Sääntöjen noudattamisen vuosi: viisi oppia vuodesta 2023
Sisällysluettelo:
Turvallisuus- ja vaatimustenmukaisuusjohtajat päättivät vuoden 2023 samalla kun he aloittivat sen uusien sääntöjen ja määräysten määrästä ja monimutkaisuudesta ylimielisinä. Jotkut koskevat vain tietyntyyppisiä organisaatioita. Muita voi olla vaikea välttää. Mutta se kaikki lisää makrokuvaa enemmän työstä, erityisesti Yhdistyneen kuningaskunnan yrityksille, joilla on toimintaa ja/tai kumppaneita Euroopassa ja Yhdysvalloissa.
Joten mitkä viisi takeawaya voisivat olla hyödyllisiä pitää mielessä, sillä tulevasta vuodesta tulee todennäköisesti toinen? Tässä ovat parhaat opiksemme vuodelta 2023:
1. Yhdistyneen kuningaskunnan yritykset eivät välttämättä näe "Brexit-osinkoa"
Useissa tapauksissa tänä vuonna ilmestyi uusia Yhdistyneen kuningaskunnan lakeja, jotka lupaavat purkaa osan "byrokratiasta", jonka Brexitin kannattajat väittävät olleen keskeinen syy ryhmittymään eroon. Yksi on Tietosuoja- ja digitaalitietolaki (DPDI), jonka hallitus väittää säästävän brittiläisiä yrityksiä miljardeja. Tämä Iso-Britannian versio GDPR sisältää erilaisia selvennyksiä ja poikkeuksia, jotka voisivat tehdä laista yritysystävällisempää, kuten sen varmistamisen, että vain "suuren riskin" tietojenkäsittelyyn osallistuvien organisaatioiden on pidettävä kirjaa. Yhdistyneen kuningaskunnan yritysten, joilla on toimintaa EU:ssa, on kuitenkin joko noudatettava olemassa olevaa GDPR-vaatimustenmukaisuuskehystä – minkä hallitus sallii – eivätkä siksi pysty hyödyntämään näitä etuja tai kantamaan taakkaa kahden noudattamisjärjestelmän rinnakkaisesta toteuttamisesta.
Toinen Verkko- ja tietojärjestelmäsäännökset (NIS 2) asettaa jotkin yritykset samanlaiseen pulaan, kun otetaan huomioon UK eroaa hallitukselta ensi vuonna. Se, että jäsenvaltioiden on pantava edellinen täytäntöön 17. lokakuuta 2024 mennessä, vaikka Yhdistyneen kuningaskunnan lainsäädäntösuunnitelmat ovat edelleen epäselviä, voi johtaa vaatimusten noudattamista valvovien ryhmien kustannusten nousuun.
Nämä tapaukset muistuttavat meitä tarpeesta tehdä yhteistyötä vaatimustenmukaisuuden asiantuntijoiden kanssa, jotka pystyvät keskittämään ja virtaviivaistamaan alipaineryhmien erilaisia toimintoja.
2. ISO 27001 -vaatimustenmukaisuus on loistava perusta yrityksille
Olemme nähneet uusia säädöksiä ja lainsäädäntöehdotuksia huimaa vauhtia läpi vuoden. Mutta hyvä uutinen on, että vankan parhaiden käytäntöjen tietoturvakehyksen ansiosta organisaatiot ovat jo tehneet suuren osan monista näistä uusista säännöistä. Se pätee varmasti EU:hun Digital Operational Resilience Act (DORA), NIS 2 -direktiivi ja Cyber Resilience Act (CRA), jotka koskevat rahoituspalveluyrityksiä, keskeisten palvelujen tarjoajia ja digitaalisia komponentteja sisältävien tuotteiden valmistajia. Se auttaa myös Ison-Britannian DPDI:ssä, jonka on tarkoitus korvata GDPR. Ja kuten ISMS.online raportoi läpi vuoden, parhaiden käytäntöjen puitteet voivat auttaa vähentämään riskiä deepfakes, toimitusketjun uhkia ja enemmän.
Tuore Gartner-raportti väitti tämän ISO 27001 ja NIST (Kansallinen standardi- ja teknologiainstituutti) tarjota hallinnon kurinalaisuutta, prosesseja ja rakennetta, joita tarvitaan tietoturvan ja riskienhallinnan menestyksen edistämiseen koosta, toimialan toimialasta tai tietoturva-/riskienhallintaosaaminen riippumatta. Silti se myös löytyi että 41 % asiakkaista ei ollut vielä valinnut viitekehystä tai oli kehittänyt oman ad hoc -lähestymistavan – mikä voi johtaa valvontapuutteisiin, resurssien hukkaan ja turvatiimien ylikuormitukseen.
