Væsentlige cybersikkerheds- og databeskyttelseselementer fra Kongens tale

Kong Charles IIIs tale ved åbningen af ​​det britiske parlament i sidste uge skitserede kritiske lovgivningsmæssige foranstaltninger, som den nye regering har til hensigt at forfølge i deres tid ved magten, hvilket fremhæver regeringens prioriteter for de kommende år. 

ambitiøst lovgivningsprogram omfattede omkring 40 lovforslag, med to specifikke love med fokus på teknologisektoren: Lovforslaget om cybersikkerhed og modstandsdygtighed og lovforslaget om digital information og smarte data.    

 Så hvad er de vigtigste informationer og cybersikkerhedsudtag fra disse lovforslag, og hvad kan virksomheder gøre nu for at forberede sig på indkommende lovgivning? 

Lovforslaget om cybersikkerhed og resiliens 

Lovforslaget om cybersikkerhed og modstandsdygtighed har til formål at styrke landets cyberforsvar og sikre den kritiske infrastruktur og digitale tjenester, som virksomheder er stærkt afhængige af. De seneste cyberangreb på NHS og forsvarsministeriet fremhæver, hvor hastende dette skridt er. Det kommende lovforslag lover at løse disse sårbarheder hurtigt, sikre beskyttelsen af ​​den digitale økonomi og understøtte vækst. 

Centralt i lovforslagets strategi er en revision af eksisterende regler, som i øjeblikket afspejler forældede EU-love, nemlig NIS, som om kort tid vil blive erstattet med den opdaterede NIS 2. Den nye britiske lovgivning vil styrke regulatorer og give mandat til øget rapportering af cybertrusler. Dette vil give regeringen en klarere forståelse af cyberlandskabet og forbedre dens reaktionsevne. 

Lovforslaget har også til formål at udvide rækkevidden af ​​de nuværende regler til at dække flere digitale tjenester og forsyningskæder, som er blevet stadig mere attraktive mål for cyberangribere. Ved at gøre det søger den at udfylde kritiske huller i landets forsvar og forhindre den slags forstyrrelser, som for nylig er oplevet af offentlige tjenester i Storbritannien, såsom ransomware-angrebet, der lammede flere London-hospitaler. 

Lovgivningen forventes at indføre højere bøder og bøder for manglende overholdelse af cybersikkerhedsstandarder for at styrke eventuelle nye lovkrav. Disse sanktioner vil supplere de lejlighedsvise, men betydelige bøder, der allerede er pålagt af Information Commissioner's Office (ICO) for databrud. 

I erkendelse af handelens indbyrdes forbundne karakter vil det foreslåede lovforslag også se nærmere på kræve, at organisationer sikrer, at deres leverandører og partnere opfylder robuste cybersikkerhedsstandarder. Det kan også pålægge den øverste ledelse forpligtelser, holde direktører eller ledere personligt ansvarlige for manglende overholdelse. 

Regulatorer vil få beføjelse til at sikre implementeringen af ​​væsentlige cybersikkerhedsforanstaltninger, herunder potentielle omkostningsdækningsmekanismer og bemyndigelse til at undersøge sårbarheder proaktivt. Desuden vil lovforslaget give mandat til omfattende hændelsesrapportering, hvilket giver regeringen bedre data om cyberangreb, herunder ransomware-hændelser, for at forbedre trusselsdetektion og -respons. 

Med den forestående indførelse af lovforslaget om cybersikkerhed og resiliens vil virksomheder, især inden for teknologi og kritiske infrastruktursektorer, sandsynligvis skulle investere i strengere cybersikkerhedsforanstaltninger. Dette vil øge deres modstandsdygtighed og sikre, at de overholder de nye, mere strenge standarder. 

De øgede indberetningspligter kan dog medføre administrative byrder og omkostninger for virksomhederne. I erkendelse af disse udfordringer planlægger regeringen at stille ressourcer til rådighed, især til små virksomheder, gennem National Cyber ​​Security Center (NCSC) for at hjælpe dem med at forbedre deres cybersikkerhedspraksis. 

