli per un’efficace strategia di difesa e contrasto alla minaccia cibernetica.

Lo scopo è quello, ovvio, di raccogliere le informazioni sugli incidenti informatici per proteggere i progetti o i programmi di sviluppo in atto ma anche quello di metterle a sistema perché possano essere utilizzate per scopi di contrasto alla criminalità informatica.

Le aziende saranno tenute a comunicare non solo le informazioni inerenti gli attacchi informatici, ma anche le violazioni alle procedure interne di sicurezza; una precisazione doverosa per contenere casi di fuoriuscita di informazioni per mano di dipendenti infedeli. Un tema particolarmente scottante negli Stati Uniti, patria del caso Snowden e del più recente Harold Thomas Martin III.