Det har vært mye for å holde britiske cybersikkerhets- og compliance-fagfolk opptatt de siste 12 månedene. Fra etterlengtede bransjeforskrifter til nye datadelingsavtaler og banebrytende lovforslag, 2023 har vært et fremstående år på mange fronter. Det vil være mye å bygge inn i overholdelsesprogrammer i løpet av de kommende 12 månedene, så her er vårt utvalg av de ti største nye reglene, forskriftene og lovene å vurdere:

1.NIS 2 og dets tilsvarende i Storbritannia

En andre versjon av EUs direktiv om nettverks- og informasjonssikkerhet (NIS) trådte i kraft i januar 2023, og medlemslandene har frist til 17. oktober 2024 på å implementere det i lokal lov. Det søker å utvide direktivets virkeområde til mellomstore og store bedrifter i flere sektorer som telekom, sosiale medier, avløpsvann og mat. Det vil også være tyngre bøter, minimumskrav til grunnlinje, og et mer betydelig fokus på hendelsesrespons, direktøransvar og forsyningskjedesikkerhet. Alle britiske «operatører av essensielle tjenester» (OES) som opererer i EU, må overholde. Og i mellomtiden forbereder Storbritannia sin egen oppdatering til regimet, forklart her.

Sjekk ut denne NIS 2-samsvarsveiledningen.

2. The Digital Operational Resilience Act (DORA)

Bedrifter i finanssektoren og deres IKT-teknologipartnere som opererer i Europa vil ha frist til 17. januar 2025 på å overholde denne nye EU-loven. Greenlit, i januar 2023, vil DORA tvinge firmaer som følger etterlevelsen til å tette hull i deres operasjonelle motstandskraft i møte med økende cybertrusler. Den dekker risikostyring, hendelsesrapportering, standardisert motstandstesting, intelligensdeling og tredjeparts risikostyring. Organisasjoner som allerede har oppnådd ISO 27001-sertifisering – eller følger dens veiledende prinsipper for proaktiv risikostyring og kontinuerlig forbedring av operasjonell motstandskraft – vil være godt rustet til å overholde.

Sjekk ut denne 15-punkts sjekklisten for DORA-samsvar.

3. Databeskyttelse og digital informasjonsregning (DPDI)

Hyllet som Storbritannias forsøk på å produsere sin egen post-Brexit-versjon av GDPR, er DPDI-lovforslaget et forsøk på å gjøre databeskyttelsesloven mer forretningsvennlig uten å påvirke Storbritannias tilstrekkelighetsstatus. Blant overskriftsendringene er at bare organisasjoner som er engasjert i "høyrisiko" databehandling må føre journaler, og potensielt redusere papirarbeidet. Det er også avklaringer om når organisasjoner kan behandle data uten å kreve samtykke. Det er imidlertid bekymringer for britiske firmaer med EU-virksomhet. De vil enten måtte beholde GDPR-samsvarsrammeverket som det er og ikke kunne dra nytte av DPDIs uttalte fordeler eller kjøre to parallelle rammeverk, noe som vil bety mer arbeid. Spesialiserte rådgivere kan hjelpe ved å sentralisere denne innsatsen via én enkelt portal.

4. Nye SEC-regler

Securities and Exchange Commission (SEC) introduserte nye krav til sikkerhet i 2023, noe som også vil påvirke britiske firmaer. Nærmere bestemt kan ethvert britisk firma som leverer tjenester (spesielt datarelaterte) til børsnoterte amerikanske selskaper forvente mer gransking fra disse organisasjonene. Amerikanske firmaer forventes å avsløre innen fire dager enhver cyberhendelse hos en tjenesteleverandør som har «en vesentlig innvirkning» på deres virksomhet. Det vil derfor være en mye høyere bar for avsløring av hendelsesrespons og planlegging og respons på pågående due diligence fra amerikanske partnere. Overholdelse av ISMS og ISO 27001 eller SOC 2 kan hjelpe firmaer med å gi disse forsikringene til sine amerikanske partnere.

5. EU-US Data Privacy Framework (DPF)

Dette rammeverket ble godkjent av EU-kommisjonen i juli 2023, og sikrer i hovedsak en beslutning om tilstrekkelighet som betyr at data kan strømme fra blokken til USA uhindret. For å bli sertifisert og demonstrere kontinuerlig overholdelse, må amerikanske organisasjoner bygge inn spesifikke databeskyttelsesprosesser i sin virksomhet, inkludert formålsbegrensning, dataminimering, datalagring og deling.