Lovforslaget vil sandsynligvis også omfatte bestemmelser relateret til kunstig intelligens (AI) ud over at fokusere på generel cybersikkerhed. Selvom et dedikeret AI-lovforslag ikke blev indført, anerkender cybersikkerheds- og resilience-lovforslaget AI's voksende indflydelse og foreslår foranstaltninger til at håndtere cybersikkerhedsimplikationerne forbundet med kraftfulde AI-modeller. En holistisk tilgang på denne måde ville utvivlsomt sikre, at AI-teknologier blev udviklet og implementeret mere sikkert og med større omtanke og dermed mindske potentielle risici. 

Top 5 takeaways fra det foreslåede lovforslag om cybersikkerhed og modstandsdygtighed  

1. Strengere overholdelse og sanktioner: Den nye lov om cybersikkerhed og modstandsdygtighed forventes at indføre højere bøder og sanktioner for virksomheder, der ikke overholder påbudte cybersikkerhedsstandarder, sammen med eksisterende ICO-straffe for databrud.
2. Udvidet omfang og rapporteringskrav: Virksomheder skal overholde opdaterede regler, der dækker flere digitale tjenester og forsyningskæder. Organisationer vil også blive forpligtet til at rapportere cybersikkerhedshændelser mere omfattende for at give regeringen bedre data om cybertrusler.
3. Supply Chain Cybersikkerhed: Det foreslåede lovforslag understreger kraftigt behovet for bedre at beskytte kritisk infrastruktur mod cyberangreb. På grund af den indbyrdes forbundne karakter af moderne handel og den seneste alvor af cyberhændelser i forsyningskæden, skal virksomheder være parate til at sikre, at deres leverandører og partnere også opretholder høje cybersikkerhedsstandarder og kan demonstrere det.
4. Senior Management Ansvarlighed: Lovforslaget kan pålægge topledelsen forpligtelser til at implementere cybersikkerhedsforanstaltninger med potentielle personlige bøder eller sanktioner for manglende overholdelse.
5. Support til små virksomheder: Regeringen planlægger at stille ressourcer til rådighed gennem National Cyber ​​Security Center (NCSC) for at hjælpe små virksomheder med at forbedre deres cybersikkerhedspraksis og opfylde nye regulatoriske krav. 

Digital Information og Smart Data Bill 

I et betydeligt lovgivningsskifte sigter den nyligt afslørede lov om digital information og smarte data mod at udnytte kraften i data til at fremme økonomisk vækst, støtte en moderne digital regering og forbedre borgernes liv. Dette initiativ følger den tidligere regerings mislykkede forsøg på at bestå Lovforslaget om databeskyttelse og digital information (DPDI). men lover en frisk tilgang skræddersyet til det nuværende digitale landskab. 

I sin kerne søger lovforslaget at skabe en omfattende lovgivningsramme, der tilskynder til innovative dataanvendelser. Centralt i dette er promoveringen af ​​digitale verifikationstjenester, som har til formål at strømline hverdagsopgaver såsom flytning, kontrol før ansættelse og køb af aldersbegrænsede varer ved at levere sikre digitale identiteter. Denne innovation forventes at spare tid og penge og samtidig forbedre sikkerheden ved onlinetransaktioner. 

Lovforslaget lægger også vægt på Smart Data-ordninger, som vil lette sikker deling af kundedata med autoriserede tredjepartsudbydere efter anmodning. Ligesom den succesrige Open Banking-ramme har dette initiativ til formål at fremme innovative tjenester, der forbedrer beslutningstagning og markedsengagement. Lovforslaget søger at styrke forbrugerne og drive økonomisk vækst på tværs af forskellige sektorer ved at etablere et lovgivningsgrundlag for disse ordninger. 

