wat die eu se veranderinge aan die kuberveiligheidswet vir besighede beteken blog

Wat die EU se veranderinge aan die kuberveiligheidswet vir besighede beteken

Die Europese Unie gaan voort met sy pogings om kuberveerkragtigheid regoor die blok te versterk deur aan te neem nuwe wysigings aan die Wet op Kuberveiligheid (KSA) wat sertifiseringskemas vir bestuurde sekuriteitsdienste opdrag gee.

Hierdie veranderinge sal nuwe voldoeningsverpligtinge skep vir beide die verskaffers en eindgebruikers van kuberveiligheidsdienste soos voorvalreaksie en penetrasietoetsplatforms. Maar so vermoeiend soos sulke regulatoriese veranderinge kan wees, voer kenners aan dat dit die kuberverdediging en mededingendheid van baie geaffekteerde firmas kan versterk.

'n Verskerpte kuberveiligheidsregime

Volgens Phil McGowan, stelselingenieur by bestuurde kuberveiligheidsplatform Huntress, sal die komende CSA-wysigings aansienlik verander hoe maatskappye kuberveiligheidstrategieë implementeer en hul nakomingsverpligtinge in die afsienbare toekoms nakom.

Hy sê spesifiek dat hierdie veranderinge "groter klem sal plaas op proaktiewe risikobestuur, deursigtigheid en aanspreeklikheid" te midde van 'n voortdurend ontwikkelende kuberbedreigingslandskap.

Hy voeg by dat ondernemings as gevolg daarvan waarskynlik meer druk sal ondervind om sensitiewe inligting te beskerm, kuberveiligheidsoortredings betyds aan te meld en voldoening te demonstreer deur sekuriteitsoudits te onderneem en bedryfsertifisering te bekom.

McGowan sê aan ISMS.online: "In wese is die wysigings ontwerp om te verseker dat organisasies kuberveiligheid prioritiseer as 'n IT-kwessie en 'n kritieke komponent van hul algehele besigheidsveerkragtigheid en operasionele strategie."

Volgens Ralph Arrate, KI en kuberveiligheidsvennoot by die regsfirma Spencer West LLP, hierdie wysigings, tesame met nuwe wette soos die Wet op Digitale Operasionele Veerkragtigheid, die Wet op Kuberveerkragtigheid en die NIS2-richtlijn, is 'n duidelike aanduiding dat die EU sy toesig oor kuberveiligheidsake in die streek verskerp.

Arrate glo dat hulle 'n robuuste, konsekwente kuberveiligheidsregime sal vestig wat daarop gemik is om vertroue in tegnologiese produkte en dienste onder Europese besighede te verbeter.

Hy verduidelik dat die EU hoop om dit te bereik deur sertifisering 'n belangrike vereiste vir digitale produkte, dienste en prosesse te maak. In die praktyk beteken dit dat firmas 'n "omvattende hersiening van bestaande veiligheidsmaatreëls moet doen."

Ten spyte van Brexit, sal hierdie reëls ook 'n impak hê op baie Britse ondernemings. Arrate sê Britse firmas met Europese bedrywighede en handelsvennote sal verplig word om 'n "noukeurige benadering" tot IT-sekuriteit en produklewensiklusbestuur te volg.

Alhoewel sommige Britse sake-eienaars hierdie reëls as 'n regulatoriese hoofpyn kan sien, kan dit op die lang termyn voordelig wees. Volgens Arrate kan die verkryging van 'n EU-kubersekuriteitsertifisering (EUCC) hulle help om ''n mededingende voordeel te kry', aangesien dit 'n teken is van "gehalte en betroubaarheid".

Maar sommige IT-verskaffers is dalk minder optimisties oor die wysigings, met Arrate wat aanvoer dat dit "bykomende burokrasie sal bring". Hy voeg by: "Baie spelers in hierdie sektor voldoen reeds aan Amerikaanse NIST- of ISO-standaarde, wat nie presies ooreenstem met die nuwe EUCC-vereistes nie."

