Den amerikanske regerings nylige handlinger gør den multilaterale cybersikkerhedskoordinering mellem den pågældende regering og andre mindre usikker i fremtiden. Hvad betyder dette for bestyrelser, der kæmper med at håndtere cybersikkerheds- og compliance-risici?
I januar, Trump-administrationen trak USA ud af 66 internationale organisationer. Disse omfattede tre med klare cybersikkerhedsmandater: Global Forum on Cyber Expertise, Freedom Online Coalition og European Centre of Excellence for Countering Hybrid Threats.
Disse grupper hjælper med at koordinere cyberpolitik, dele ekspertise og støtte grænseoverskridende hændelsesberedskab. To af dem var initiativer, som USA var med til at etablere. At lade dem stå signalerer en mere indadvendt cybersikkerhedsholdning og rejser spørgsmål om, hvor meget internationalt samarbejde fortsat vil understøtte cyberforvaltning.
Dette er ikke administrationens første skridt, der påvirker cybersamarbejdet. Tidligere beslutninger oplevede personalereduktioner hos CISA og ændringer i nogle af dens operationelle prioriteter, som uundgåeligt påvirker dens evne til internationalt engagement.
For virksomheder, der opererer i USA, Storbritannien og Europa, handler problemet mindre om den enkelte beslutning og mere om, hvad den signalerer: et gradvist skift mod et mere fragmenteret, regionalt drevet cybersikkerhedsmiljø.
Udfordringen med koordineret håndtering af hændelser
Multilaterale rammer danner bindeleddet for efterretningsdeling mellem nationale cybersikkerhedsmyndigheder. Denne infrastruktur bliver særligt vigtig under store hændelser, der krydser grænser.
Når kriser rammer, styrer nationale CERT'er og cybersikkerhedsagenturer den nationale indsats. Men komplekse cyberhændelser påvirker ofte flere jurisdiktioner samtidigt, hvilket kræver koordinering på regionalt eller internationalt niveau.
Aftaler som f.eks. ENISA-CISA-samarbejdsaftale underskrevet i slutningen af 2023 blev udformet til at styrke den transatlantiske koordinering under større hændelser. Med de geopolitiske forholds ændringer er holdbarheden af disse ordninger mindre usikker.
Store cyberhændelser belaster allerede de enkelte staters indsatskapacitet. Grænseoverskridende hændelser er afhængige af samarbejde mellem nationale myndigheder og regionale institutioner.
Britiske og EU-organisationer vil sandsynligvis påtage sig en større andel af denne koordineringsrolle. EU's cyberplan, der blev vedtaget i juni sidste år, forbedrer krisekoordineringen på både politisk og teknisk niveau. ENISA har allerede et mandat til at støtte og koordinere reaktioner på betydelige grænseoverskridende hændelser.
I Storbritannien håndterer NCSC tværgående koordinering af større cyberhændelser og kan arbejde direkte med berørte organisationer om indsats og kommunikation.
Infrastrukturen for internationalt samarbejde eksisterer stadig. Spørgsmålet er, om det skaleres effektivt i et mere regionalt fragmenteret miljø, især hvis amerikansk deltagelse i multilateral koordinering bliver mindre central.
Forvent regulatorisk divergens
Denne fragmentering gælder også for regulering. Cyberreguleringer i USA, Storbritannien og EU har aldrig været fuldt ud afstemt. Men i takt med at geopolitiske prioriteter afviger, kan forventningerne til regulering også afvige.
Multilaterale fora hjalp tidligere med at udjævne disse forskelle ved at skabe rum for koordinering. Uden denne tilpasning vil de lovgivningsmæssige rammer sandsynligvis glide yderligere fra hinanden, især omkring tidsfrister for indberetning af hændelser, tærskler for anmeldelse af brud og hvad der tæller som "væsentligt".
EU har bevæget sig længst i retning af præskriptiv, tværsektoriel obligatorisk regulering. NIS 2 dækker 18 kritiske sektorer og pålægger 24-timers tidlig varsling og 72-timers hændelsesmeddelelse med bøder på op til 10 millioner euro eller 2 % af den globale omsætning.
