Et år i overholdelse: Fem erfaringer fra 2023
Indholdsfortegnelse:
Sikkerheds- og complianceledere sluttede 2023, da de begyndte det, overvældet af omfanget og kompleksiteten af nye regler og forskrifter. Nogle vil kun gælde for bestemte typer organisationer. Andre kan være svære at undgå. Men det hele giver et makrobillede af mere arbejde, især for britiske virksomheder med aktiviteter og/eller partnere i Europa og USA.
Så hvilke fem takeaways kan være nyttige at huske på i det, der sandsynligvis bliver endnu et travlt år forude? Her er vores bedste erfaringer fra 2023:
1. Britiske virksomheder ser muligvis ikke et 'Brexit-udbytte'
I flere tilfælde i år dukkede nye britiske love op, der lover at fortryde noget af det "bureaukrati", som Brexit-tilhængere hævder var en nøgleårsag til at forlade blokken. Den ene er Lovforslaget om databeskyttelse og digital information (DPDI), som regeringen hævder vil hjælpe med at spare britiske virksomheder for milliarder. Denne britiske version af GDPR omfatter forskellige præciseringer og udskæringer, som kunne gøre loven mere erhvervsvenlig, såsom at sikre, at det kun er organisationer, der beskæftiger sig med "højrisiko" databehandling, der skal føre optegnelser. Imidlertid vil britiske virksomheder med EU-aktiviteter enten skulle holde fast i deres eksisterende GDPR-overholdelsesramme – hvilket regeringen vil tillade – og derfor undlade at drage fordel af disse fordele eller bære byrden ved at køre to overholdelsesordninger side om side.
Den anden Forordninger om netværk og informationssystemer (NIS 2) vil sætte nogle virksomheder i et lignende dilemma i betragtning af Storbritannien divergerer fra regimet næste år. Det faktum, at medlemslandene skal implementere førstnævnte senest den 17. oktober 2024, mens Storbritanniens lovgivningsplaner forbliver uklare, kan føre til øgede omkostninger for compliance-teams.
Disse sager minder os om behovet for at samarbejde med compliance-specialister, der er i stand til at centralisere og strømline forskellige aktiviteter for undertrykshold.
2. Overholdelse af ISO 27001 er et godt grundlag for virksomheder
Vi har set nye reguleringer og lovforslag i en svimlende hastighed i løbet af året. Men den gode nyhed er, at med en robust sikkerhedsramme for bedste praksis vil organisationer allerede have gjort meget af det tunge løft for mange af disse nye regler. Det er helt sikkert rigtigt for EU Digital Operational Resilience Act (DORA), NIS 2-direktivet og Lov om cyberresiliens (CRA), som gælder for henholdsvis finansielle servicevirksomheder, operatører af væsentlige tjenester og producenter af produkter med digitale komponenter. Det vil også hjælpe med Storbritanniens DPDI, som er beregnet til at erstatte GDPR. Og som ISMS.online rapporterede i løbet af året, kan best practice-rammer hjælpe med at mindske risikoen for deepfakes, forsyningskædetrusler og mere.
Det hævdede en nylig Gartner-rapport ISO 27001 og NIST (National Institute of Standards and Technology) tilbyde den styringsstrenghed, processer og struktur, der kræves for at drive informationssikkerhed og risikostyringssucces uanset størrelse, branchevertikal eller sikkerheds-/risikostyringskompetence. Alligevel fandt den også at 41 % af kunderne endnu ikke havde valgt en ramme eller havde udviklet deres egen ad hoc-tilgang – hvilket kunne føre til kontrolhuller, spildte ressourcer og overbebyrdede sikkerhedsteams.
3. Hvad der sker i udlandet betyder noget derhjemme
Sikkerheds- og overholdelsesteams kan ikke leve i et vakuum, især hvis deres organisation har aktiviteter i udlandet eller partnerskaber med udenlandske enheder. Fra USA vil nye SEC-regler om offentliggørelse af brud/hændelser påvirke tjenesteudbydere, uanset hvor de er baseret. Det vil kræve, at britiske firmaer i denne situation potentielt hæver deres spil med hensyn til hændelsesreaktion og andre elementer af sikkerhedsposition. Så er der DORA, NIS 2, CRA og EU's AI-lov, som alle vil påvirke organisationer, der sælger ind i blokken.
Nogle regler mangler endnu at blive færdiggjort, men virksomheder, der håber at opnå en fordel på disse markeder, vil gerne være godt informeret, tilstrækkeligt forberedte og samarbejde med specialister, der kan hjælpe med at gøre overholdelse til en muliggørende snarere end en vejspærring.
4. Der er stadig masser i luften
Overholdelsesteams higer efter sikkerhed. Men oprettelsen og vedtagelsen af nye love og regler kan være en rodet, langvarig proces. Så ved udgangen af 2023 har vi stadig ingen bekræftet dato, hvornår DPDI eller UKI NIS-opdateringer kan blive lov. Og dele af nogle foreslåede EU-love har vist sig at være meget kontroversielle, hvilket potentielt forsinker deres gennemgang. EU AI Act løb for nylig ind i problemer, da kampagnefolk fremhævet et farligt nyt smuthul, der blev indført efter lovgivningens vedtagelse i folketinget. Det ville effektivt give udviklere mulighed for selv at beslutte, om deres AI-model er "højrisiko" eller ej. I mellemtiden har CRA også set betydelig tilbagegang i forhold til sin behandling af open source-udviklere og dens potentielt negative indvirkning på afsløring af sårbarhed.
I Storbritannien, foreslåede opdateringer til loven om undersøgelsesbeføjelser (IPA) er også blevet kraftigt kritiseret for at underminere den digitale økonomi og potentielt tvinge tech-udbydere ud af landet. Alt dette betyder, at der er meget, der skal tages stilling til. Men smarte compliance-teams vil se på, hvad der sandsynligvis ikke vil ændre sig i den kommende lovgivning og finde ud af, hvad de kan opnå på forhånd.
5. Der er masser af mere på vej næste år
Det kunne have været et travlt 2023, men der er ingen afmatning i sigte for sikkerheds- og compliance-professionelle næste år. Det skyldes, at nedtællingen fortsætter til implementeringen af flere væsentlige nye regler, mens detaljerne om andre skal færdigbehandles af de relevante myndigheder. Vi vil således se organisationer fortsætte med at få deres hus i orden til PCI DSS 4.0, når det officielt lander i marts 2025, samt NIS 2 (17. oktober 2024). CRA, DORA, DPDI og EU AI Act skulle alle være færdiggjort næste år, såvel som Storbritanniens NIS-opdateringer. Også i Storbritannien vil april 2024 være overholdelsesfristen for loven om produktsikkerhed og telekommunikationsinfrastruktur (PSTI), som vil påvirkningsproducenter af smarte (IoT) produkter.
Når det nye år for alvor begynder, bør organisationer se efter, hvor det er muligt, for at eliminere ineffektivitet og siloer, integrere overholdelse mere fuldt ud i driften og bevæbne sig med det rigtige sæt automatiserede værktøjer for at reducere byrden på teams.
Lås op for din compliance-fordel i 2024
Hvis du ønsker at starte din rejse mod bedre overholdelse, kan vi hjælpe.
Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til overholdelse og informationsstyring med ISO 27001, SOC 2, NIST og over 100 andre rammer. Indse din konkurrencefordel i dag.
