Die 10 grootste nakomingsoomblikke van 2023: Ons keuse van 'n landmerkjaar

Daar was genoeg om Britse kuberveiligheids- en voldoeningsprofessionals die afgelope 12 maande besig te hou. Van langverwagte bedryfsregulasies tot nuwe ooreenkomste vir die deel van data en baanbrekende wetsvoorstelle, 2023 was 'n uitstaande jaar op baie fronte. Daar sal oor die komende 12 maande baie wees om in nakomingsprogramme in te bou, so hier is ons keuse van die tien grootste nuwe reëls, regulasies en wette om te oorweeg:

1.NIS 2 En sy Britse ekwivalent

’n Tweede weergawe van die EU se Netwerk- en Inligtingsekuriteit (NIS)-richtlijn het in Januarie 2023 in werking getree, en lidlande het tot 17 Oktober 2024 om dit in plaaslike wetgewing om te sit. Dit poog om die richtlijn se omvang uit te brei na medium en groot ondernemings in bykomende sektore soos telekommunikasie, sosiale media, afvalwater en voedsel. Daar sal ook swaarder boetes, minimum basislynvereistes en 'n meer beduidende fokus op insidentreaksie, direkteur-aanspreeklikheid en voorsieningskettingsekuriteit wees. Alle Britse "operateurs van noodsaaklike dienste" (OES) wat in die EU werksaam is, sal daaraan moet voldoen. En intussen berei die Verenigde Koninkryk sy eie opdatering aan die regime voor, verduidelik hier afgelaai word.

Kyk na hierdie NIS 2-voldoeningsgids.

2. Die Wet op Digitale Operasionele Veerkragtigheid (DORA)

Finansiële sektorfirmas en hul IKT-tegnologievennote wat in Europa werksaam is, sal tot 17 Januarie 2025 hê om aan hierdie nuwe EU-wet te voldoen. Greenlit, in Januarie 2023, sal DORA maatskappye wat aan hulle voldoen, dwing om gapings in hul operasionele veerkragtigheid te prop te midde van toenemende kuberbedreigings. Dit dek risikobestuur, insidenteverslagdoening, gestandaardiseerde veerkragtigheidstoetsing, intelligensiedeling en derdeparty-risikobestuur. Organisasies wat reeds ISO 27001-sertifisering behaal het – of sy leidende beginsels van proaktiewe risikobestuur en die voortdurende verbetering van operasionele veerkragtigheid volg – ​​sal goed geplaas wees om daaraan te voldoen.

Kyk na hierdie 15-punt DORA-nakomingskontrolelys.

3. Wetsontwerp op databeskerming en digitale inligting (DPDI)

Geprys as die VK se poging om sy eie post-Brexit-weergawe van die te produseer BBP, is die DPDI-wetsontwerp 'n poging om die databeskermingswet meer besigheidsvriendelik te maak sonder om die VK se toereikendheidstatus te beïnvloed. Onder die opskrifveranderings is dat slegs organisasies wat betrokke is by "hoërisiko" dataverwerking rekords moet hou, wat moontlik papierwerk verminder. Daar is ook verduidelikings oor wanneer organisasies data kan verwerk sonder om toestemming te vereis. Daar is egter kommer vir Britse firmas met EU-bedrywighede. Hulle sal óf hul GDPR-nakomingsraamwerk soos dit moet hou en nie voordeel kan trek uit die DPDI se vermelde voordele nie óf twee parallelle raamwerke moet bestuur, wat meer werk sal beteken. Spesialis adviseurs kan help deur hierdie pogings via 'n enkele portaal te sentraliseer.

4. Nuwe SEC Reëls

Die Securities and Exchange Commission (SEC) bekendgestel nuwe veiligheidsopenbaarmakingsvereistes in 2023, wat ook Britse firmas sal raak. Spesifiek, enige Britse firma wat dienste (veral dataverwant) aan genoteerde Amerikaanse maatskappye verskaf, kan meer ondersoek van hierdie organisasies verwag. Daar sal van Amerikaanse firmas verwag word om binne vier dae enige kubervoorval by 'n diensverskaffer bekend te maak wat "'n wesenlike impak" op hul besigheid het. Daar sal dus 'n baie hoër maatstaf wees vir die openbaarmaking van voorvalreaksies en beplanning en reaksie op deurlopende omsigtigheidsondersoeke van Amerikaanse vennote. 'n ISMS- en ISO 27001- of SOC 2-nakoming kan firmas help om hierdie versekering aan hul Amerikaanse vennote te gee.

5.EU-VSA Data Privaatheid Framework (DPF)

Hierdie raamwerk is in Julie 2023 deur die Europese Kommissie onderskryf, wat in wese 'n toereikendheidsbesluit verseker wat beteken dat data ongehinderd van die blok na die VSA kan vloei. Om gesertifiseer te word en deurlopende voldoening te demonstreer, moet Amerikaanse organisasies spesifieke databeskermingsprosesse in hul besigheid insluit, insluitend doelbeperking, dataminimisering, databewaring en -deel.

