Regulační minové pole kybernetické bezpečnosti: Co potřebují CISO v roce 2025

Právní předpisy v oblasti kybernetické bezpečnosti se proměnily ve stále složitější síť požadavků na dodržování předpisů, které si organizace již nemohou dovolit ignorovat. S tím, jak společnosti zavádějí cloud computing, řešení založená na umělé inteligenci a technologie internetu věcí, čelí současně zvýšenému riziku narušení bezpečnosti dat a zvýšené kontrole ze strany regulačních orgánů po celém světě. Moderní kybernetická bezpečnost zdaleka nezahrnuje jen obranu systémů před online útoky - nyní zahrnuje přísné dodržování vyvíjejících se regulačních rámců, jejichž cílem je chránit citlivé údaje, zajistit odpovědnost organizací a vytvořit robustní bezpečnostní infrastruktury.

Nedodržování předpisů v oblasti kybernetické bezpečnosti má závažné důsledky, včetně značných finančních sankcí a právních důsledků, které mohou ohrozit kontinuitu podnikání. Organizace se musí pohybovat na tomto regulačním minovém poli, aby si udržely důvěru zákazníků, chránily svou pověst a zmírnily rizika spojená s únikem dat. Pro ředitele informatiky, ředitele bezpečnosti informací a odborníky na bezpečnost se pochopení a implementace těchto požadavků na dodržování předpisů staly kritickým úkolem pro úspěch organizace.

Evropská unie posiluje rámec kybernetické bezpečnosti

Evropská unie zavedla několik komplexních regulačních rámců, které významně ovlivňují přístup organizací ke kybernetické bezpečnosti. Směrnice NIS2, což je zkratka pro směrnici o bezpečnosti sítí a informací, představuje aktualizovanou a rozšířenou verzi původní směrnice NIS, která byla speciálně navržena tak, aby odstranila nedostatky své předchůdkyně. Členské státy byly povinny přijmout tuto směrnici jako vnitrostátní právní předpis do 17. října 2024, což představuje zásadní milník v evropské regulaci kybernetické bezpečnosti.

Směrnice NIS2 ukládá provozovatelům kritické infrastruktury a základních služeb v celé EU zavést vhodná bezpečnostní opatření a hlásit veškeré kybernetické bezpečnostní incidenty s cílem zvýšit bezpečnost sítí a informačních systémů. Směrnice se ve srovnání s původním rámcem vztahuje na podstatně větší počet odvětví představujících životně důležité oblasti společnosti. Její čtyři hlavní oblasti požadavků- řízení rizik, odpovědnost podniků, ohlašovací povinnosti a kontinuita podnikání - zavádějí přísnější standardy než NIS1. Organizacím, které tyto požadavky nesplní, hrozí značné pokuty a případné právní důsledky.

Zákon o digitální provozní odolnosti, obecně známý jako DORA, vstoupil v platnost 17. ledna 2025 a zaměřuje se především na finanční instituce. Před zavedením zákona DORA neexistovala jednotná metodika pro řešení problémů v oblasti informačních a komunikačních technologií, ať už vyplývaly z kybernetických útoků nebo technických selhání. Nařízení nyní vyžaduje, aby finanční instituce včetně bank, pojišťoven a investičních bank dodržovaly přísné pokyny, které zajistí, že budou schopny odolávat významným přerušením provozu, reagovat na ně a zotavit se z nich a zároveň předcházet kybernetickým útokům a snižovat jejich počet.

Zákon o kybernetické odolnosti reaguje na skutečnost, že hardware i software se staly hlavním cílem škodlivých aktivit. Toto nařízení se vztahuje na výrobce, dovozce a distributory výrobků s digitálními prvky a zajišťuje kybernetickou bezpečnost v průběhu celého životního cyklu výrobku. Zavádí povinné požadavky na kybernetickou bezpečnost, jimiž se řídí plánování, návrh, vývoj a údržba takových výrobků. Nařízení CRA týkající se hlášení kybernetických bezpečnostních incidentů začnou platit 11. září 2026 a všechny ostatní požadavky budou zavedeny do 11. prosince 2027. Výrobky, jako jsou zdravotnické prostředky a automobily s vlastními bezpečnostními předpisy, jsou z tohoto rámce vyňaty.

Umělá inteligence čelí regulační kontrole

Zákon EU o umělé inteligenci se primárně zaměřuje na regulaci umělé inteligence, ale nese s sebou významné důsledky pro postupy v oblasti kybernetické bezpečnosti. Legislativa vyžaduje, aby byly vysoce rizikové systémy umělé inteligence navrženy a vyvinuty tak, aby dosahovaly odpovídající úrovně přesnosti, robustnosti a kybernetické bezpečnosti a zároveň si tyto vlastnosti udržovaly po celou dobu svého životního cyklu. Evropská komise bude tyto úrovně výkonnosti měřit a vyhodnocovat, aby zajistila jejich dodržování.

Vysoce rizikové systémy UI musí zabránit neobjektivním výstupům a musí být zabezpečeny proti manipulaci neoprávněnými osobami. Toto nařízení vstoupí v platnost 2. srpna 2026, což dává organizacím čas na to, aby své systémy AI připravily na splnění požadavků. Prolínání regulace AI a kybernetické bezpečnosti odráží rostoucí uznání, že systémy umělé inteligence představují jedinečné bezpečnostní výzvy vyžadující specializovaný dohled.

