Domeniul minat al reglementărilor privind securitatea cibernetică: Ce le trebuie CISO în 2025

Peisajul de reglementare a securității cibernetice s-a transformat într-o rețea din ce în ce mai complexă de cerințe de conformitate pe care organizațiile nu își mai pot permite să le ignore. Pe măsură ce companiile adoptă cloud computing-ul, soluțiile bazate pe inteligența artificială și tehnologiile Internet of Things, acestea se confruntă simultan cu riscuri tot mai mari de încălcare a securității datelor și cu un control sporit din partea organismelor de reglementare din întreaga lume. Securitatea cibernetică modernă se extinde mult dincolo de apărarea sistemelor împotriva atacurilor online - acum cuprinde respectarea strictă a cadrelor de reglementare în continuă evoluție, concepute pentru a proteja datele sensibile, a asigura responsabilitatea organizațională și a stabili infrastructuri de securitate robuste.

Nerespectarea reglementărilor privind securitatea cibernetică are consecințe grave, inclusiv penalități financiare substanțiale și ramificații juridice care pot amenința continuitatea activității. Organizațiile trebuie să navigheze pe acest teren minat al reglementărilor pentru a-și menține încrederea clienților, pentru a-și proteja reputația și pentru a reduce riscurile asociate cu încălcarea securității datelor. Pentru ofițerii șefi de informații, ofițerii șefi de securitate a informațiilor și profesioniștii din domeniul securității, înțelegerea și implementarea acestor cerințe de conformitate au devenit esențiale pentru succesul organizației.

Uniunea Europeană consolidează cadrul de securitate cibernetică

Uniunea Europeană a introdus mai multe cadre de reglementare cuprinzătoare care au un impact semnificativ asupra modului în care organizațiile abordează securitatea cibernetică. Directiva NIS2, care înseamnă Directiva privind securitatea rețelelor și a informațiilor, reprezintă o versiune actualizată și extinsă a directivei NIS originale, concepută special pentru a depăși deficiențele predecesoarei sale. Statele membre trebuiau să adopte această directivă ca legislație națională până la 17 octombrie 2024, marcând o etapă esențială în reglementarea europeană privind securitatea cibernetică.

NIS2 impune operatorilor de infrastructuri critice și de servicii esențiale din întreaga UE să pună în aplicare măsuri de securitate adecvate și să raporteze orice incidente de securitate cibernetică pentru a spori securitatea rețelelor și a sistemelor informatice. În comparație cu cadrul inițial, directiva acoperă un număr mult mai mare de sectoare reprezentând domenii vitale ale societății. Cele patru domenii de cerințe principale -gestionarea riscurilor, responsabilitatea corporativă, obligațiile de raportare și continuitatea activității - impun standarde mai stricte decât NIS1. Organizațiile care nu îndeplinesc aceste cerințe riscă amenzi semnificative și potențiale consecințe juridice.

Legea privind reziliența operațională digitală, cunoscută sub numele de DORA, a intrat în vigoare la 17 ianuarie 2025, vizând în principal instituțiile financiare. Înainte de punerea în aplicare a DORA, nu exista o metodologie uniformă pentru abordarea problemelor legate de tehnologia informației și comunicațiilor, indiferent dacă acestea decurgeau din atacuri cibernetice sau din defecțiuni tehnice. Regulamentul impune acum instituțiilor financiare, inclusiv băncilor, firmelor de asigurări și băncilor de investiții, să adere la orientări stricte care să le asigure că pot rezista, răspunde și se pot recupera în urma unor întreruperi operaționale semnificative, prevenind și reducând în același timp atacurile cibernetice.

Legea privind reziliența cibernetică abordează realitatea că atât hardware-ul, cât și software-ul au devenit ținte principale pentru activitățile rău intenționate. Acest regulament se aplică producătorilor, importatorilor și distribuitorilor de produse cu elemente digitale, asigurând securitatea cibernetică pe parcursul întregului ciclu de viață al produsului. Acesta introduce cerințe obligatorii de securitate cibernetică care reglementează planificarea, proiectarea, dezvoltarea și întreținerea unor astfel de produse. Reglementările CRA privind raportarea incidentelor de securitate cibernetică vor începe la 11 septembrie 2026, toate celelalte cerințe fiind puse în aplicare până la 11 decembrie 2027. Produse precum dispozitivele medicale și automobilele, care au propriile reglementări în materie de siguranță și securitate, sunt exceptate de la acest cadru.

Inteligența artificială se confruntă cu un control de reglementare

Legea UE privind inteligența artificială se axează în primul rând pe reglementarea inteligenței artificiale, dar are implicații semnificative pentru practicile de securitate cibernetică. Legislația impune ca sistemele de inteligență artificială cu risc ridicat să fie proiectate și dezvoltate pentru a atinge niveluri adecvate de precizie, robustețe și securitate cibernetică, menținând în același timp aceste calități pe parcursul întregului lor ciclu de viață. Comisia Europeană va măsura și evalua aceste niveluri de performanță pentru a asigura conformitatea.

Sistemele AI cu risc ridicat trebuie să prevină rezultatele părtinitoare și să fie protejate împotriva manipulării de către părți neautorizate. Acest regulament intră în vigoare la 2 august 2026, oferind organizațiilor timp să își pregătească sistemele AI pentru conformitate. Intersecția dintre reglementările privind inteligența artificială și securitatea cibernetică reflectă recunoașterea crescândă a faptului că sistemele de inteligență artificială prezintă provocări de securitate unice care necesită o supraveghere specializată.

