Regulatorisk minefelt for cybersikkerhet: Hva CISO-er trenger i 2025

Regelverket for cybersikkerhet har forvandlet seg til et stadig mer komplekst nett av compliance-krav som organisasjoner ikke lenger har råd til å ignorere. I takt med at bedrifter tar i bruk cloud computing, løsninger basert på kunstig intelligens og tingenes internett-teknologi, står de samtidig overfor økt risiko for datainnbrudd og økt kontroll fra tilsynsorganer verden over. Moderne cybersikkerhet omfatter langt mer enn å forsvare systemer mot angrep på nettet - det omfatter nå også streng overholdelse av regelverk i stadig utvikling som er utformet for å beskytte sensitive data, sikre organisatorisk ansvarlighet og etablere robuste sikkerhetsinfrastrukturer.

Manglende overholdelse av regelverket for cybersikkerhet kan få alvorlige konsekvenser, inkludert betydelige økonomiske bøter og juridiske konsekvenser som kan true virksomhetens kontinuitet. Organisasjoner må navigere i dette regulatoriske minefeltet for å opprettholde kundenes tillit, beskytte omdømmet sitt og redusere risikoen forbundet med datainnbrudd. For informasjonssjefer, informasjonssikkerhetssjefer og sikkerhetsansvarlige har det blitt helt avgjørende for organisasjonens suksess at de forstår og implementerer disse kravene.

EU styrker rammeverket for cybersikkerhet

EU har innført flere omfattende regelverk som har stor innvirkning på hvordan organisasjoner tilnærmer seg cybersikkerhet. NIS2-direktivet, som står for Network and Information Security Directive, er en oppdatert og utvidet versjon av det opprinnelige NIS-direktivet, som er spesielt utformet for å overvinne forgjengerens mangler. Medlemslandene måtte vedta dette direktivet som nasjonal lovgivning innen 17. oktober 2024, noe som markerer en kritisk milepæl i den europeiske cybersikkerhetsreguleringen.

NIS2 pålegger operatører av kritisk infrastruktur og essensielle tjenester i hele EU å iverksette egnede sikkerhetstiltak og rapportere eventuelle cybersikkerhetshendelser for å forbedre sikkerheten i nettverks- og informasjonssystemer. Direktivet dekker et betydelig større antall sektorer som representerer viktige samfunnsområder, sammenlignet med det opprinnelige rammeverket. De fire primære kravområdene -risikostyring, bedriftsansvar, rapporteringsforpliktelser og kontinuitet i virksomheten - innebærer strengere standarder enn NIS1. Organisasjoner som ikke oppfyller disse kravene, risikerer betydelige bøter og potensielle juridiske konsekvenser.

Digital Operational Resilience Act, kjent som DORA, trådte i kraft 17. januar 2025 og er først og fremst rettet mot finansinstitusjoner. Før DORA trådte i kraft, fantes det ingen enhetlig metodikk for å håndtere problemer med informasjons- og kommunikasjonsteknologi, enten de skyldtes cyberangrep eller tekniske feil. Forordningen krever nå at finansinstitusjoner, inkludert banker, forsikringsselskaper og investeringsbanker, må følge strenge retningslinjer for å sikre at de kan motstå, reagere på og komme seg etter betydelige driftsforstyrrelser, samtidig som de forebygger og reduserer cyberangrep.

Cyber Resilience Act tar høyde for at både maskinvare og programvare har blitt hovedmål for ondsinnede aktiviteter. Forordningen gjelder for produsenter, importører og distributører av produkter med digitale elementer, og skal sikre cybersikkerhet gjennom hele produktets livssyklus. Den innfører obligatoriske krav til cybersikkerhet i forbindelse med planlegging, design, utvikling og vedlikehold av slike produkter. CRAs regler for rapportering av cybersikkerhetshendelser trer i kraft 11. september 2026, og alle andre krav skal være implementert innen 11. desember 2027. Produkter som medisinsk utstyr og biler, som har egne sikkerhetsforskrifter, er unntatt fra dette rammeverket.

Kunstig intelligens står overfor regulatorisk gransking

EUs lov om kunstig intelligens fokuserer først og fremst på regulering av kunstig intelligens, men har også betydelige konsekvenser for cybersikkerhetspraksis. Lovgivningen krever at høyrisikosystemer for kunstig intelligens utformes og utvikles slik at de oppnår et passende nivå av nøyaktighet, robusthet og cybersikkerhet, samtidig som disse egenskapene opprettholdes gjennom hele livssyklusen. EU-kommisjonen vil måle og evaluere disse ytelsesnivåene for å sikre at de etterleves.

AI-systemer med høy risiko må forhindre skjeve resultater og være sikret mot manipulasjon fra uautoriserte parter. Denne forordningen trer i kraft 2. august 2026, noe som gir organisasjoner tid til å forberede AI-systemene sine for etterlevelse. Krysningspunktet mellom AI og cybersikkerhetsregulering gjenspeiler den økende erkjennelsen av at kunstig intelligens-systemer byr på unike sikkerhetsutfordringer som krever spesialtilsyn.

