'n Jaar in nakoming: Vyf lesse geleer vanaf 2023
INHOUDSOPGAWE:
Sekuriteits- en voldoeningsleiers het 2023 geëindig soos hulle dit begin het, oorweldig met die volume en kompleksiteit van nuwe reëls en regulasies. Sommige sal slegs van toepassing wees op spesifieke tipe organisasies. Ander kan moeilik wees om te vermy. Maar dit dra alles by tot 'n makro-beeld van meer werk, veral vir Britse firmas met bedrywighede en/of vennote in Europa en die VSA.
So, watter vyf wegneemetes kan nuttig wees om in gedagte te hou vir wat waarskynlik nog 'n besige jaar voorlê? Hier is ons toplesse geleer vanaf 2023:
1. Britse firmas mag dalk nie 'n 'Brexit-dividend' sien nie
In verskeie gevalle hierdie jaar het nuwe Britse wette na vore gekom wat belowe om sommige van die 'rompslomp' ongedaan te maak, wat Brexit-voorstanders beweer 'n sleutelrede was om die blok te verlaat. Een is die Wetsontwerp op Databeskerming en Digitale Inligting (DPDI), wat die regering beweer sal help om Britse firmas miljarde te bespaar. Hierdie Britse weergawe van die BBP sluit verskeie verduidelikings en uitkerings in wat die wet meer besigheidsvriendelik kan maak, soos om te verseker dat slegs organisasies wat betrokke is by "hoërisiko" dataverwerking rekord hoef te hou. VK-firmas met EU-bedrywighede sal egter óf by hul bestaande GDPR-nakomingsraamwerk moet hou – wat die regering sal toelaat – en dus versuim om voordeel te trek uit hierdie voordele óf die las skou om twee nakomingstelsels langs mekaar te bestuur.
Die tweede Netwerk- en inligtingstelselsregulasies (NIS 2) sal sommige firmas in 'n soortgelyke moeilikheid plaas, gegewe die VK is besig om te verskil van die regime volgende jaar. Die feit dat lidlande eersgenoemde teen 17 Oktober 2024 moet implementeer, terwyl die VK se wetgewende planne onduidelik bly, kan lei tot verhoogde koste vir nakomingspanne.
Hierdie gevalle herinner ons aan die behoefte om saam te werk met voldoeningspesialiste wat in staat is om uiteenlopende aktiwiteite vir onderdrukspanne te sentraliseer en vaartbelyn te maak.
2. Nakoming van ISO 27001 is 'n wonderlike grondslag vir besighede
Ons het regdeur die jaar nuwe regulasies en wetgewingsvoorstelle teen 'n duiselingwekkende tempo gesien. Maar die goeie nuus is dat met 'n robuuste beste praktyk-sekuriteitsraamwerk, organisasies reeds baie van die swaar opheffing vir baie van hierdie nuwe reëls sal gedoen het. Dit is beslis waar van die EU Wet op Digitale Operasionele Veerkragtigheid (DORA), NIS 2 richtlijn en Wet op kuberveerkragtigheid (CRA), wat onderskeidelik van toepassing is op finansiëledienstefirmas, operateurs van noodsaaklike dienste en vervaardigers van produkte met digitale komponente. Dit sal ook help met die VK se DPDI, wat na verwagting die GDPR sal vervang. En soos ISMS.online deur die jaar berig het, kan beste praktykraamwerke help om die risiko van deepfakes, voorsieningsketting bedreigings en meer.
’n Onlangse Gartner-verslag het dit beweer ISO 27001 en NIST (Nasionale Instituut vir Standaarde en Tegnologie) bied die bestuursstrengheid, prosesse en struktuur wat nodig is om inligtingsekuriteit en risikobestuursukses te dryf, ongeag die grootte, bedryfsvertikale of sekuriteit/risikobestuursbevoegdheid. Tog het dit ook gevind dat 41% van kliënte nog 'n raamwerk moes kies of hul eie ad hoc-benadering ontwikkel het – wat kan lei tot beheergapings, vermorste hulpbronne en oorbelaste sekuriteitspanne.