Forbedring af offentlige tjenester og støtte til videnskabelig forskning er også centrale mål med lovforslaget. Med en ændring af lov om digital økonomi sigter regeringen mod at forbedre datadelingen om virksomheder, der benytter offentlige ydelser, overgang til elektronisk registrering af fødsler og dødsfald samt standardisere it-systemer i sundheds- og socialsektoren. Derudover vil lovforslaget opdatere datalovgivningen for bedre at afspejle moderne tværfaglige forskningsbehov, hvilket giver forskere mulighed for at opnå bred samtykke til deres arbejde og gør det muligt for kommercielle forskere at bruge data effektivt. 

Lovforslaget indfører målrettede reformer af datalovgivningen for at balancere beskyttelse med innovation for at fremme disse mål. Disse reformer har til formål at tydeliggøre eksisterende regler, fjerne barrierer for udvikling af nye teknologier og sikre, at høje databeskyttelsesstandarder opretholdes. 

En væsentlig del af lovforslaget er moderniseringen og styrkelsen af ​​Information Commissioner's Office (ICO). ICO vil blive omstruktureret med en ny administrerende direktør, bestyrelse og formand, og nye beføjelser vil blive givet til at håndhæve love om databeskyttelse. Denne transformation har til formål at sikre, at ICO effektivt kan føre tilsyn med de forbedrede databeskyttelsesforanstaltninger, der foreslås i lovforslaget. 

Lovforslaget om digital information og smarte data repræsenterer en proaktiv tilgang til at udnytte data til gavn for økonomien og samfundet. Ved at modernisere regulatoriske strukturer, forbedre offentlige tjenester og støtte videnskabelig forskning, sigter regeringen på at placere Storbritannien i forkant med den digitale økonomi og samtidig opretholde høje databeskyttelses- og sikkerhedsstandarder.  

Top takeaways fra Digital Information og Smart Data Bill  

1. Strukturelle ændringer og styringsændringer til ICO: Lovforslaget omstrukturerer ICO for at give det en ny styringsramme og øgede beføjelser. Disse ændringer har til formål at forbedre ICO's evne til at håndhæve databeskyttelsesforordninger og føre tilsyn med digitale verifikationstjenester.
2. Udvikling af sikre digitale identitetsprodukter: Lovforslaget støtter oprettelse og anvendelse af sikre digitale identitetsprodukter og -tjenester. Disse produkter vil lette sikre transaktioner i forskellige sammenhænge, ​​såsom flytning, kontrol før ansættelse og køb af aldersbegrænsede varer og tjenester.
3. Support til Smart Data Schemes: Lovgivningen fremmer udviklingen af ​​smarte datasystemer, der gør det muligt at dele kundeoplysninger med autoriserede udbydere. Dette initiativ har til formål at fremme innovation og forbedre serviceydelsen på tværs af finans-, energi- og telekommunikationssektorerne.
4. Reformer af datalovgivningen: Lovforslaget indfører målrettede reformer af datalovgivningen for at balancere beskyttelse med innovation. Disse reformer har til formål at tydeliggøre eksisterende regler, fjerne barrierer for udvikling af nye teknologier og opretholde høje databeskyttelsesstandarder. 

Hvad med AI-regulering i Storbritannien? 

Trods forventninger indførte den britiske regering ikke et dedikeret AI-lovforslag i King's Speech. Imidlertid er AI-overvejelser indlejret i Cyber ​​Security and Resilience Bill og produktsikkerhedsforanstaltninger, hvilket indikerer regeringens anerkendelse af AI-teknologiers voksende betydning og potentielle risici. 

På trods af fraværet af et selvstændigt AI-lovforslag udtrykte regeringen en forpligtelse til at "søge at etablere den passende lovgivning for at stille krav til dem, der arbejder på at udvikle de mest kraftfulde kunstig intelligens-modeller".

Denne forpligtelse fremhæver en løbende indsats for at sikre, at AI-udvikling og -implementering udføres inden for en ramme, der prioriterer sikkerhed, sikkerhed og etiske standarder. 

Og selvom ingen umiddelbar britisk AI-regulering ser ud til at være sandsynlig, er EU's AI-lov nu blevet lov. Det gælder for enhver virksomhed, der handler eller opererer i eller med EU-virksomheder og forbrugere, så virksomheder bør forberede sig på dette nu og sandsynligheden for fremtidige britiske AI-specifikke regler.  

