Mitä EU:n kyberturvallisuuslakiin tekemät muutokset merkitsevät yrityksille
Sisällysluettelo:
Euroopan unioni jatkaa ponnistelujaan kyberresilienssin vahvistamiseksi koko blokissa hyväksymällä uudet muutokset kyberturvallisuuslakiin (CSA) jotka edellyttävät sertifiointijärjestelmiä hallituille turvallisuuspalveluille.
Nämä muutokset luovat uusia vaatimustenmukaisuusvelvoitteita sekä kyberturvallisuuspalvelujen, kuten häiriötilanteiden reagointi- ja läpäisytestausalustojen, toimittajille ja loppukäyttäjille. Mutta niin väsyttäviä kuin sääntelymuutokset voivat olla, asiantuntijat väittävät, että ne voisivat vahvistaa monien asianomaisten yritysten kyberpuolustusta ja kilpailukykyä.
Kiristetty kyberturvallisuusjärjestelmä
Hallitun kyberturvallisuusalustan järjestelmäinsinöörin Phil McGowanin mukaan Huntress, tulevat CSA-muutokset muuttavat merkittävästi yritysten tapaa toteuttaa kyberturvallisuusstrategioita ja täyttää noudattamisvelvollisuutensa lähitulevaisuudessa.
Erityisesti hän sanoo, että nämä muutokset korostavat "enenevässä määrin ennakoivaa riskienhallintaa, avoimuutta ja vastuullisuutta" jatkuvasti kehittyvässä kyberuhkien ympäristössä.
Hän lisää, että tämän seurauksena yrityksillä on todennäköisesti enemmän paineita suojata arkaluonteisia tietoja, raportoida kyberturvaloukkauksista ajoissa ja osoittaa noudattavansa turvallisuustarkastuksia ja hankkimalla alan sertifikaatteja.
McGowan kertoo ISMS.online-sivustolle: "Pohjimmiltaan muutokset on suunniteltu varmistamaan, että organisaatiot asettavat kyberturvallisuuden etusijalle IT-ongelmana ja kriittisenä osana yrityksen yleistä kestävyyttä ja toimintastrategiaa."
Asianajotoimiston tekoäly- ja kyberturvakumppanin Ralph Arraten mukaan Spencer West LLP, nämä muutokset yhdistettynä uusiin lakeihin, kuten Digital Operational Resilience Act, Cyber Resilience Act ja NIS2-direktiivi, ovat selvä osoitus siitä, että EU tiukentaa kyberturvallisuusasioiden valvontaansa alueella.
Arrate uskoo, että ne luovat vankan, johdonmukaisen kyberturvallisuusjärjestelmän, jonka tavoitteena on parantaa eurooppalaisten yritysten luottamusta teknologiatuotteisiin ja -palveluihin.
Hän selittää, että EU toivoo saavuttavansa tämän tekemällä sertifikaateista tärkeän vaatimuksen digitaalisille tuotteille, palveluille ja prosesseille. Käytännössä tämä tarkoittaa, että yritysten on suoritettava "kattava katsaus olemassa olevista turvatoimista".
Brexitistä huolimatta nämä säännöt vaikuttavat myös moniin Isossa-Britanniassa toimiviin yrityksiin. Arrate sanoo, että brittiläiset yritykset, joilla on toimintaa Euroopassa ja kauppakumppaneita, joutuvat ottamaan "tarkkallisen lähestymistavan" IT-tietoturvaan ja tuotteiden elinkaaren hallintaan.
Vaikka jotkut Yhdistyneen kuningaskunnan yritysten omistajat saattavat nähdä nämä säännöt sääntelypäänsärkynä, niistä voi olla hyötyä pitkällä aikavälillä. Arraten mukaan EU:n kyberturvallisuussertifikaatin (EUCC) hankkiminen voisi auttaa heitä "saamaan kilpailuetua", koska se on merkki "laadusta ja luotettavuudesta".
Mutta jotkut IT-toimittajat saattavat olla vähemmän optimistisia muutosten suhteen, kun Arrate väittää, että ne "lisävät byrokratiaa". Hän lisää: "Monet toimijat tällä alalla noudattavat jo US NIST- tai ISO-standardeja, jotka eivät vastaa tarkasti EUCC:n uusia vaatimuksia."
