Hvad EU's ændringer af cybersikkerhedsloven betyder for virksomheder
Indholdsfortegnelse:
Den Europæiske Union fortsætter sine bestræbelser på at styrke cyberresiliens på tværs af blokken ved at vedtage nye ændringer af Cybersecurity Act (CSA) der påbyder certificeringsordninger for administrerede sikkerhedstjenester.
Disse ændringer vil skabe nye overholdelsesforpligtelser for både leverandører og slutbrugere af cybersikkerhedstjenester såsom hændelsesrespons og penetrationstestplatforme. Men hvor trættende sådanne reguleringsændringer kan være, hævder eksperter, at de kunne styrke cyberforsvaret og konkurrenceevnen hos mange berørte virksomheder.
Et skærpet cybersikkerhedsregime
Ifølge Phil McGowan, systemingeniør hos managed cybersecurity platform Huntress, vil de kommende CSA-ændringer markant ændre, hvordan virksomheder implementerer cybersikkerhedsstrategier og opfylder deres overholdelsesforpligtelser inden for en overskuelig fremtid.
Specifikt siger han, at disse ændringer vil lægge "større vægt på proaktiv risikostyring, gennemsigtighed og ansvarlighed" midt i et konstant udviklende cybertrussellandskab.
Han tilføjer, at som følge heraf vil virksomheder sandsynligvis blive udsat for mere pres for at beskytte følsomme oplysninger, rapportere cybersikkerhedsbrud i tide og demonstrere overholdelse ved at foretage sikkerhedsrevisioner og erhverve industricertificeringer.
McGowan siger til ISMS.online: "I bund og grund er ændringerne designet til at sikre, at organisationer prioriterer cybersikkerhed som et it-spørgsmål og en kritisk komponent i deres overordnede forretningsresiliens og operationelle strategi."
Ifølge Ralph Arrate, AI og cybersikkerhedspartner hos advokatfirmaet Spencer West LLP, er disse ændringer, kombineret med nye love som Digital Operational Resilience Act, Cyber Resilience Act og NIS2-direktivet, en klar indikation på, at EU strammer sit tilsyn med cybersikkerhedsspørgsmål i regionen.
Arrate mener, at de vil etablere et robust, konsekvent cybersikkerhedsregime, der har til formål at forbedre tilliden til teknologiske produkter og tjenester blandt europæiske virksomheder.
Han forklarer, at EU håber at opnå dette ved at gøre certificeringer til et vigtigt krav for digitale produkter, tjenester og processer. I praksis betyder det, at virksomheder bliver nødt til at foretage en "omfattende gennemgang af eksisterende sikkerhedsforanstaltninger."
På trods af Brexit vil disse regler også påvirke mange britiske virksomheder. Arrate siger, at britiske firmaer med europæiske operationer og handelspartnere vil være tvunget til at tage en "omhyggelig tilgang" til it-sikkerhed og produktlivscyklusstyring.
Selvom nogle britiske virksomhedsejere kan se disse regler som en regulatorisk hovedpine, kan de være gavnlige i det lange løb. Ifølge Arrate kunne erhvervelse af en EU Cybersecurity Certification (EUCC) hjælpe dem med at "vinde en konkurrencefordel", da det er et tegn på "kvalitet og troværdighed".
Men nogle it-leverandører kan være mindre optimistiske med hensyn til ændringerne, hvor Arrate hævder, at de vil "bringe ekstra bureaukrati". Han tilføjer: "Mange aktører i denne sektor overholder allerede amerikanske NIST- eller ISO-standarder, som ikke passer nøjagtigt til de nye EUCC-krav."
Sean Wright, chef for applikationssikkerhed hos platformen til håndtering af bedrageri og økonomisk kriminalitet Funktionsrum, ser CSA-ændringerne som en positiv udvikling for virksomheder og det bredere cybersikkerhedslandskab.
Han siger, at mange organisationer i øjeblikket bruger "ekstraordinære" summer på cybersikkerhedsprodukter, der ikke leverer deres annoncerede fordele, hvilket giver virksomhederne en "falsk følelse af sikkerhed".
Wright er dog overbevist om, at veletablerede standarder, såsom de nye CSA-regler, vil bekæmpe dette ved at sikre, at certificerede produkter udfører deres tilsigtede job. Han fortsætter: "Derudover gør det at have en tjenesteudbyder, som du kan stole på, såvel som tro på, organisationer kan overføre nogle af de komplekse aspekter af informationssikkerhed til dem, der er bedre rustet til at håndtere sådanne genstande."
Overholdelse af disse ændringer
Når det kommer til at overholde disse regler, siger Arrate, at virksomheder først skal vurdere, om de er inden for deres anvendelsesområde. Han forklarer, at de pågældende ændringer er rettet mod virksomheder, der tilbyder administrerede sikkerhedstjenester, 5G, it-applikationer og andre digitale produkter og tjenester.
Berørte virksomheder bør derefter revidere eksisterende cybersikkerhedsprocesser og sammenligne dem med kravene i denne lovgivning. At gøre det, ifølge Arrate, vil gøre det muligt for organisationer at finde eventuelle svagheder i deres cyberforsvar og tackle dem i overensstemmelse hermed for at undgå reguleringsindgreb. Arrate opfordrer også virksomheder til at kontakte certificeringsorganer så hurtigt som muligt, fordi dette er nøglen til at forstå kravene i forskellige ordninger.
