Vuoden 10 2023 suurinta vaatimustenmukaisuushetkeä: meidän valintamme maamerkkivuodesta
Sisällysluettelo:
- 1) 1.NIS 2 ja sen vastine Yhdistyneessä kuningaskunnassa
- 2) 2. Digital Operational Resilience Act (DORA)
- 3) 3. Data Protection and Digital Information Bill (DPDI)
- 4) 4. Uudet SEC-säännöt
- 5) 5. EU:n ja Yhdysvaltojen välinen tietosuojakehys (DPF)
- 6) 6. Yhdistyneen kuningaskunnan ja Yhdysvaltojen välinen Data Bridge -sopimus
- 7) 7. Cyber Resilience Act (CRA)
- 8) 8.EU:n tekoälylaki
- 9) 9.NIST Cybersecurity Framework 2.0
- 10) 10.PCI DSS 4.0
Ison-Britannian kyberturvallisuuden ja vaatimustenmukaisuuden ammattilaiset ovat pitäneet paljon kiireisinä viimeisen 12 kuukauden aikana. Kauan odotetuista alan säännöksistä uusiin tiedonjakosopimuksiin ja uraauurtaviin lainsäädäntöehdotuksiin vuosi 2023 on ollut monella rintamalla erottuva vuosi. Seuraavien 12 kuukauden aikana on paljon rakennettavaa vaatimustenmukaisuusohjelmiin, joten tässä on valintamme kymmenen suurimmasta uudesta säännöstä, määräyksestä ja laista, jotka on otettava huomioon:
1.NIS 2 ja sen vastine Yhdistyneessä kuningaskunnassa
EU:n verkko- ja tietoturvadirektiivin (NIS) toinen versio astui voimaan tammikuussa 2023, ja jäsenmailla on 17. lokakuuta 2024 asti aikaa saattaa se osaksi paikallista lainsäädäntöä. Sillä pyritään laajentamaan direktiivin soveltamisalaa keskisuuriin ja suuriin yrityksiin muilla aloilla, kuten televiestinnässä, sosiaalisessa mediassa, jätevesi- ja elintarvikealalla. Myös sakot ovat ankarampia, perustason vähimmäisvaatimuksia ja enemmän keskittymistä häiriötilanteisiin, johtajan vastuuseen ja toimitusketjun turvallisuuteen. Kaikkien EU:ssa toimivien Yhdistyneen kuningaskunnan "olennaisten palvelujen tarjoajien" (OES) on noudatettava vaatimuksia. Sillä välin Iso-Britannia valmistelee omaa päivitystään järjestelmään, selitti tästä.
Tutustu tähän NIS 2 -yhteensopivuusoppaaseen.
2. Digital Operational Resilience Act (DORA)
Euroopassa toimivilla finanssialan yrityksillä ja niiden ICT-teknologiakumppaneilla on 17 asti aikaa noudattaa tätä uutta EU-lakia. Greenlit, tammikuussa 2025, DORA pakottaa noudattavat yritykset korjaamaan aukkoja toiminnan kestävyydessä lisääntyvien kyberuhkien edessä. Se kattaa riskienhallinnan, tapahtumaraportoinnin, standardoidun joustavuustestauksen, tiedustelutietojen jakamisen ja kolmannen osapuolen riskienhallinnan. Organisaatiot, jotka ovat jo saavuttaneet ISO 2023 -sertifikaatin – tai noudattavat sen ohjaavia periaatteita ennakoivasta riskienhallinnasta ja toiminnan kestävyyden jatkuvasta parantamisesta – ovat hyvässä asemassa noudattamaan vaatimuksia.
Tutustu tähän 15-pisteiseen DORA-vaatimustenmukaisuuden tarkistuslistaan.