Sean Wright, petosten ja talousrikosten hallintaalustan sovellustietoturvapäällikkö Ominaisuudet-tila, näkee CSA-muutokset myönteisenä kehityksenä yrityksille ja laajemmalle kyberturvallisuusympäristölle.
Hän sanoo, että monet organisaatiot käyttävät tällä hetkellä "poikkeuksellisia" summia kyberturvallisuustuotteisiin, jotka eivät tuota mainostettuja etujaan, mikä antaa yrityksille "väärennön turvallisuuden tunteen".
Wright kuitenkin luottaa siihen, että vakiintuneet standardit, kuten uudet CSA-säännöt, torjuvat tätä varmistamalla, että sertifioidut tuotteet täyttävät niille aiotut tehtävät. Hän jatkaa: "Lisäksi palveluntarjoajan, johon voit luottaa, ja uskon ansiosta organisaatiot voivat siirtää joitakin tietoturvan monimutkaisia näkökohtia niille, joilla on paremmat valmiudet käsitellä tällaisia kohteita."
Näiden muutosten noudattaminen
Mitä tulee näiden sääntöjen noudattamiseen, Arrate sanoo, että yritysten on ensin arvioitava, kuuluvatko ne niiden soveltamisalaan. Hän kertoo, että kyseiset muutokset on suunnattu yrityksille, jotka tarjoavat hallittuja tietoturvapalveluita, 5G:tä, IT-sovelluksia sekä muita digitaalisia tuotteita ja palveluita.
Asianomaisten yritysten tulee sitten auditoida olemassa olevat kyberturvallisuusprosessit ja verrata niitä tämän lainsäädännön vaatimuksiin. Arraten mukaan tämä antaa organisaatioille mahdollisuuden löytää kyberpuolustuksensa heikkoudet ja puuttua niihin vastaavasti välttääkseen sääntelytoimia. Arrate kannustaa myös yrityksiä ottamaan yhteyttä sertifiointielimiin mahdollisimman nopeasti, sillä tämä on avain eri järjestelmien vaatimusten ymmärtämiseen.
Muita Arraten keskeisiä suosituksia ovat suojatun suunnittelun periaatteiden ottaminen käyttöön kaikissa tuotekehitysvaiheissa, läheinen yhteistyö toimittajien kanssa toimitusketjun turvallisuusstandardeissa ja kattavan häiriötilanteiden torjuntasuunnitelman toteuttaminen. Mikä tärkeintä, hän kehottaa yrityksiä seuraamaan näitä vaatimuksia niiden kehittyessä varmistaakseen uusimpien sääntöjen noudattamisen.
Kun yritykset ottavat käyttöön ohjelmistopäivityksiä, suorittavat kyberturvallisuustoimenpiteitä ja reagoivat tapauksiin, Spencer Starkey, amerikkalaisen kyberturvayrityksen EMEA-alueen varapääjohtaja SonicWALL— sanoo, että on erittäin tärkeää, että he dokumentoivat kaikki nämä vaiheet noudattaakseen CSA:ta. Hän sanoo: "Tämä dokumentaatio on ratkaisevan tärkeä viranomaistarkastuksissa, ja se osoittaa yrityksen sitoutumisen kyberturvallisuuden parhaisiin käytäntöihin."
Koska inhimilliset erehdykset ovat suurin syy kyberturvallisuushäiriöihin, Starkey sanoo, että kaikenkokoisten yritysten tulisi kouluttaa työntekijöitään uusimmista verkkouhkista ja niiden torjumisesta. Hän pitää tätä edellytyksenä "CSA-muutosten tehokkaalle noudattamiselle".
Strukturoitujen kehysten merkitys
Uusien säännösten, kuten CSA-muutosten, noudattaminen voi olla ylivoimainen mahdollisuus monille yrityksille. On kuitenkin olemassa erilaisia tapoja virtaviivaistaa tätä prosessia, kuten ammattimaiset puitteet ja ohjelmistot.
Toimialastandardin, kuten ISO 27001, käyttöönotto on erinomainen vaihtoehto yrityksille CSA-muutokset ovat vaikuttaneet, koska se tarjoaa heille yhtenäisen tavan käsitellä tietoturvaan liittyviä kysymyksiä, väittää Nick Palmer, hyökkäyspinnan hallinnan ja uhkien metsästysratkaisujen asiantuntijat. osoitteessa Censys.
