Deklarasi tersebut memberikan contoh bagaimana perusahaan dapat mencapai tujuan tersebut, meskipun mencatat bahwa perusahaan “memiliki keleluasaan untuk memutuskan cara terbaik” untuk melakukannya. Dokumen tersebut juga menekankan pentingnya perusahaan secara publik menunjukkan “kemajuan yang dapat diukur” terhadap tujuan mereka, serta mendokumentasikan teknik mereka “sehingga orang lain dapat belajar.”
CISA mengembangkan deklarasi tersebut setelah berkonsultasi dengan perusahaan teknologi, berupaya memahami apa yang akan dapat dilakukan oleh perusahaan sambil tetap memenuhi tujuan agensi, menurut Goldstein. Hal tersebut berarti memastikan komitmen tersebut dapat diwujudkan oleh perusahaan dari berbagai ukuran, bukan hanya raksasa-raksasa dari Silicon Valley.
Awalnya, agensi mencoba menggunakan Joint Cyber Defense Collaborative untuk mendorong perusahaan untuk menandatangani deklarasi tersebut, menurut pejabat industri teknologi, namun upaya tersebut gagal ketika perusahaan mempertanyakan penggunaan kelompok kolaborasi pertahanan siber operasional untuk “masalah kebijakan dan hukum,” kata pejabat industri tersebut.
“Industri menyatakan frustrasi terkait upaya menggunakan JCDC untuk mendapatkan komitmen,” kata pejabat tersebut, dan CISA “bijaksana menarik kembali upaya tersebut.”
Kemudian, CISA mengadakan diskusi dengan perusahaan melalui Information Technology Sector Coordinating Council dan memperbaiki deklarasi berdasarkan umpan balik mereka. Pada awalnya, deklarasi tersebut berisi lebih dari tujuh tujuan, dan CISA ingin para pihak yang menandatanganinya berkomitmen pada “metrik yang pasti” untuk menunjukkan kemajuan, menurut pejabat industri tersebut. Pada akhirnya, orang tersebut mengatakan, CISA menghapus beberapa tujuan dan “memperluas bahasa” tentang pengukuran kemajuan.
John Miller, wakil presiden senior kebijakan, kepercayaan, data, dan teknologi di Information Technology Industry Council, sebuah kelompok perdagangan industri utama, mengatakan perubahan tersebut cerdas, karena metrik kemajuan yang konkret—seperti jumlah pengguna yang menggunakan otentikasi multi-faktor—dapat “dengan mudah disalahpahami.”
Goldstein mengatakan jumlah pihak yang menandatangani deklarasi tersebut “melebihi harapan saya tentang di mana kita seharusnya berada” pada titik ini. Pejabat industri mengatakan mereka tidak mengetahui adanya perusahaan yang dengan pasti menolak untuk menandatangani deklarasi tersebut, sebagian karena vendor ingin “membuka opsi untuk menandatangani” setelah acara peluncuran CISA di RSA. “Semua orang dalam mode menunggu dan melihat.”
Tanggung jawab hukum adalah salah satu perhatian utama bagi perusahaan yang berpotensi menandatangani deklarasi. “Jika akhirnya terjadi, tidak terhindarkan, beberapa jenis insiden keamanan,” kata Miller, “segala sesuatu yang [perusahaan] katakan secara publik bisa digunakan dalam gugatan hukum.”
Namun, Miller memprediksi bahwa beberapa perusahaan global yang menghadapi persyaratan keamanan Eropa yang baru dan ketat akan menandatangani deklarasi AS untuk “mendapatkan kredit” untuk sesuatu yang sebenarnya sudah harus mereka lakukan.
Kampanye Secure by Design CISA adalah titik berat dari rencana ambisius administrasi Biden untuk memindahkan beban keamanan cyber dari pengguna ke vendor, tema inti dari Strategi Keamanan Siber Nasional administrasi tersebut. Dorongan untuk tanggung jawab cyber perusahaan mengikuti beberapa tahun serangan rantai pasok yang mengganggu pada produsen perangkat lunak penting seperti Microsoft, SolarWinds, Kaseya, dan Change Healthcare, serta daftar rentetan kerentanan perangkat lunak yang meluas yang telah memicu serangan ransomware pada sekolah, rumah sakit, dan layanan penting lainnya. Pejabat Gedung Putih mengatakan pola serangan mahal dan seringkali dapat dicegah tersebut menunjukkan perlunya akuntabilitas perusahaan yang lebih besar.