Die Wet op Kuberveiligheid en Veerkragtigheid (CSRB) gaan steeds deur die parlement. Maar die einde van 'n lang wetgewende proses kom stadig in sig. Wanneer dit uiteindelik wet word, sal die wetsontwerp 'n lankverwagte opknapping van die NIS-regulasies 2018 bied. Maar wat van Britse organisasies wat reeds voldoen aan die EU se hersiening van dieselfde reëls, bekend as NIS2?

Alhoewel daar pogings is om die twee in lyn te bring, is daar ook baie punte waar hulle verskil. Van die aantal sektore wat in omvang oorweeg word tot die grootte van potensiële boetes, moet voldoeningspanne nou begin om die impak van hierdie veranderinge te verstaan. En beplan vir 'n potensieel groot hoeveelheid ekstra werk.

Hoe die CSRB van NIS2 verskil

Om te verstaan ​​hoe ver die CSRB van NIS2 afwyk, kyk na die opsomming van die rekening op die regering se webwerf. Dit noem glad nie sy Europese eweknie nie. Die woord "belyning" verskyn ook nie. In praktiese terme is daar verskeie areas waarna voldoeningspanne moet kyk:

Gereguleerde entiteite: omvang

Die VK fokus op Operateurs van Essensiële Dienste (OES), Relevante Digitale Diensverskaffers (RDSP's) – wat wolk-, soek- en markplekverskaffers is – en 'n nuwe kategorie van Relevante Bestuurde Diensverskaffers (RMSP's). Die benadering is om spesifieke OES's aan te wys, terwyl NIS2 outomaties alle medium en groot entiteite in 18 sektore insluit. Die gevolg is dat sommige organisasies wat onder CSRB val, NIS2-regulering sal vryspring en andersom.

Gereguleerde entiteite: nuwe kategorieë

Die CSRB stel slegs een nuwe OES-kategorie van "datasentrumdienste" bekend, terwyl NIS2 verskeie insluit: openbare administrasie, ruimte, afvalwater, voedsel, vervaardiging, posdienste, afvalbestuur en digitale verskaffers. Dit maak dit meer waarskynlik dat Britse organisasies wat nie deur CSRB gereguleer word nie, onder NIS2 sal val.

MSP's:

RMSP's word as 'n nuwe kategorie in CSRB bekendgestel, en hulle word deur NIS2 as Essensiële Entiteite of Belangrike Entiteite beskou. Maar daar kan verskillende voldoeningsvereistes vir elke regime wees.

Toesig oor die voorsieningsketting:

In die VK kan "kritieke verskaffers" aan OES'e, RDSP'e en RMSP'e deur bevoegde owerhede en die Inligtingskommissaris se Kantoor (ICO) aangewys word en is onderhewig aan direkte toesig. In NIS2 is daar geen direkte regulatoriese toesig nie, maar alle entiteite wat binne die bestek val, moet voorsieningskettingrisiko's assesseer.

Insidentdefinisies en rapportering:

Die CSRB se definisie van 'n gereguleerde voorval is uitgebrei om gebeurtenisse in te sluit "wat 'n beduidende impak op die verskaffing van 'n noodsaaklike of digitale diens kan hê", sowel as "voorvalle wat die vertroulikheid, beskikbaarheid en integriteit van 'n stelsel beduidend beïnvloed". Die betekenis sal per bedryf beoordeel word. In NIS2 is voorvalle dié wat operasionele ontwrigting, finansiële verlies of materiële/nie-materiële skade aan ander veroorsaak. Dit beteken dat die drempel vir rapportering in die VK/EU kan verskil.

Rapporteringstydlyne – aanvanklike rapportering binne 24 uur nadat 'n voorval bewus geword is, dan volledige kennisgewing binne 72 uur – is egter breedweg dieselfde in die VK/EU.

Kliëntkennisgewing:

Dit word vereis vir datasentrumdiensverskaffers, RDSP's en RMSP's in die VK. Maar daar mag addisionele vereistes onder NIS2 wees, afhangende van die lidstaat se interpretasie van die richtlijn.

Persoonlike aanspreeklikheid:

Dit word nie in die CSRB gedek nie, maar NIS2 stel beduidende persoonlike aanspreeklikheid vir senior bestuur bekend. Dit sluit verpligte opleiding vir bestuurders en persoonlike aanspreeklikheid vir nie-nakoming in. Britse organisasies wat aan NIS2 voldoen, sal die meer gedetailleerde bestuursvereistes in die EU-regime moet verstaan.