Det amerikanske reguleringsmiljø udvikler sig i en anden retning. Trump-administrationens tilgang er i høj grad deregulerende. SEC's regler for offentliggørelse af cybersikkerhed møder politisk modstand, Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) er blevet forsinket, og der er ingen føderal lov om privatlivets fred.
For multinationale organisationer er resultatet et mere kompliceret compliance-landskab.
Virksomheder kan være nødt til at opbygge parallelle compliance-programmer for at dække flere jurisdiktioner eller acceptere større eksponering for lokale håndhævelsesrisici. Organisationer, der opererer i USA, Storbritannien og EU, bliver nødt til at navigere i stadig mere forskellige regulatoriske forventninger.
Forsyningskæde og tredjepartsrisiko
Risikostyring fra tredjeparter var allerede en løbende udfordring, men jo mindre nationalstaterne samarbejder om bedste praksis og beskyttelse, desto mere komplekst bliver det.
EU's lov om cybermodstandsdygtighed vil kræve softwarepakker (SBOM'er) for alle produkter med digitale elementer, der sælges i EU. Loven om digital operationel modstandsdygtighed (DORA) tilføjer endnu et lag ved at give EU's tilsynsmyndigheder direkte tilsyn med kritiske IKT-udbydere, herunder amerikanske cloudvirksomheder, der betjener EU's finansielle institutioner.
Den foreslåede EU-cybersikkerhedslov 2 går videre og indfører sikkerhedsrammer for forsyningskæder, der specifikt er rettet mod risikoen for leverandører i tredjelande.
I mellemtiden er den amerikanske tilgang snævrere og anvender SBOM'er primært på føderale indkøb i henhold til EO 14028. Storbritannien har ingen lovgivningsmæssig tilsvarende.
Resultatet er tre store markeder, der opererer under stadigt forskellige forventninger til produktsikkerhed.
En amerikansk virksomhed, der sælger software til Europa, står over for overholdelsesforpligtelser på produktniveau, som dens nationale lovgivning ikke forbereder den på. Uden stærke internationale koordineringsmekanismer skal virksomhederne selv håndtere denne kompleksitet.
Hvorfor dette gør ISO 27001 mere værdifuld
Alt dette betyder, at virksomhedernes forretningsplaner skal opdateres. De kloge penge satser på jurisdiktionsuafhængige rammer. ISO 27001 virker pludselig fremsynet, fordi den kan overføres på tværs af grænser. Fem kontroller i 2022-versionen omhandler specifikt tredjepartssikkerhed, hvilket afspejler den voksende betydning af leverandørsikring.
Måske endnu vigtigere er det, at regulatorer fra Singapore til Stockholm anerkender det. Selvom det ikke erstatter jurisdiktionspecifikke compliance-krav, giver det et ensartet fundament, som organisationer kan bruge til at administrere sikkerhed på tværs af flere regulatoriske miljøer.
I et fragmenteret forvaltningslandskab bliver denne konsistens strategisk nyttig.
En risiko på bestyrelsesniveau, ikke kun en diplomatisk risiko
For bestyrelser udgør tilbagetrækningen fra internationale cybersamarbejdsrammer muligvis ikke en umiddelbar operationel trussel. Men det peger på et strukturelt skift i, hvordan global cybersikkerhedsstyring udvikler sig.
Cybersamarbejde mellem regeringer har længe bidraget til at reducere regulatoriske forskelle, forbedre krisekoordineringen og skabe fælles forventninger til sikkerhedspraksis.
Efterhånden som disse mekanismer svækkes eller udvikler sig, står virksomhederne over for et større ansvar for selv at opretholde modstandsdygtighed, interoperabilitet og sikring af forsyningskæden.
Global cybersikkerhed kollapser ikke, når én større aktør træder tilbage fra multilateralt engagement. Men det bliver mere komplekst.
Og for organisationer, der opererer i USA, Storbritannien og Europa, er kompleksitet en risiko, en risiko, der i stigende grad skal håndteres internt i virksomheden i stedet for at antages at være stabiliseret gennem international koordinering.