Andre vigtige anbefalinger fra Arrate inkluderer at indføre secure-by-design principper i alle produktudviklingsstadier, tæt samarbejde med leverandører om forsyningskædens sikkerhedsstandarder og implementering af en omfattende hændelsesresponsplan. Vigtigst er det, at han opfordrer virksomheder til at overvåge disse krav, efterhånden som de udvikler sig for at sikre overholdelse af de nyeste regler.
Mens virksomheder implementerer softwareopdateringer, udfører cybersikkerhedsprocedurer og reagerer på hændelser, Spencer Starkey – administrerende VP for EMEA hos det amerikanske cybersikkerhedsfirma SonicWall— siger, at det er vigtigt, at de dokumenterer alle disse trin for at overholde CSA. Han siger: "Denne dokumentation er afgørende under regulatoriske revisioner, der viser virksomhedens forpligtelse til bedste praksis for cybersikkerhed."
I betragtning af at menneskelige fejl er en førende årsag til cybersikkerhedshændelser, siger Starkey, at virksomheder af alle størrelser bør uddanne deres medarbejdere om de seneste onlinetrusler, og hvordan de tackler dem. Han ser dette som en forudsætning for "effektiv overholdelse af CSA-ændringerne".
Vigtigheden af strukturerede rammer
Overholdelse af nye regler som CSA-ændringerne kan være en overvældende udsigt for mange virksomheder. Der er dog forskellige måder at strømline denne proces på, såsom professionelle rammer og software.
At vedtage en industristandard som ISO 27001 er en glimrende mulighed for virksomheder påvirket af CSA-ændringerne, fordi det giver dem en ensartet måde at håndtere informationssikkerhedsrelaterede problemer på, hævder Nick Palmer, eksperter i løsningsingeniør hos angrebsoverfladestyring og trusselsjagtløsninger hos Censys.
Han fortsætter: "Certificering demonstrerer overholdelse af globale bedste praksisser, strømliner revisioner og reducerer dobbeltarbejde ved opfyldelse af overlappende standarder, hvilket gør overholdelse af lovgivning mere effektiv og effektiv."
Den nyeste cybersikkerhedssoftware kan også reducere compliance-kompleksiteten ved at tilbyde forudkonfigurerede indstillinger, automatisering og høj skalerbarhed, som alle er i overensstemmelse med regulatoriske krav, siger Palmer. "De kan hjælpe med at centralisere trusselsdetektion, overvågning og reaktion, hvilket eliminerer behovet for, at virksomheder skal bygge og vedligeholde disse egenskaber internt."
Palmer siger, at cybersikkerhedsplatforme også kan sikre parathed til de nyeste regler ved at levere softwareopdateringer i realtid, integrationer med standarder og kundesupport for at hjælpe virksomheder med at navigere i de hurtigt skiftende trusler og regulatoriske landskaber. Han fortsætter: "Derudover, som i de foregående punkter, vil de leverandører, der tilbyder løsninger med CSA-overholdelse allerede indbygget, have en betydelig fordel."
Bredere implikationer
CSA-ændringerne vil uden tvivl få store konsekvenser for cybersikkerhedslandskabet og virksomhedsverdenen i de kommende år. På en positiv bemærkning forudsiger Arrate, at deres strenge og ensartede karakter vil "forhøje basisniveauet for sikkerhed på tværs af industrier." Han forklarer: "Virksomheder er nu tvunget til at integrere cybersikkerhed som en kerneovervejelse, hvilket igen styrker det digitale økosystem som helhed."
Ilona Cohen, chefjuridisk og policy officer hos bug bounty and vulnerability disclosure platform HackerOne, er enig i, at certificeringerne har potentialet til at forbedre resultatet af blokdækkende cybersikkerhedsprocesser.
Dette afhænger dog af, hvor godt de er designet, hvilket Cohen indrømmer ikke er enkelt, da industriens bedste praksis konstant ændrer sig. Hun siger: "ENISA [Den Europæiske Unions Agentur for Cybersikkerhed] skal også sikre overensstemmelse med de mange, mange cybersikkerhedspolitikker, som EU har vedtaget i de seneste år som CRA, DORA og NIS2."
Så hvordan kan europæiske tilsynsmyndigheder overvinde disse udfordringer og sikre, at deres certificeringsordninger er egnede til formålet? Cohen opfordrer dem til at tvinge administrerede tjenesteudbydere til at vedtage den samme bedste praksis, som andre nøglesektorer forventes at følge. Hun siger: "Dette inkluderer etablering af robuste sårbarhedsdisclosure-programmer (VDP), implementering af bedste praksis for godkendelse og sikring af databeskyttelse."
Samlet set virker de kommende ændringer af CSA som et smart træk for EU, efterhånden som dens ambitioner om et digitalt indre marked vokser. For teknologileverandører vil det at tilbyde certificerede sikkerhedsprodukter hjælpe dem med at skille sig ud fra deres konkurrenter.
I mellemtiden får slutbrugerne større ro i sindet om, at de vil få et afkast af deres it-investeringer. Selvfølgelig vil nogle se disse ændringer som endnu et lag af bureaukrati. Men det er her, etablerede industristandarder og SaaS-produkter kan hjælpe ved at strømline overholdelsesprocesser.