Sean Wright, hoof van toepassingsekuriteit by die bestuursplatform vir bedrog en finansiële misdaad Funksieruimte, sien die CSA-wysigings as 'n positiewe ontwikkeling vir besighede en die breër kuberveiligheidslandskap.

Hy sê baie organisasies bestee tans “buitengewone” bedrae aan kuberveiligheidsprodukte wat nie hul geadverteerde voordele lewer nie, wat maatskappye 'n “valse gevoel van sekuriteit” gee.

Wright is egter vol vertroue dat goed gevestigde standaarde, soos die nuwe CSA-reëls, dit sal bekamp deur te verseker dat gesertifiseerde produkte hul beoogde werk verrig. Hy gaan voort: “Daarbenewens stel organisasies dit in staat om van die komplekse aspekte van inligtingsekuriteit af te laai na diegene wat beter toegerus is om sulke items te hanteer, as jy 'n diensverskaffer het waarop jy kan staatmaak, sowel as geloof in.

Voldoening aan hierdie wysigings

Wat die nakoming van hierdie reëls betref, sê Arrate dat ondernemings eers moet bepaal of hulle binne hul bestek is. Hy verduidelik dat die betrokke wysigings gemik is op maatskappye wat bestuurde sekuriteitsdienste, 5G, IT-toepassings en ander digitale produkte en dienste aanbied.

Besighede wat geraak word, moet dan bestaande kuberveiligheidsprosesse oudit en dit vergelyk met die vereistes wat deur hierdie wetgewing gestel word. Deur dit te doen, sal volgens Arrate organisasies in staat stel om enige swakhede in hul kuberverdediging te vind en dit dienooreenkomstig aan te pak om regulatoriese optrede te vermy. Arrate moedig ook besighede aan om so gou moontlik met sertifiseringsliggame in verbinding te tree, want dit is die sleutel om die vereistes van verskillende skemas te verstaan.

Ander sleutelaanbevelings van Arrate sluit in die aanvaarding van veilige-deur-ontwerp-beginsels in alle produkontwikkelingstadia, noue samewerking met verskaffers oor voorsieningskettingsekuriteitstandaarde, en die implementering van 'n omvattende insidentreaksieplan. Die belangrikste is dat hy besighede versoek om hierdie vereistes te monitor soos hulle ontwikkel om nakoming van die jongste reëls te verseker.

Terwyl besighede sagteware-opdaterings implementeer, kuberveiligheidsprosedures uitvoer en op insidente reageer, Spencer Starkey—uitvoerende VP van EMEA by die Amerikaanse kuberveiligheidsfirma sonicwall—sê dit is noodsaaklik dat hulle al hierdie stappe dokumenteer om aan die CSA te voldoen. Hy sê: "Hierdie dokumentasie is van kardinale belang tydens regulatoriese oudits, wat die maatskappy se verbintenis tot beste kuberveiligheidpraktyke demonstreer."

Aangesien menslike foute 'n hoofoorsaak van kuberveiligheidsvoorvalle is, sê Starkey dat besighede van alle groottes hul werknemers moet opvoed oor die nuutste aanlynbedreigings en hoe om dit aan te pak. Hy beskou dit as 'n voorvereiste vir "effektiewe nakoming van die CSA-wysigings".

Die belangrikheid van gestruktureerde raamwerke

Om aan nuwe regulasies soos die CSA-wysigings te voldoen, kan 'n oorweldigende vooruitsig vir baie besighede wees. Daar is egter verskillende maniere om hierdie proses te stroomlyn, soos professionele raamwerke en sagteware.