Strafdoele:

In die CSRB is standaardboetes die grootste van £10 miljoen of 2% van die wêreldwye jaarlikse omset, maar styg tot £17 miljoen/4% vir maksimum boetes. NIS2 gee lidstate ruimte om hieroor te besluit, solank hulle "effektief, proporsioneel en afskrikkend" is.

registrasie:

Ingevolge die CSRB moet RMSP's en datasentrumverskaffers wat as OES'e aangewys is, registreer. In NIS2 moet Essensiële en Belangrike Entiteite by bevoegde owerhede registreer, maar lidstate besluit hoe dit werk. Die slotsom is dat Britse organisasies hul verpligtinge vir beide afsonderlik sal moet assesseer.

Algemene benadering:

Die CSRB stel beduidende nuwe inligting-insamelingsbevoegdhede vir bevoegde owerhede en die ICO bekend, ongeag die tipe gereguleerde organisasie. NIS2 stel belangrike entiteite in staat om voordeel te trek uit 'n ligter benadering.

Oor die algemeen is die CSRB egter ontwerp om meer buigsaam te wees as sy Europese ekwivalent, sê James Wong, 'n senior medewerker in die Tegnologie- en Digitale span by die globale regsfirma Clifford Chance.

“Die regering sal strategiese prioriteite en geteikende rigtings kan uitreik, en reguleerders sal entiteite as 'kritieke verskaffers' kan aanwys, wat hulle direk binne die bestek van die regime bring,” sê hy vir IO (voorheen ISMS.online). “Die wetsontwerp bied ook 'n meganisme vir praktykkodes, wat nuanses wat op die konteks afgestem is, moontlik maak.”

Die nakomingslas groei

Wong voer aan dat die kompleksiteit van "plaaslike implementeringswette", sekondêre wetgewing en die potensiële behoefte om met verskeie reguleerders te skakel, voldoening meer uitdagend maak vir organisasies wat binne die bestek van beide NIS2 en die CSRB val.

Rhiannon Webster, hoof van kuberveiligheid by die globale regsfirma Ashurst in die VK, voeg by dat Brexit 'n werklike impak begin hê op die nakomingslas van Britse firmas wat in Europa werk, met hierdie wetsontwerp en die Wet op Datagebruik en -toegang.

“Dit het ’n rukkie geneem om te kom, met privaatheids- en kuberwette in die VK wat tot dusver ’n kopie en plak van hul EU-voorgangers is. Ons het egter ’n paar klein maar betekenisvolle veranderinge wat ontwikkel,” sê sy vir IO.

“Alhoewel maatskappye kan poog om aan beide stelsels op 'n eenvormige manier te voldoen deur die hoogste standaard regoor die VK en Europa toe te pas, is dit onwaarskynlik dat dit 'n kommersiële benadering tot voldoening sal wees en maatskappye sal die verskille in die stelsels moet oorweeg wanneer hulle voldoeningsprogramme aanneem en risiko's beoordeel.”

Aan die slag

Webster dring daarop aan dat organisasies eers verstaan ​​of hulle binne die bestek van NIS2 en die Britse ekwivalent val.

“Jy mag dalk verbaas wees om te hoor dat ons in die geval van sekuriteitsvoorvalle en die nakoming van tydskale vir rapportering dikwels kliënte het wat onseker is of hulle deur NIS2 betrap is en probeer uitvind in die situasie van 'n oortreding, wat ver van ideaal is,” verduidelik sy.

"Voldoening aan standaarde soos ISO 27001 kan gebruik word om te verseker dat u inligtingsekuriteitsvereistes proporsioneel is."."

Clifford Chance se Wong verduidelik dat 'n "verenigde kubergereedheidsprogram wat aan alle relevante wetlike en regulatoriese vereistes voldoen" die hoofdoelwit vir voldoeningspanne moet wees.

“Die gebruik van gevestigde raamwerke soos ISO 27001 kan voldoening stroomlyn en dit makliker maak om kernpraktyke oor verskeie jurisdiksies te demonstreer. Sulke raamwerke bied 'n struktuur om op te bou, maar is slegs 'n basis en moet aangepas word by plaaslike verpligtinge,” voeg hy by. “Gereelde hersienings verseker dat die program geskik bly vir die doel soos vereistes mettertyd verander.”

Vir komplekse sakebedrywighede wat verskeie jurisdiksies omvat, word beste praktyke selfs belangriker, sê Wong. Hy wys op "proaktiewe leierskap", die prioritisering van risiko's en beheermaatreëls, gereelde tafelblad-oefeninge, sterk verhoudings in die voorsieningsketting en die implementering van die regte gereedskap.

Hoe jy dit ook al beskou, die prys van bedrywighede regoor die VK en die EU sal na verwagting styg.

Brei jou kennis uit

webinar: Bemeestering van NIS 2-nakoming met ISO 27001

Blog: Van NIS2 tot die Wet op Kuberveerkragtigheid: Die "Produk"-kant van Bestuur

Blog: Bou Eenmaal, Voldoen Oral: Die Multi-Raamwerk Voldoeningspelboek