Velká Británie pokročila v legislativě týkající se kybernetické obrany

Cílem britského zákona o kybernetické bezpečnosti a odolnosti je zlepšit kybernetickou obranu země a zajistit, aby životně důležité kritické infrastruktury, na které se spoléhají společnosti poskytující digitální služby, zůstaly bezpečné. Tato legislativa nařídí zavedení důkladných opatření v oblasti kybernetické bezpečnosti a bude vyžadovat hlášení incidentů vládě, aby se zlepšil sběr dat o kybernetických útocích. Vláda v červenci 2024 oznámila, že tento návrh zákona předloží během současného parlamentního zasedání, přičemž podrobnosti budou zveřejněny v dubnu 2025 a formální předložení parlamentu je naplánováno na pozdější období roku 2025.

Spojené státy zlepšují hlášení o kritické infrastruktuře

Zákon o hlášení kybernetických incidentů pro kritickou infrastrukturu, známý pod zkratkou CIRCIA, představuje zákon Spojených států, jehož cílem je zlepšit kybernetickou bezpečnost země prostřednictvím lepšího a rychlejšího získávání informací o kybernetických útocích. Právní předpis ukládá kritickým organizacím povinnost informovat Agenturu pro kybernetickou bezpečnost a bezpečnost infrastruktury , kdykoli dojde ke kybernetickému útoku nebo k zaplacení výkupného, a poskytnout tak úřadům jasnější obraz o kybernetických hrozbách. Očekává se, že požadavky na podávání zpráv začnou platit v roce 2026 po zveřejnění konečných pravidel v roce 2025, což poskytne organizacím čas na zavedení vhodných mechanismů podávání zpráv.

Indie zavádí rámec pro ochranu údajů

Indie podnikla významné kroky ke zlepšení ochrany údajů a soukromí prostřednictvím zákona o ochraně digitálních osobních údajů. Pravidla DPDP, která vyšla v rámci zákona o ochraně digitálních osobních údajů v roce 2023, představují pro Indii významný pokrok v oblasti kybernetické bezpečnosti. Tento právní předpis ukládá organizacím, které nakládají s osobními údaji, jmenovat pověřence pro ochranu osobních údajů. Ředitelé pro bezpečnost informací budou muset úzce spolupracovat s pověřenci pro ochranu údajů, aby sladili strategie kybernetické bezpečnosti s požadavky na ochranu údajů a vytvořili jednotný přístup k bezpečnosti informací a ochraně osobních údajů.

Strategická příprava na dodržování právních předpisů

Ředitelé informatiky a vedoucí pracovníci pro bezpečnost informací musí zaujmout proaktivní přístup k řešení širokého rozsahu požadavků na dodržování právních předpisů v roce 2025. Vedoucí pracovníci v oblasti bezpečnosti mohou svým organizacím pomoci udržet náskok před výzvami v oblasti dodržování předpisů tím, že budou mít přístup k nejnovějším postupům v oblasti kybernetické bezpečnosti na základě změn v regulačních rámcích. To vyžaduje průběžné sledování vývoje regulace a pochopení toho, jak nové požadavky ovlivňují stávající bezpečnostní programy.

Pochopení organizačních důsledků regulačních rámců vyžaduje úzkou spolupráci s interními pracovníky z různých oddělení. Právní, compliance, finanční a provozní týmy musí spolupracovat, aby zajistily komplexní pochopení regulačních požadavků a jejich praktickou implementaci. Spolupráce s externími konzultanty nebo právními poradci pro regulační poradenství navíc poskytuje cenné odborné znalosti při orientaci ve složitém prostředí shody s předpisy.

Komunikace představuje kritickou složku připravenosti na regulaci. Informování týmů a zúčastněných stran o dopadech regulačních změn zajišťuje, že všichni chápou své role a povinnosti při udržování shody s předpisy. To zahrnuje pravidelná školení, aktualizovanou dokumentaci a jasné postupy eskalace problémů souvisejících s dodržováním předpisů.

Pro efektivní řízení shody s předpisy je zásadní porozumět aktuálnímu postavení podniku. Organizace musí provádět důkladná hodnocení, aby zjistily mezery mezi současnými bezpečnostními postupy a regulačními požadavky. Tato posouzení jsou základem pro vypracování komplexních plánů pro zajištění shody, které stanoví priority iniciativ na základě posouzení rizik, dostupnosti zdrojů a regulačních lhůt.

Vedoucí pracovníci v oblasti zabezpečení mohou svým organizacím pomoci udržet náskok před výzvami v oblasti dodržování předpisů tím, že budou mít přístup k nejnovějším postupům kybernetické bezpečnosti a zajistí, aby antivirová řešení byla správně nasazena a aktualizována v souladu s regulačními rámci.

Vedoucí pracovníci v oblasti zabezpečení by také měli zavést rámce pro průběžné sledování dodržování předpisů, a ne považovat dodržování předpisů za jednorázový projekt. Mechanismy průběžného hodnocení pomáhají organizacím identifikovat vznikající nedostatky v dodržování předpisů dříve, než se z nich stanou kritické problémy, což umožňuje proaktivní nápravu namísto reaktivního krizového řízení.

Regulační prostředí se bude i nadále vyvíjet s tím, jak budou kybernetické hrozby postupovat a vlády budou reagovat aktualizovanými rámci. Organizace, které investují do flexibilních, adaptivních programů shody, mají lepší pozici pro zvládnutí budoucích regulačních změn než ty, které udržují rigidní, minimalistické přístupy zaměřené pouze na současné požadavky. Budování schopností pro zajištění souladu s předpisy nad rámec okamžitých mandátů vytváří odolnost vůči budoucímu rozšíření regulace a současně posiluje celkovou bezpečnostní pozici.

Zdroj: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025