Die aanvaarding van 'n industriestandaard soos ISO 27001 is 'n uitstekende opsie vir besighede beïnvloed deur die CSA-veranderinge omdat dit hulle 'n eenvormige manier bied om inligtingsekuriteitverwante kwessies te hanteer, argumenteer Nick Palmer, kundiges in oplossingsingenieurswese by aanvaloppervlakbestuur en bedreigingsjagoplossings by Censys.

Hy gaan voort: "Sertifisering demonstreer die nakoming van wêreldwye beste praktyke, stroomlyn oudits en verminder duplisering van pogings wanneer aan oorvleuelende standaarde voldoen word, wat regulatoriese nakoming meer doeltreffend en doeltreffend maak."

Die nuutste kubersekuriteitsagteware kan ook voldoeningskompleksiteit verminder deur voorafgekonfigureerde instellings, outomatisering en hoë skaalbaarheid aan te bied, wat alles ooreenstem met regulatoriese vereistes, sê Palmer. "Hulle kan help om bedreigingopsporing, -monitering en -reaksie te sentraliseer, en elimineer die behoefte vir besighede om hierdie vermoëns in die huis te bou en in stand te hou."

Palmer sê kuberveiligheidsplatforms kan ook gereedheid vir die nuutste reëls verseker deur intydse sagteware-opdaterings, integrasies met standaarde en kliëntediens te verskaf om besighede te help om die vinnig veranderende bedreiging en regulatoriese landskappe te navigeer. Hy gaan voort: "Boonop, soos in die vorige punte, sal daardie verskaffers wat oplossings bied met CSA-nakoming reeds ingebak het, 'n aansienlike voordeel hê."

Breër implikasies

Die CSA-wysigings sal ongetwyfeld groot implikasies vir die kuberveiligheidslandskap en korporatiewe wêreld oor die komende jare hê. Op 'n positiewe noot, Arrate voorspel dat hul streng en eenvormige aard "die basislynvlak van sekuriteit oor nywerhede sal verhoog." Hy verduidelik: "Besighede word nou verplig om kuberveiligheid as 'n kernoorweging te integreer, wat op sy beurt die digitale ekosisteem as geheel versterk."

Ilona Cohen, hoofregs- en beleidsbeampte by die platform vir die openbaarmaking van foute en kwesbaarheid HackerOne, stem saam dat die sertifisering die potensiaal het om die uitkoms van blokwye kuberveiligheidsprosesse te verbeter.

Dit hang egter af van hoe goed hulle ontwerp is, wat Cohen erken nie eenvoudig is nie, aangesien die beste praktyke in die bedryf voortdurend verander. Sy sê: "ENISA [Die Europese Unie-agentskap vir kuberveiligheid] moet ook belyning verseker met die baie, baie kuberveiligheidsbeleide wat die EU die afgelope jare goedgekeur het, soos CRA, DORA en NIS2."

So, hoe kan Europese reguleerders hierdie uitdagings oorkom en verseker dat hul sertifiseringskemas geskik is vir die doel? Cohen doen 'n beroep op hulle om bestuurde diensverskaffers te dwing om dieselfde beste praktyke aan te neem as wat van ander sleutelsektore verwag word om te volg. Sy sê: "Dit sluit in die vestiging van robuuste programme vir die openbaarmaking van kwesbaarheid (VDP), die implementering van die beste praktyke vir verifikasie en die versekering van databeskerming."

Oor die algemeen lyk die komende veranderinge aan die CSA na 'n slim stap vir die Europese Unie namate sy ambisies vir 'n digitale interne mark groei. Vir tegnologieverkopers sal die aanbied van gesertifiseerde sekuriteitsprodukte hulle help om uit te staan ​​bo hul mededingers.

Intussen kry eindgebruikers groter gemoedsrus dat hulle 'n opbrengs op hul IT-beleggings sal ontvang. Natuurlik sal sommige hierdie veranderinge as nog 'n laag van burokrasie sien. Maar dit is waar gevestigde industriestandaarde en SaaS-produkte kan help deur voldoeningsprosesse te stroomlyn.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!