Forberedelse – hvordan din virksomhed kan komme foran indgående regulering 

Med forestående cybersikkerhedslovgivning, ISO 27001 er et afgørende aktiv for organisationer, der ønsker at styrke deres digitale forsvar. Denne internationalt anerkendte standard er tæt på linje med mange af de foreslåede lovforslag om cybersikkerhed og modstandsdygtighed og kravene til Digital Information og Smart Data Bill. ISO 27001's risikobaserede tilgang til informationssikkerhedsstyring afspejler det lovgivningsmæssige fokus på omfattende risikovurdering og afbødningsstrategier. 

Fordele ved ISO 27001 for overholdelse 

• Systematisk risikostyring: ISO 27001 kræver, at virksomheder systematisk identificerer, vurderer og behandler informationssikkerhedsrisici, i overensstemmelse med det nye lovgivningsmæssige fokus på risikostyring og proaktive sårbarhedsvurderinger.
• Struktureret hændelsesrapportering: Standarden pålægger procedurer til at opdage, rapportere og reagere på sikkerhedshændelser, hvilket understøtter de øgede hændelsesrapporteringskrav i den nye lovgivning.
• Omfattende sikkerhedskontrol: ISO 27001 kræver en bred vifte af sikkerhedskontroller, der hjælper virksomheder med at opfylde de forbedrede sikkerhedsforanstaltninger, der kræves af de nye regler.
• Continuous Improvement: ISO 27001 fremmer en kultur med kontinuerlig forbedring af informationssikkerhed, hvilket sikrer, at virksomheder tilpasser sig nye trusler og lovgivningsmæssige ændringer. 

For virksomheder med et stærkt ISO 27001-fundament vil overholdelse af kommende cybersikkerhedsforskrifter være smidigere, mindre tidskrævende og mere omkostningseffektiv. Udnyttelse af eksisterende rammer kan reducere den arbejdsbyrde og de ressourcer, der kræves for at opfylde nye lovkrav med så meget som 50-70 %.

Dette forspring betyder betydelige omkostningsbesparelser og giver virksomheder mulighed for at allokere ressourcer mere strategisk med fokus på at finjustere sikkerheden i stedet for at opbygge compliance-rammer fra bunden.  

Hvad kan virksomheder gøre for at forberede sig på AI-regulering 

Efterhånden som vi nærmer os strengere AI-regler, tilbyder ISO 42001 en proaktiv tilgang til overholdelse. Organisationer, der vedtager denne standard nu, forbereder sig ikke kun på fremtidige regler; de positionerer sig selv som ledere inden for ansvarlig brug af kunstig intelligens. De potentielle fordele er betydelige: forbedret sikkerhedsposition, forbedret interessenttillid og en konkurrencefordel på et stadig mere AI-drevet marked. 

Skønheden ved ISO 42001 ligger i dens tilpasningsevne og synergi med eksisterende cybersikkerhedsrammer. Organisationer, der allerede er bekendt med standarder som ISO 27001 for informationssikkerhed, vil finde ISO 42001 en naturlig forlængelse af deres sikkerhedsposition. Den bedste praksis for at integrere AI-rammer med eksisterende sikkerhedsforanstaltninger begynder med en holistisk tilgang. Dette involverer kortlægning af AI-systemer til nuværende sikkerhedskontroller, identificering af huller og implementering af AI-specifikke sikkerhedsforanstaltninger, hvor det er nødvendigt. 

Ser Til Fremtiden 

Ved at integrere robuste informationssikkerheds- og AI-sikkerhedsprocesser, som beskrevet i ISO 27001 og ISO 42001, kan virksomheder effektivt styre lovgivningsmæssige ændringer, øge modstandskraften og bevare en konkurrencefordel. Denne holistiske tilgang sikrer, at din organisation er kompatibel og velforberedt til at møde fremtidige cybersikkerhedsudfordringer.