De 10 største overholdelsesmomenter i 2023: Vores valg af et skelsættende år

Der har været masser til at holde britiske cybersikkerheds- og compliance-professionelle beskæftiget i løbet af de sidste 12 måneder. Fra længe ventede branchebestemmelser til nye datadelingsaftaler og banebrydende lovforslag har 2023 været et enestående år på mange fronter. Der vil være meget at bygge ind i overholdelsesprogrammer i løbet af de kommende 12 måneder, så her er vores udvalg af de ti største nye regler, forordninger og love, der skal overvejes:

1.NIS 2 og dets britiske ækvivalent

En anden version af EU's net- og informationssikkerhedsdirektiv (NIS) trådte i kraft i januar 2023, og medlemslandene har indtil den 17. oktober 2024 til at omsætte det til lokal lovgivning. Det søger at udvide direktivets anvendelsesområde til mellemstore og store virksomheder i yderligere sektorer som telekommunikation, sociale medier, spildevand og fødevarer. Der vil også være højere bøder, minimumskrav til basislinje og et mere markant fokus på hændelsesrespons, direktøransvar og forsyningskædesikkerhed. Alle britiske "operatører af væsentlige tjenester" (OES), der opererer i EU, skal overholde. Og i mellemtiden forbereder Storbritannien sin egen opdatering til regimet, forklaret her.

Tjek denne NIS 2 compliance guide.

2. The Digital Operational Resilience Act (DORA)

Finansielle virksomheder og deres ikt-teknologipartnere, der opererer i Europa, har indtil den 17. januar 2025 til at overholde denne nye EU-lov. Greenlit, i januar 2023, vil DORA tvinge virksomheder, der overholder reglerne, til at lukke huller i deres operationelle modstandsdygtighed over for voksende cybertrusler. Det dækker risikostyring, hændelsesrapportering, standardiseret modstandsdygtighedstest, intelligensdeling og tredjeparts risikostyring. Organisationer, der allerede har opnået ISO 27001-certificering – eller følger dens vejledende principper for proaktiv risikostyring og løbende forbedring af operationel modstandskraft – vil være godt rustet til at overholde.

Tjek denne 15-punkts DORA-tjekliste for overholdelse.

3. Databeskyttelse og Digital Information Bill (DPDI)

Hyldet som Storbritanniens forsøg på at producere sin egen post-Brexit-version af GDPR, er DPDI-lovforslaget et forsøg på at gøre databeskyttelsesloven mere forretningsvenlig uden at påvirke Storbritanniens tilstrækkelighedsstatus. Blandt overskriftsændringerne er, at kun organisationer, der beskæftiger sig med "højrisiko" databehandling, skal føre optegnelser, hvilket potentielt reducerer papirarbejdet. Der er også afklaringer om, hvornår organisationer kan behandle data uden at kræve samtykke. Der er dog bekymringer for britiske virksomheder med EU-aktiviteter. De bliver enten nødt til at beholde deres GDPR-overholdelsesramme, som den er, og ikke være i stand til at drage fordel af DPDI's angivne fordele eller køre to parallelle rammer, hvilket vil betyde mere arbejde. Specialrådgivere kan hjælpe ved at centralisere disse indsatser via en enkelt portal.

4.Nye SEC-regler

Securities and Exchange Commission (SEC) indført nye sikkerhedskrav i 2023, hvilket også vil påvirke britiske virksomheder. Specifikt kan enhver britisk virksomhed, der leverer tjenester (især data-relaterede) til børsnoterede amerikanske virksomheder, forvente mere kontrol fra disse organisationer. Amerikanske firmaer forventes inden for fire dage at offentliggøre enhver cyberhændelse hos en tjenesteudbyder, som har "en væsentlig indflydelse" på deres forretning. Der vil derfor være en meget højere bar for afsløring af hændelser og planlægning og reaktion på igangværende due diligence fra amerikanske partnere. En overholdelse af ISMS og ISO 27001 eller SOC 2 kan hjælpe virksomheder med at give disse forsikringer til deres amerikanske partnere.

5. EU-US Data Privacy Framework (DPF)

Denne ramme blev godkendt af Europa-Kommissionen i juli 2023, hvilket i det væsentlige sikrer en tilstrækkelighedsbeslutning, der betyder, at data kan strømme fra blokken til USA uhindret. At blive certificeret og demonstrere løbende overholdelse, skal amerikanske organisationer indlejre specifikke databeskyttelsesprocesser i deres virksomhed, herunder formålsbegrænsning, dataminimering, dataopbevaring og -deling.