6. Data Bridge-avtale mellom Storbritannia og USA

Dette ble kunngjort i september, og er en utvidelse av EU-US DPF designet for å eliminere kostbare kontraktsklausuler for britiske virksomheter som overfører personopplysninger til amerikanske tjenesteleverandører og minimere andre barrierer for dataflyt mellom de to landene. Britiske firmaer vil nå kunne overholde reglene for internasjonale dataoverføringer uten å kreve ekstra risikovurdering av sine amerikanske partnere. Den nye databroen vil fungere på en nesten identisk måte med EU-US DPF og vil være det tilgjengelig fra 12. oktober 2023.

7. Cyber ​​Resilience Act (CRA)

EUs CRA er fortsatt under ferdigstillelse i skrivende stund. Men målet på høyt nivå er å beskytte forbrukere og bedrifter ved å: pålegge et strengt sett med cybersikkerhetskrav "som styrer planlegging, design, utvikling og vedlikehold" av teknologiske produkter; og gir et nytt CE-dragemerke for å øke åpenheten. Produsenter, importører og distributører av produkter med en "digital komponent" som anses som høyrisiko, vil sannsynligvis måtte gjennomgå tredjeparts samsvarsvurderinger mot de nye sikkerhetskravene. Byrden kan imidlertid være mer tyngende for mindre bedrifter eksperter hevder organisasjoner som allerede overholder GDPR med robuste sikkerhetskontroller, retningslinjer og prosedyrer, bør finne samsvar oppnåelig med begrenset justering.

8.EU AI Act

For tiden under ferdigstillelse vil lovgivningen se ut på å redusere samfunnsskader som stammer fra AI. Det vil ta en risikobasert tilnærming, og klassifisere AI-modeller i henhold til "uakseptabel", "høy", "begrenset" og "minimal" risiko. De som anses som høye risikoer, må oppfylle strenge kriterier som risikovurderinger og avbøtende systemer, logging av aktivitet, detaljert dokumentasjon, passende menneskelig tilsyn og høye nivåer av robusthet og sikkerhet for å overholde. Modellen vil da registreres i EU-databasen og gis et CE-merke. Britiske organisasjoner som selger inn i EU vil bli møtt med å kjøre to separate overholdelsesrammeverk eller overholde EU-loven. Organisasjoner kan starte arbeidet nå ved å tilpasse konsekvensanalyseprosesser for databeskyttelse i beredskap for det nye regimet.

9.NIST Cybersecurity Framework 2.0

CSF 2.0 er den første betydelige oppdateringen i dette rammeverket for beste praksis siden starten i 2014. Det vil introdusere et nytt «Govern»-søyledeksel;

  • Organisatorisk kontekst
  • Risikostyringsstrategi
  • Forsyningskjedens risikostyring
  • Roller, ansvar og myndigheter
  • Retningslinjer, prosesser og prosedyrer; og tilsyn.

 

Og det vil være flere implementeringseksempler for å hjelpe organisasjoner med å gjøre CSF-teori til praksis. Eksperter mener et styringssystem for informasjonssikkerhet (ISMS) kan hjelpe ved å skissere eksempler på hvordan du bruker CSF 2.0 Reference Tool og gi en forståelse av hvordan virkelige implementeringer ser ut.

10.PCI DSS 4.0

Selv om PCI DSS 4.0 faktisk ble godkjent i mars 2022, har det vært et fast diskusjonstema i år ettersom den toårige nedtellingen til implementeringsfristen 31. mars 2025 har begynt. Mens tidligere versjoner av rammeverket var preskriptive – dvs. utplasserte brannmurer og anvendte antiviruskontroller – har PCI DSS 4.0 som mål å fremme sikkerhet som en kontinuerlig prosess. Blant endringene inkluderer et krav om anti-malware i stedet for anti-virus og distribusjon av multifaktorautentisering for å få tilgang til kortholderens datamiljø. Det er også krav for å redusere risikoen for digital skimming og bidra til å minimere forsyningskjederisikoen ved å opprettholde en programvarebeholdning, inkludert biblioteker og komponenter. Som alltid vil de virksomhetene som behandler store kortvolum være pålagt å foreta en ekstern revisjon.

Sjekk ut vår guide for å oppnå PCI-DSS V4-samsvar sammen med ISO 27001.