3. Data Protection and Digital Information Bill (DPDI)
Ylistetty Britannian yrityksenä tuottaa oma Brexitin jälkeinen versio GDPRDPDI-laki on yritys tehdä tietosuojalaista yritysystävällisempää vaikuttamatta Yhdistyneen kuningaskunnan riittävyyden asemaan. Otsikkomuutosten joukossa on se, että vain "korkean riskin" tietojenkäsittelyyn osallistuvien organisaatioiden on pidettävä kirjaa, mikä saattaa vähentää paperityötä. Lisäksi selvennetään, milloin organisaatiot voivat käsitellä tietoja ilman suostumusta. EU:ssa toimivia Yhdistyneen kuningaskunnan yrityksiä kohtaan on kuitenkin huolta. Heidän on joko säilytettävä GDPR-vaatimustenmukaisuuskehys sellaisena kuin se on, eivätkä he voi hyödyntää DPDI:n ilmoitettuja etuja tai käyttää kahta rinnakkaista kehystä, mikä tarkoittaa enemmän työtä. Erikoisneuvojat voi auttaa keskittämällä nämä toimet yhden portaalin kautta.
4. Uudet SEC-säännöt
Securities and Exchange Commission (SEC) esitteli uusia tietoturvavaatimuksia vuonna 2023, mikä vaikuttaa myös brittiläisiin yrityksiin. Erityisesti kaikki brittiläiset yritykset, jotka tarjoavat palveluita (erityisesti tietoihin liittyviä) pörssilistatuille yhdysvaltalaisille yrityksille, voivat odottaa tarkempaa valvontaa näiltä organisaatioilta. Yhdysvaltalaisten yritysten odotetaan ilmoittavan neljän päivän kuluessa kaikista palveluntarjoajan kybervälikohtauksista, joilla on "olennainen vaikutus" heidän liiketoimintaansa. Tästä syystä yhdysvaltalaisten kumppanien jatkuvaan due diligence -tarkastukseen kohdistuu paljon korkeampi rima vaaratilanteiden reagoinnin paljastamiselle ja suunnittelulle ja vastaamiselle. ISMS- ja ISO 27001- tai SOC 2 -standardien noudattaminen voisi auttaa yrityksiä antamaan nämä takeet yhdysvaltalaisille kumppaneilleen.
5. EU:n ja Yhdysvaltojen välinen tietosuojakehys (DPF)
Euroopan komissio hyväksyi tämän kehyksen heinäkuussa 2023, mikä pääasiallisesti varmistaa riittävyyttä koskevan päätöksen, joka tarkoittaa, että data voi kulkea blokista Yhdysvaltoihin esteettä. Tullakseen sertifioiduksi Yhdysvaltalaisten organisaatioiden on sisällytettävä liiketoimintaansa tiettyjä tietosuojaprosesseja, kuten käyttötarkoituksen rajoittaminen, tietojen minimoiminen, tietojen säilyttäminen ja jakaminen, ja osoitettava noudattavansa jatkuvaa noudattamista.
6. Yhdistyneen kuningaskunnan ja Yhdysvaltojen välinen Data Bridge -sopimus
Syyskuussa ilmoitettiin, että tämä on EU:n ja Yhdysvaltojen välisen DPF:n laajennus, jonka tarkoituksena on poistaa kalliit sopimuslausekkeet Yhdistyneen kuningaskunnan yrityksille, jotka siirtävät henkilötietoja yhdysvaltalaisille palveluntarjoajille, ja minimoimaan muut tiedonsiirron esteet maiden välillä. Yhdistyneen kuningaskunnan yritykset voivat nyt noudattaa kansainvälistä tiedonsiirtoa koskevia sääntöjä vaatimatta ylimääräistä riskinarviointia yhdysvaltalaisilta kumppaneiltaan. Uusi datasilta toimii lähes identtisesti EU:n ja Yhdysvaltojen välisen DPF:n kanssa ja tulee olemaan saatavissa 12 alkaen.