6. Data Bridge-aftale mellem Storbritannien og USA

Meddelt i september, er dette en udvidelse af EU-US DPF designet til at eliminere dyre kontraktklausuler for britiske virksomheder, der overfører personlige data til amerikanske tjenesteudbydere og minimere andre barrierer for dataflow mellem de to lande. Britiske virksomheder vil nu være i stand til at overholde reglerne om internationale dataoverførsler uden at kræve ekstra risikovurdering af deres amerikanske partnere. Den nye databro vil fungere på næsten identisk måde med EU-US DPF og vil være det til rådighed fra 12. oktober 2023.

7. Cyber ​​Resilience Act (CRA)

EU's CRA er stadig ved at blive færdiggjort i skrivende stund. Men dets mål på højt niveau er at beskytte forbrugere og virksomheder ved at: pålægge et strengt sæt cybersikkerhedskrav "som styrer planlægning, design, udvikling og vedligeholdelse" af teknologiske produkter; og giver et nyt CE-dragemærke for at øge gennemsigtigheden. Producenter, importører og distributører af produkter med en "digital komponent", der anses for at være højrisiko, vil sandsynligvis skulle gennemgå tredjeparts overensstemmelsesvurderinger i forhold til de nye sikkerhedskrav. Byrden kunne dog være mere byrdefuld for mindre virksomheder hævder eksperter organisationer, der allerede overholder GDPR med robuste sikkerhedskontroller, politikker og procedurer, bør finde overholdelse opnåelig med begrænset justering.

8.EU AI-lov

Lovgivningen, der i øjeblikket er ved at blive færdiggjort, vil forsøge at reducere samfundsskader som følge af AI. Det vil tage en risikobaseret tilgang, der klassificerer AI-modeller efter "uacceptabel", "høj", "begrænset" og "minimal" risiko. De, der anses for at være høje, skal opfylde strenge kriterier såsom risikovurderinger og afbødningssystemer, logning af aktivitet, detaljeret dokumentation, passende menneskeligt tilsyn og høje niveauer af robusthed og sikkerhed for at overholde. Modellen bliver herefter registreret i EU-databasen og CE-mærket. Britiske organisationer, der sælger til EU, vil blive konfronteret med at køre to separate overholdelsesrammer eller overholde EU-lovgivningen. Organisationer kan starte arbejdet nu ved at tilpasse processerne til vurdering af databeskyttelseskonsekvenser, så de er klar til den nye ordning.

9.NIST Cybersecurity Framework 2.0

CSF 2.0 er den første væsentlige opdatering af denne best practice-ramme siden dens start i 2014. Den vil introducere en ny "Govern"-søjle, der dækker;

• Organisatorisk kontekst
• Risikostyringsstrategi
• Risikostyring i forsyningskæden
• Roller, ansvar og beføjelser
• Politikker, processer og procedurer; og tilsyn.

Og der vil være flere implementeringseksempler for at hjælpe organisationer med at omsætte CSF-teori til praksis. Eksperter mener et informationssikkerhedsstyringssystem (ISMS) kunne hjælpe ved at skitsere eksempler på, hvordan man bruger CSF 2.0-referenceværktøjet og give en forståelse af, hvordan implementeringer i den virkelige verden ser ud.

10.PCI DSS 4.0

Selvom PCI DSS 4.0 faktisk blev godkendt i marts 2022, har det været et fast diskussionsemne i år, da den toårige nedtælling til implementeringsfristen den 31. marts 2025 er begyndt. Mens tidligere versioner af rammeværket var præskriptive – dvs. installerede firewalls og anvendte antiviruskontroller – har PCI DSS 4.0 til formål at fremme sikkerhed som en kontinuerlig proces. Blandt ændringerne er et krav om anti-malware snarere end anti-virus og implementering af multi-faktor autentificering for at få adgang til kortholderens datamiljø. Der er også krav til at mindske digitale skimming-risici og for at hjælpe med at minimere forsyningskæderisikoen ved at vedligeholde en softwarebeholdning, herunder biblioteker og komponenter. Som altid vil de virksomheder, der behandler store kortmængder, være forpligtet til at foretage en ekstern revision.

Se vores guide til at opnå PCI-DSS V4-overensstemmelse sammen med ISO 27001.