De Amerikaanse federale overheid moet firewalls, vpn-servers, routers, load balances en andere edge device die niet meer door de leverancier worden ondersteund binnen een jaar vervangen, zo heeft het Amerikaanse cyberagentschap CISA bepaald. Het CISA heeft "Binding Operational Directive 26-02" uitgevaardigd waarin federale overheidsinstantie worden verplicht end-of-support (EOS) edge devices uit te faseren.

Volgens het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, de FBI en het Britse Cyber Security Centre (NCSC) maken statelijke actoren misbruik van kwetsbaarheden in edge devices om toegang te krijgen tot de netwerken van overheidsinstanties en daar gevoelige data te stelen. De instanties stellen dat het daarom belangrijk is dat niet meer ondersteunde edge devices snel worden vervangen door apparaten die nog wel beveiligingsupdates ontvangen.

Om ervoor te zorgen dat federale overheidsinstanties hun apparatuur ook gaan vervangen heeft het CISA nu een "Binding Operational Directive" uitgevaardigd, die overheden verplicht om in actie te komen. In het bevel stelt het Amerikaanse cyberagentschap dat het bekend is met grootschalig aanvalscampagnes waarbij edge devices het doelwit zijn. "Edge devices zijn aantrekkelijke doelwitten vanwege hoe ver ze reiken in de netwerken van organisaties en integratie met identiteitsmanagementsystemen", aldus het CISA.

Als onderdeel van "Binding Operational Directive 26-02" moeten federale overheidsinstanties als eerste al hun nog wel ondersteunde edge devices updaten, tenzij hierdoor missiekritische functionaliteit in het geding komt. Het CISA heeft een voorlopige lijst opgesteld met edge devices niet meer door de leverancier worden ondersteund. Overheidsinstanties moeten binnen drie maanden controleren of zij van deze apparaten gebruikmaken en dit doorgeven aan het CISA.

Binnen een jaar vanaf nu moeten alle apparaten op de "CISA EOS Edge Device List" waar overheidsinstanties gebruik van maken zijn vervangen door nog wel ondersteunde apparaten. Overheidsinstanties moeten daarnaast binnen anderhalf jaar alle edge devices die end-of-support zijn hebben vervangen, ook die niet op de lijst van het CISA staan. Binnen twee jaar moeten alle federale overheidsinstanties over processen beschikken om edge devices in hun netwerken te ontdekken die end-of-support zijn of dat op korte termijn zullen worden. Vervolgens moeten deze apparaten op of voordat de EOS-datum wordt bereikt zijn vervangen.