7. Cyber Resilience Act (CRA)
EU:n luottoluokituslaitos on vielä viimeistelemässä tätä kirjoitettaessa. Mutta sen korkean tason tavoite on suojella kuluttajia ja yrityksiä: asettamalla tiukat kyberturvallisuusvaatimukset, jotka "ohjaavat teknisten tuotteiden suunnittelua, suunnittelua, kehitystä ja ylläpitoa"; ja tarjoaa uuden CE-leijamerkinnän läpinäkyvyyden lisäämiseksi. "Digitaalinen komponentti" sisältävien tuotteiden valmistajien, maahantuojien ja jakelijoiden on todennäköisesti suoritettava kolmannen osapuolen vaatimustenmukaisuuden arvioinnit uusien turvallisuusvaatimusten perusteella. Pienemmille yrityksille taakka voisi kuitenkin olla raskaampi asiantuntijat väittävät Organisaatioiden, jotka jo noudattavat GDPR:ää vankailla suojausmenetelmillä, politiikoilla ja menettelyillä, pitäisi havaita noudattaminen saavutettavissa rajoitetulla säädöllä.
8.EU:n tekoälylaki
Parhaillaan viimeistellässä oleva lainsäädäntö pyrkii vähentämään tekoälyn aiheuttamia yhteiskunnallisia haittoja. Siinä käytetään riskiin perustuvaa lähestymistapaa, jossa tekoälymallit luokitellaan "ei-hyväksyttävän", "korkean", "rajoitetun" ja "minimaalisen" riskin mukaan. Suureksi riskiksi katsottujen henkilöiden on täytettävä tiukat kriteerit, kuten riskinarvioinnit ja lieventämisjärjestelmät, toimintojen kirjaaminen, yksityiskohtaiset asiakirjat, asianmukainen inhimillinen valvonta sekä korkea kestävyys- ja turvallisuustaso, jotta ne täyttävät vaatimukset. Tämän jälkeen malli rekisteröidään EU:n tietokantaan ja sille annetaan CE-merkki. Yhdistyneen kuningaskunnan EU:hun myyvien organisaatioiden on käytettävä kahta erillistä noudattamiskehystä tai EU:n lainsäädäntöä. Järjestöt voivat aloittaa työtä nyt mukauttamalla tietosuojavaikutusten arviointiprosessit valmiiksi uuteen järjestelmään.
9.NIST Cybersecurity Framework 2.0
CSF 2.0 on ensimmäinen merkittävä päivitys tässä parhaiden käytäntöjen viitekehyksessä sen perustamisen jälkeen vuonna 2014. Se ottaa käyttöön uuden "hallinnollisen" pilarin kattavuuden;
- Organisaation konteksti
- Riskienhallintastrategia
- Toimitusketjun riskien hallinta
- Roolit, vastuut ja valtuudet
- Käytännöt, prosessit ja menettelyt; ja valvonta.
Lisäksi tulee lisää toteutusesimerkkejä, jotka auttavat organisaatioita muuttamaan CSF-teorian käytäntöön. Asiantuntijat uskovat Tietoturvan hallintajärjestelmä (ISMS) voisi auttaa hahmottelemalla esimerkkejä CSF 2.0 -viitetyökalun käytöstä ja antamalla käsityksen siitä, miltä tosielämän toteutukset näyttävät.
10.PCI DSS 4.0
Vaikka PCI DSS 4.0 itse asiassa hyväksyttiin maaliskuussa 2022, se on ollut säännöllinen keskustelunaihe tänä vuonna, kun kahden vuoden lähtölaskenta käyttöönottoaikaan 31. maaliskuuta 2025 on alkanut. Vaikka viitekehyksen aiemmat versiot olivat ohjeellisia – eli käytössä oli palomuureja ja sovellettuja virustorjuntaohjelmia –, PCI DSS 4.0 pyrkii edistämään turvallisuutta jatkuvana prosessina. Muutoksia ovat muun muassa vaatimus haittaohjelmien torjuntaan virustentorjuntaan ja monivaiheisen todennuksen käyttöönotto kortinhaltijan tietoympäristöön pääsemiseksi. On myös olemassa vaatimuksia, joilla vähennetään digitaalisia sivuvaikutuksia ja autetaan minimoimaan toimitusketjun riskejä ylläpitämällä ohjelmistovarastoa, mukaan lukien kirjastot ja komponentit. Kuten aina, suuria korttimääriä käsittelevien yritysten on suoritettava ulkoinen tarkastus.
Tutustu oppaaseemme PCI-DSS V4 -yhteensopivuuden saavuttamiseksi ISO 27001:n rinnalla.