3. Ulkomailla tapahtuvalla on merkitystä kotona
Turvallisuus- ja vaatimustenmukaisuustiimit eivät voi elää tyhjiössä, varsinkaan jos heidän organisaatiollaan on toimintaa ulkomailla tai kumppanuuksia ulkomaisten tahojen kanssa. Yhdysvalloista tulevat uudet SEC:n säännöt rikkomusten/tapahtumien paljastamisesta vaikuttavat palveluntarjoajiin riippumatta siitä, missä ne sijaitsevat. Se vaatii tässä tilanteessa olevia Yhdistyneen kuningaskunnan yrityksiä mahdollisesti lisäämään panostaan häiriötilanteisiin reagoinnin ja muiden turvallisuusasentojen suhteen. Sitten on DORA, NIS 2, CRA ja EU:n tekoälylaki, jotka kaikki vaikuttavat organisaatioihin, jotka myyvät blokille.
Joitakin sääntöjä ei ole vielä viimeistelty, mutta yritykset, jotka toivovat saavansa etua näillä markkinoilla, haluavat saada hyvin perehdytyksen, asianmukaisesti valmistautuneet ja tehdä yhteistyötä asiantuntijoiden kanssa, jotka voivat auttaa tekemään noudattamisesta pikemminkin mahdollistaja kuin este.
4. Ilmassa on vielä paljon
Compliance-tiimit kaipaavat varmuutta. Mutta uusien lakien ja asetusten luominen ja hyväksyminen voi olla sotkuinen ja pitkä prosessi. Joten vuoden 2023 lopussa meillä ei ole vielä vahvistettua päivämäärää, jolloin DPDI- tai UKI NIS -päivitykset saattavat tulla laiksi. Osa joistakin ehdotetuista EU-lakeista on osoittautunut erittäin kiistanalaisiksi, mikä saattaa viivästyttää niiden hyväksymistä. EU:n tekoälylaki joutui äskettäin vaikeuksiin, kun Kampanjat korostivat vaarallinen uusi porsaanreikä, joka otettiin käyttöön sen jälkeen, kun laki oli hyväksytty parlamentissa. Se antaisi kehittäjille mahdollisuuden päättää itse, onko heidän tekoälymallinsa "korkean riskin" vai ei. Samaan aikaan luottoluokituslaitos on myös kokenut merkittävää takaiskua avoimen lähdekoodin kehittäjien kohtelussa ja sen mahdollisesti kielteisessä vaikutuksessa haavoittuvuuden paljastamiseen.
Iso-Britanniassa, ehdotetut päivitykset Investigatory Powers Actiin (IPA) on myös kritisoitu voimakkaasti digitaalitalouden heikentämisestä ja teknologian tarjoajien mahdollisesta pakottamisesta pois maasta. Kaikki tämä tarkoittaa, että vielä on paljon päätettävää. Älykkäät vaatimustenmukaisuustiimit kuitenkin tarkastelevat sitä, mikä ei todennäköisesti muutu tulevassa lainsäädännössä, ja selvittävät, mitä he voivat saavuttaa etukäteen.
5. Ensi vuonna on luvassa paljon muuta
Vuosi 2023 saattoi olla kiireinen, mutta tietoturva- ja vaatimustenmukaisuusammattilaisille ei ole odotettavissa hidastumista ensi vuonna. Tämä johtuu siitä, että lähtölaskenta jatkuu useiden merkittävien uusien määräysten toimeenpanoon, kun taas muiden yksityiskohdat on vielä asianomaisten viranomaisten viimeisteltävänä. Näin ollen näemme, että organisaatiot jatkavat PCI DSS 4.0:n saamista kuntoon, kun se virallisesti laskeutuu maaliskuussa 2025, sekä NIS 2:ta (17). CRA-, DORA-, DPDI- ja EU AI -laki tulee kaikkien viimeistellä ensi vuonna, samoin kuin Yhdistyneen kuningaskunnan NIS-päivitykset. Yhdistyneessä kuningaskunnassa huhtikuu 2024 on myös PSTI-lain (Product Security and Telecoms Infrastructure) noudattamisen määräaika. vaikuttavia valmistajia älykkäistä (IoT) tuotteista.
Kun uusi vuosi alkaa tosissaan, organisaatioiden tulisi etsiä mahdollisuuksien mukaan tehottomuutta ja siilot eliminoidakseen, integroida vaatimustenmukaisuus paremmin toimintaan ja varustautua oikealla automatisoidulla työkalulla tiimien taakan vähentämiseksi.
Ota käyttöön vaatimustenmukaisuusetusi vuonna 2024
Jos haluat aloittaa matkasi parempaan vaatimustenmukaisuuteen, voimme auttaa.
ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan vaatimustenmukaisuuteen ja tiedonhallintaan ISO 27001, SOC 2, NIST ja yli 100 muun viitekehyksen kanssa. Ymmärrä kilpailuetusi jo tänään.