6.VK-VS Data Bridge-ooreenkoms

Dit is in September aangekondig, dit is 'n uitbreiding van die EU-VSA DPF wat ontwerp is om duur kontrakklousules vir Britse ondernemings wat persoonlike data aan Amerikaanse diensverskaffers oordra, uit te skakel en ander hindernisse tot datavloei tussen die twee lande te verminder. Britse firmas sal nou aan die reëls oor internasionale data-oordragte kan voldoen sonder om ekstra risiko-assessering van hul Amerikaanse vennote te vereis. Die nuwe databrug sal op 'n byna identiese manier werk as die EU-VSA DPF en sal wees beskikbaar vanaf 12 Oktober 2023.

7. Wet op kuberveerkragtigheid (CRA)

Die EU se CRA word steeds gefinaliseer ten tyde van die skryf hiervan. Maar sy hoëvlak-doelwit is om verbruikers en besighede te beskerm deur: 'n streng stel kuberveiligheidsvereistes op te stel wat die beplanning, ontwerp, ontwikkeling en instandhouding van tegnologiese produkte beheer; en die verskaffing van 'n nuwe CE-vlieërmerk om deursigtigheid te bevorder. Vervaardigers, invoerders en verspreiders van produkte met 'n "digitale komponent" wat as 'n hoë risiko beskou word, sal waarskynlik derdeparty-konformiteitsbeoordelings teen die nuwe sekuriteitsvereistes moet ondergaan. Die las kan egter moeiliker wees vir kleiner ondernemings kundiges beweer organisasies wat reeds aan GDPR voldoen met robuuste sekuriteitskontroles, -beleide en -prosedures, moet voldoening haalbaar vind met beperkte aanpassing.

8.EU KI-wet

Die wetgewing wat tans gefinaliseer word, sal probeer om maatskaplike skade as gevolg van KI te verminder. Dit sal 'n risiko-gebaseerde benadering volg, wat KI-modelle klassifiseer volgens "onaanvaarbare", "hoë", "beperkte" en "minimale" risiko. Diegene wat as 'n hoë risiko beskou word, sal aan streng kriteria moet voldoen, soos risikobepalings en versagtingstelsels, aanteken van aktiwiteit, gedetailleerde dokumentasie, toepaslike menslike toesig, en hoë vlakke van robuustheid en sekuriteit om te voldoen. Die model sal dan in die EU-databasis geregistreer word en 'n CE-merk kry. Britse organisasies wat aan die EU verkoop, sal gekonfronteer word met die bestuur van twee afsonderlike voldoeningsraamwerke of om aan die EU-wetgewing te voldoen. Organisasies kan begin die werk nou deur databeskermingsimpakevalueringsprosesse aan te pas in gereedheid vir die nuwe regime.

9.NIST Kuberveiligheidsraamwerk 2.0

Die CSF 2.0 is die eerste betekenisvolle verversing in hierdie beste praktykraamwerk sedert sy ontstaan ​​in 2014. Dit sal 'n nuwe "Regeer"-pilaarbedekking bekendstel;

• Organisatoriese konteks
• Risikobestuurstrategie
• Voorsieningskettingrisikobestuur
• Rolle, verantwoordelikhede en owerhede
• Beleide, prosesse en prosedures; en toesig.

En daar sal meer implementeringsvoorbeelde wees om organisasies te help om CSF-teorie in die praktyk te omskep. Kenners glo 'n inligtingsekuriteitbestuurstelsel (ISMS) kan help deur voorbeelde uit te stippel van hoe om die CSF 2.0-verwysingsinstrument te gebruik en 'n begrip te gee van hoe werklike implementerings lyk.

10.PCI DSS 4.0

Alhoewel PCI DSS 4.0 eintlik in Maart 2022 goedgekeur is, was dit vanjaar 'n gereelde onderwerp van bespreking aangesien die tweejaar-aftelling tot die implementeringsperdatum op 31 Maart 2025 begin het. Terwyl vroeëre weergawes van die raamwerk voorskriftelik was – dit wil sê ontplooide brandmure en toegepaste antiviruskontroles – poog PCI DSS 4.0 om sekuriteit as 'n deurlopende proses te bevorder. Onder die veranderinge sluit in 'n vereiste vir anti-wanware eerder as anti-virus en ontplooiing van multi-faktor-verifikasie om toegang tot die kaarthouer-data-omgewing te verkry. Daar is ook vereistes om digitale vlugleesrisiko's te versag en om voorsieningskettingrisiko te help verminder deur 'n sagteware-voorraad, insluitend biblioteke en komponente, in stand te hou. Soos altyd, sal daardie besighede wat groot kaartvolumes verwerk, 'n eksterne oudit moet onderneem.

Kyk na ons gids vir die bereiking van PCI-DSS V4-voldoening saam met ISO 27001.