Regatul Unit avansează cu legislația privind apărarea cibernetică

Proiectul de lege privind securitatea și reziliența cibernetică din Regatul Unit vizează îmbunătățirea apărării cibernetice a țării și asigurarea faptului că infrastructurile critice vitale pe care se bazează companiile de servicii digitale rămân sigure. Această legislație va impune punerea în aplicare a unor măsuri puternice de securitate cibernetică și va solicita raportarea incidentelor către guvern pentru a îmbunătăți colectarea datelor privind atacurile cibernetice. În iulie 2024, guvernul a anunțat că va prezenta acest proiect de lege în cursul sesiunii parlamentare actuale, detaliile urmând să fie publicate în aprilie 2025, iar prezentarea oficială în Parlament este programată pentru mai târziu în 2025.

Statele Unite îmbunătățesc raportarea privind infrastructurile critice

Legea privind raportarea incidentelor cibernetice pentru infrastructurile critice, cunoscută sub numele de CIRCIA, reprezintă o lege a Statelor Unite care vizează îmbunătățirea securității cibernetice a națiunii prin obținerea de informații mai bune și mai rapide cu privire la atacurile cibernetice. Legislația obligă organizațiile critice să notifice Cybersecurity and Infrastructure Security Agency ori de câte ori se confruntă cu un atac cibernetic sau plătesc o răscumpărare, oferind autorităților o imagine mai clară a peisajului amenințărilor cibernetice. Se preconizează că cerințele de raportare vor intra în vigoare în 2026, după publicarea normelor finale în 2025, oferind organizațiilor timp pentru a stabili mecanisme de raportare adecvate.

India instituie un cadru de protecție a datelor

India a luat măsuri semnificative pentru îmbunătățirea protecției datelor și a vieții private prin Legea privind protecția datelor personale digitale. Normele DPDP, care au intrat sub incidența Legii privind protecția datelor personale digitale din 2023, reprezintă un progres semnificativ pentru India în domeniul securității cibernetice. Această legislație impune numirea unui responsabil cu protecția datelor pentru organizațiile care gestionează date cu caracter personal. Responsabilii cu securitatea informațiilor vor trebui să colaboreze îndeaproape cu responsabilii cu protecția datelor pentru a alinia strategiile de securitate cibernetică la cerințele de protecție a datelor, creând o abordare unificată a securității informațiilor și a confidențialității.

Pregătirea strategică pentru conformitatea cu reglementările

Responsabilii cu informațiile și responsabilii cu securitatea informațiilor trebuie să adopte o abordare proactivă pentru a aborda domeniul larg de aplicare al cerințelor de conformitate cu reglementările în 2025. Liderii de securitate își pot ajuta organizațiile să rămână în fața provocărilor legate de conformitate prin menținerea accesului la cele mai recente proceduri de securitate cibernetică bazate pe schimbările din cadrele de reglementare. Acest lucru necesită monitorizarea continuă a evoluțiilor în materie de reglementare și înțelegerea modului în care noile cerințe afectează programele de securitate existente.

Înțelegerea implicațiilor organizaționale ale cadrelor de reglementare necesită o colaborare strânsă cu personalul intern din mai multe departamente. Echipele juridice, de conformitate, financiare și operaționale trebuie să colaboreze pentru a asigura o înțelegere cuprinzătoare a cerințelor de reglementare și a implementării lor practice. În plus, colaborarea cu consultanții externi sau cu consilierii juridici pentru consultanță în materie de reglementare oferă o expertiză valoroasă în navigarea prin peisaje complexe de conformitate.

Comunicarea reprezintă o componentă esențială a pregătirii pentru reglementare. Informarea echipelor și a părților interesate cu privire la efectele modificărilor de reglementare asigură faptul că fiecare își înțelege rolurile și responsabilitățile în menținerea conformității. Aceasta include sesiuni regulate de formare, documentație actualizată și proceduri clare de escaladare pentru problemele legate de conformitate.

Înțelegerea poziției actuale a afacerii este esențială pentru gestionarea eficientă a conformității. Organizațiile trebuie să efectueze evaluări aprofundate pentru a identifica lacunele dintre practicile actuale de securitate și cerințele de reglementare. Aceste evaluări stau la baza elaborării unor foi de parcurs cuprinzătoare pentru conformitate, care prioritizează inițiativele pe baza evaluării riscurilor, a disponibilității resurselor și a termenelor de reglementare.

Liderii din domeniul securității își pot ajuta organizațiile să rămână în fața provocărilor legate de conformitate prin menținerea accesului la cele mai recente proceduri de securitate cibernetică și prin asigurarea faptului că soluțiile antivirus sunt implementate și actualizate în mod corespunzător, în conformitate cu cadrele de reglementare.

Liderii din domeniul securității ar trebui, de asemenea, să stabilească cadre pentru monitorizarea continuă a conformității, în loc să trateze respectarea reglementărilor ca pe un proiect punctual. Mecanismele de evaluare continuă ajută organizațiile să identifice lacunele de conformitate emergente înainte ca acestea să devină probleme critice, permițând remedierea proactivă mai degrabă decât gestionarea reactivă a crizei.

Peisajul de reglementare va continua să evolueze pe măsură ce amenințările cibernetice avansează și guvernele răspund cu cadre actualizate. Organizațiile care investesc în programe de conformitate flexibile și adaptabile se poziționează pentru a naviga mai eficient prin viitoarele schimbări de reglementare decât cele care mențin abordări rigide și minimaliste, axate exclusiv pe cerințele actuale. Dezvoltarea capacităților de conformitate dincolo de mandatele imediate creează reziliență în fața extinderii viitoare a reglementărilor, consolidând în același timp poziția generală de securitate.

Sursă: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025