Hän jatkaa: "Sertifiointi osoittaa, että noudatetaan maailmanlaajuisia parhaita käytäntöjä, virtaviivaistaa tarkastuksia ja vähentää päällekkäisyyksiä päällekkäisten standardien täyttämisessä, mikä tekee säännösten noudattamisesta tehokkaampaa."
Uusin kyberturvallisuusohjelmisto voi myös vähentää vaatimustenmukaisuuden monimutkaisuutta tarjoamalla esikonfiguroidut asetukset, automaation ja korkean skaalautuvuuden, jotka kaikki ovat säännösten mukaisia, Palmer sanoo. "Ne voivat auttaa keskittämään uhkien havaitsemisen, valvonnan ja reagoinnin, jolloin yritysten ei tarvitse rakentaa ja ylläpitää näitä ominaisuuksia talon sisällä."
Palmer sanoo, että kyberturvallisuusalustat voivat myös varmistaa valmiuden uusimpiin sääntöihin tarjoamalla reaaliaikaisia ohjelmistopäivityksiä, integraatioita standardeihin ja asiakastukea, joka auttaa yrityksiä navigoimaan nopeasti muuttuvissa uhissa ja sääntelyympäristöissä. Hän jatkaa: "Lisäksi, kuten edellisissä kohdissa, niillä toimittajilla, jotka tarjoavat jo valmiiksi valmiita CSA-yhteensopivia ratkaisuja, on merkittävä etu."
Laajemmat vaikutukset
CSA-muutoksilla on epäilemättä suuria vaikutuksia kyberturvallisuusmaisemaan ja yritysmaailmaan tulevina vuosina. Positiivisena huomautuksena on, että Arrate ennustaa, että niiden tiukka ja yhtenäinen luonne "kohottaa tietoturvan perustasoa eri toimialoilla". Hän selittää: "Yritykset ovat nyt pakotettuja integroimaan kyberturvallisuuden ytimeen, mikä puolestaan vahvistaa digitaalista ekosysteemiä kokonaisuutena."
Ilona Cohen, johtaja laki- ja politiikkavastaava bug bounty ja haavoittuvuuksien paljastamisesta HackerOne, on samaa mieltä siitä, että sertifikaateilla on potentiaalia parantaa lohkon laajuisten kyberturvallisuusprosessien tuloksia.
Tämä riippuu kuitenkin siitä, kuinka hyvin ne on suunniteltu, mikä Cohen myöntää, ettei se ole yksinkertaista, koska alan parhaat käytännöt muuttuvat jatkuvasti. Hän sanoo: "ENISAn [Euroopan unionin kyberturvallisuusviraston] on myös varmistettava, että EU on noudattanut monia, monia kyberturvallisuuspolitiikkoja, joita EU on hyväksynyt viime vuosina, kuten CRA, DORA ja NIS2."
Miten eurooppalaiset sääntelyviranomaiset voivat siis voittaa nämä haasteet ja varmistaa, että niiden sertifiointijärjestelmät ovat tarkoituksenmukaisia? Cohen kehottaa heitä pakottamaan johdetut palveluntarjoajat omaksumaan samoja parhaita käytäntöjä, joita muiden avainalojen odotetaan noudattavan. Hän sanoo: "Tämä sisältää vankkojen haavoittuvuuden paljastamisohjelmien (VDP) perustamisen, parhaiden todennuskäytäntöjen toteuttamisen ja tietosuojan varmistamisen."
Kaiken kaikkiaan CSA:n tulevat muutokset vaikuttavat fiksulta liikkeeltä Euroopan unionille, kun sen tavoitteet digitaalisten yhtenäismarkkinoiden saavuttamiseksi kasvavat. Sertifioitujen tietoturvatuotteiden tarjoaminen auttaa teknologiatoimittajia erottumaan kilpailijoistaan.
Samaan aikaan loppukäyttäjät saavat paremman mielenrauhan, että he saavat tuottoa IT-investoinneilleen. Tietysti jotkut näkevät nämä muutokset uudeksi byrokratian kerrokseksi. Mutta siellä vakiintuneet alan standardit ja SaaS-tuotteet voivat auttaa virtaviivaistamalla vaatimustenmukaisuusprosesseja.