3. Wat in die buiteland gebeur, maak saak by die huis
Sekuriteit- en nakomingspanne kan nie in 'n vakuum leef nie, veral as hul organisasie bedrywighede in die buiteland het of vennootskappe met buitelandse entiteite het. Vanuit die VSA sal nuwe SEC-reëls oor oortreding/voorval openbaarmaking diensverskaffers beïnvloed waar hulle ook al gebaseer is. Dit sal Britse firmas in hierdie situasie vereis om moontlik hul spel op voorvalreaksie en ander elemente van sekuriteitsposisie te verhoog. Dan is daar DORA, NIS 2, die CRA en die EU KI-wet, wat alles organisasies sal beïnvloed wat in die blok verkoop.
Sommige reëls moet nog gefinaliseer word, maar firmas wat hoop om 'n voordeel in hierdie markte te kry, sal goed ingelig wil wees, voldoende voorbereid wil wees en met spesialiste saamwerk wat kan help om voldoening 'n bemiddelaar eerder as 'n padblokkade te maak.
4. Daar is nog baie in die lug
Voldoeningspanne smag na sekerheid. Maar die skepping en aanneming van nuwe wette en regulasies kan 'n morsige, uitgerekte proses wees. Dus, aan die einde van 2023 het ons nog geen bevestigde datum wanneer die DPDI- of UKI NIS-opdaterings wet kan word nie. En dele van sommige voorgestelde EU-wette het baie omstrede geblyk, wat moontlik die aanvaarding daarvan vertraag. Die EU KI-wet het onlangs in die moeilikheid beland wanneer kampvegters uitgelig ’n gevaarlike nuwe skuiwergat wat ingestel is ná die wetgewing se aanneming in die parlement. Dit sal ontwikkelaars effektief toelaat om self te besluit of hul KI-model "hoë risiko" is of nie. Intussen het die CRA ook aansienlike terugslag gesien oor sy behandeling van oopbronontwikkelaars en die potensieel negatiewe impak daarvan op die openbaarmaking van kwesbaarheid.
In die UK, voorgestelde opdaterings aan die Wet op Ondersoekbevoegdhede (IPA) is ook hewig gekritiseer omdat hulle die digitale ekonomie ondermyn en moontlik tegnologieverskaffers uit die land dwing. Dit alles beteken daar is nog baie wat besluit moet word. Maar slim nakomingspanne sal kyk na wat waarskynlik nie in komende wetgewing sal verander nie en uitwerk wat hulle voor die tyd kan bereik.
5. Daar is nog baie om volgende jaar te kom
Dit was dalk 'n besige 2023, maar daar is volgende jaar geen verlangsaming in sig vir veiligheids- en nakomingsprofessionals nie. Dit is omdat die aftelling voortgaan tot die implementering van verskeie belangrike nuwe regulasies, terwyl die besonderhede oor ander deur die betrokke owerhede gefinaliseer moet word. Ons sal dus sien dat organisasies voortgaan om hul huis in orde te kry vir PCI DSS 4.0 wanneer dit amptelik in Maart 2025 land, sowel as NIS 2 (17 Oktober 2024). Die CRA, DORA, DPDI en EU KI-wet behoort almal volgende jaar gefinaliseer te word, sowel as die VK se NIS-opdaterings. In die Verenigde Koninkryk sal April 2024 ook die nakomingsperdatum wees vir die Wet op Produksekuriteit en Telekommunikasie-infrastruktuur (PSTI), wat impak vervaardigers van slim (IoT) produkte.
Soos die nuwe jaar in alle erns begin, moet organisasies waar moontlik kyk om ondoeltreffendheid en silo's uit te skakel, voldoening meer volledig in bedrywighede te integreer en hulself te bewapen met die regte stel outomatiese gereedskap om die las op spanne te verminder.
Ontsluit jou voldoeningsvoordeel in 2024
As jy jou reis na beter voldoening wil begin, kan ons help.
Ons ISMS-oplossing maak 'n eenvoudige, veilige en volhoubare benadering tot voldoening en inligtingbestuur moontlik met ISO 27001, SOC 2, NIST en meer as 100 ander raamwerke. Besef vandag jou mededingende voordeel.