Storbritannia fremmer lovgivning om cyberforsvar

Storbritannias lovforslag om cybersikkerhet og motstandsdyktighet har som mål å forbedre landets cyberforsvar og sørge for at viktige kritiske infrastrukturer som selskaper som leverer digitale tjenester, er avhengige av, forblir sikre. Loven vil pålegge implementering av strenge cybersikkerhetstiltak og kreve rapportering av hendelser til myndighetene for å forbedre datainnsamlingen om cyberangrep. Regjeringen kunngjorde i juli 2024 at den ville legge frem dette lovforslaget i løpet av inneværende stortingsperiode, med detaljer publisert i april 2025 og formell fremleggelse for Stortinget senere i 2025.

USA forbedrer rapporteringen av kritisk infrastruktur

The Cyber Incident Reporting for Critical Infrastructure Act, kjent som CIRCIA, er en amerikansk lov som har som mål å forbedre landets cybersikkerhet ved å skaffe bedre og raskere informasjon om cyberangrep. Loven pålegger kritiske organisasjoner å varsle Cybersecurity and Infrastructure Security Agency hver gang de utsettes for et dataangrep eller betaler løsepenger, noe som gir myndighetene et klarere bilde av cybertrusselbildet. Rapporteringskravene forventes å tre i kraft i 2026, etter at de endelige reglene er publisert i 2025, noe som gir organisasjoner tid til å etablere hensiktsmessige rapporteringsmekanismer.

India etablerer et rammeverk for databeskyttelse

India har tatt viktige skritt for å forbedre databeskyttelsen og personvernet gjennom sin Digital Personal Data Protection Act. DPDP-reglene, som er en del av Digital Personal Data Protection Act fra 2023, representerer et betydelig fremskritt for India på cybersikkerhetsfeltet. Loven pålegger utnevnelse av et personvernombud for organisasjoner som håndterer personopplysninger. Sjefer for datasikkerhet må samarbeide tett med personvernansvarlige for å tilpasse cybersikkerhetsstrategiene til personvernkravene og skape en enhetlig tilnærming til informasjonssikkerhet og personvern.

Strategiske forberedelser for overholdelse av regelverk

Informasjonssjefer og informasjonssikkerhetssjefer må innta en proaktiv tilnærming for å håndtere det brede spekteret av lovkrav i 2025. Sikkerhetsledere kan hjelpe organisasjonen med å ligge i forkant av compliance-utfordringene ved å ha tilgang til de nyeste prosedyrene for cybersikkerhet basert på endringer i regelverket. Dette krever kontinuerlig overvåking av utviklingen i regelverket og forståelse av hvordan nye krav påvirker eksisterende sikkerhetsprogrammer.

For å forstå de organisatoriske implikasjonene av regelverket kreves det et tett samarbeid med interne medarbeidere på tvers av flere avdelinger. Juridiske, compliance-, finans- og driftsteam må samarbeide for å sikre en helhetlig forståelse av lovkravene og den praktiske implementeringen av dem. I tillegg gir samarbeid med eksterne konsulenter eller juridiske rådgivere verdifull ekspertise når det gjelder å navigere i komplekse compliance-landskaper.

Kommunikasjon er en viktig del av beredskapen for å overholde regelverket. Ved å holde team og interessenter informert om effekten av endringer i regelverket sikrer man at alle forstår sine roller og ansvarsområder når det gjelder å overholde regelverket. Dette omfatter regelmessige opplæringsøkter, oppdatert dokumentasjon og klare eskaleringsprosedyrer for compliance-relaterte problemer.

Å forstå virksomhetens nåværende posisjon er avgjørende for effektiv compliance-styring. Virksomheten må gjennomføre grundige evalueringer for å avdekke gap mellom gjeldende sikkerhetspraksis og lovpålagte krav. Disse vurderingene danner grunnlaget for å utvikle omfattende veikart for samsvar som prioriterer tiltak basert på risikovurdering, ressurstilgjengelighet og tidsfrister i regelverket.

Sikkerhetsledere kan hjelpe organisasjonen med å ligge i forkant av samsvarsutfordringene ved å ha tilgang til de nyeste prosedyrene for cybersikkerhet og sørge for at antivirusløsninger er riktig implementert og oppdatert i samsvar med regelverket.

Sikkerhetsledere bør også etablere et rammeverk for løpende overvåking av etterlevelse av regelverket, i stedet for å se på dette som et engangsprosjekt. Kontinuerlige vurderingsmekanismer hjelper organisasjoner med å identifisere nye hull i etterlevelsen før de blir kritiske problemer, noe som muliggjør proaktiv utbedring i stedet for reaktiv krisehåndtering.

Regelverket vil fortsette å utvikle seg i takt med at cybertruslene øker, og myndighetene reagerer med oppdaterte rammeverk. Organisasjoner som investerer i fleksible, tilpasningsdyktige compliance-programmer, er bedre rustet til å navigere i fremtidige endringer i regelverket enn de som opprettholder rigide, minimalistiske tilnærminger som kun fokuserer på gjeldende krav. Ved å bygge opp compliance-kapasiteter som går utover de umiddelbare mandatene, skaper man motstandskraft mot fremtidig utvidelse av regelverket, samtidig som man styrker den generelle sikkerhetsposisjonen.

Kilde: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025