Regulativno minsko polje kibernetske varnosti: Kaj potrebujejo CISO v letu 2025

Regulativno okolje kibernetske varnosti se je spremenilo v vse bolj zapleteno mrežo zahtev glede skladnosti, ki si jih organizacije ne morejo več privoščiti, da bi jih prezrle. Ker podjetja uporabljajo računalništvo v oblaku, rešitve, ki temeljijo na umetni inteligenci, in tehnologije interneta stvari, se hkrati soočajo s povečanim tveganjem kršitev varnosti podatkov in povečanim nadzorom regulativnih organov po vsem svetu. Sodobna kibernetska varnost daleč presega obrambo sistemov pred spletnimi napadi - zdaj vključuje strogo upoštevanje razvijajočih se regulativnih okvirov, namenjenih zaščiti občutljivih podatkov, zagotavljanju organizacijske odgovornosti in vzpostavitvi trdnih varnostnih infrastruktur.

Neupoštevanje predpisov o kibernetski varnosti ima hude posledice, vključno z visokimi finančnimi kaznimi in pravnimi posledicami, ki lahko ogrozijo neprekinjeno poslovanje. Organizacije morajo krmariti po tem zakonodajnem minskem polju, da ohranijo zaupanje strank, zaščitijo svoj ugled in zmanjšajo tveganja, povezana s kršitvami varnosti podatkov. Za vodje informacijskih služb, vodje informacijske varnosti in strokovnjake za varnost je razumevanje in izvajanje teh zahtev glede skladnosti postalo ključnega pomena za uspeh organizacije.

Evropska unija krepi okvir kibernetske varnosti

Evropska unija je uvedla več celovitih regulativnih okvirov, ki pomembno vplivajo na to, kako organizacije pristopajo h kibernetski varnosti. Direktiva NIS2, ki pomeni direktivo o varnosti omrežij in informacij, predstavlja posodobljeno in razširjeno različico prvotne direktive NIS, ki je bila posebej zasnovana za odpravo pomanjkljivosti njene predhodnice. Države članice so morale to direktivo sprejeti kot nacionalno zakonodajo do 17. oktobra 2024, kar pomeni ključni mejnik v evropski ureditvi kibernetske varnosti.

Direktiva NIS2 nalaga upravljavcem kritične infrastrukture in bistvenih storitev po vsej EU izvajanje ustreznih varnostnih ukrepov in poročanje o vseh incidentih na področju kibernetske varnosti za povečanje varnosti omrežnih in informacijskih sistemov. Direktiva v primerjavi s prvotnim okvirom zajema bistveno večje število sektorjev, ki predstavljajo ključna družbena področja. Njena štiri glavna področja zahtev- upravljanje tveganj, odgovornost podjetij, obveznosti poročanja in neprekinjeno poslovanje - določajo strožje standarde kot NIS1. Organizacijam, ki ne izpolnjujejo teh zahtev, grozijo visoke globe in morebitne pravne posledice.

Zakon o digitalni operativni odpornosti, splošno znan kot DORA, je začel veljati 17. januarja 2025 in je namenjen predvsem finančnim institucijam. Pred začetkom izvajanja DORA ni bilo enotne metodologije za reševanje težav na področju informacijske in komunikacijske tehnologije, ki so izhajale iz kibernetskih napadov ali tehničnih napak. Uredba zdaj od finančnih institucij, vključno z bankami, zavarovalnicami in investicijskimi bankami, zahteva, da upoštevajo stroge smernice, ki zagotavljajo, da se lahko uprejo večjim motnjam v delovanju, se nanje odzovejo in po njih okrevajo, hkrati pa preprečujejo in zmanjšujejo kibernetske napade.

Zakon o kibernetski odpornosti obravnava dejstvo, da sta tako strojna kot programska oprema postali glavni tarči zlonamernih dejavnosti. Ta uredba velja za proizvajalce, uvoznike in distributerje izdelkov z digitalnimi elementi ter zagotavlja kibernetsko varnost v celotnem življenjskem ciklu izdelka. Uvaja obvezne zahteve glede kibernetske varnosti, ki urejajo načrtovanje, oblikovanje, razvoj in vzdrževanje takih izdelkov. Predpisi agencije CRA za poročanje o incidentih kibernetske varnosti se bodo začeli izvajati 11. septembra 2026, vse druge zahteve pa do 11. decembra 2027. Izdelki, kot so medicinski pripomočki in avtomobili z lastnimi varnostnimi predpisi, so izvzeti iz tega okvira.

Umetna inteligenca se sooča z regulativnim nadzorom

Zakon EU o umetni inteligenci se osredotoča predvsem na ureditev umetne inteligence, vendar ima pomembne posledice za prakse kibernetske varnosti. Zakonodaja zahteva, da se sistemi umetne inteligence z visokim tveganjem oblikujejo in razvijajo tako, da dosežejo ustrezne ravni natančnosti, robustnosti in kibernetske varnosti, hkrati pa te lastnosti ohranjajo v celotnem življenjskem ciklu. Evropska komisija bo te ravni zmogljivosti merila in ocenjevala, da bi zagotovila skladnost.

Sistemi umetne inteligence z visokim tveganjem morajo preprečevati pristranske rezultate in morajo biti zavarovani pred manipulacijo s strani nepooblaščenih oseb. Ta uredba začne veljati 2. avgusta 2026, kar daje organizacijam čas, da svoje sisteme umetne inteligence pripravijo na skladnost. Prepletanje predpisov o umetni inteligenci in kibernetski varnosti odraža vse večje priznavanje, da sistemi umetne inteligence predstavljajo edinstvene varnostne izzive, ki zahtevajo poseben nadzor.

Združeno kraljestvo pospešuje zakonodajo o kibernetski obrambi

Cilj zakona o kibernetski varnosti in odpornosti Združenega kraljestva je izboljšati kibernetsko obrambo države in zagotoviti, da bodo ključne kritične infrastrukture, na katere se zanašajo podjetja za digitalne storitve, ostale varne. Ta zakonodaja bo predpisala izvajanje strogih ukrepov za kibernetsko varnost in zahtevala poročanje o incidentih vladi, da bi se izboljšalo zbiranje podatkov o kibernetskih napadih. Vlada je julija 2024 napovedala, da bo ta predlog zakona predstavila na trenutnem parlamentarnem zasedanju, podrobnosti bodo objavljene aprila 2025, uradna predstavitev v parlamentu pa je predvidena pozneje leta 2025.

Združene države izboljšujejo poročanje o kritični infrastrukturi

Zakon o poročanju o kibernetskih incidentih za kritično infrastrukturo, znan kot CIRCIA, predstavlja zakon Združenih držav Amerike, katerega cilj je izboljšati kibernetsko varnost države s pridobivanjem boljših in hitrejših informacij o kibernetskih napadih. Zakonodaja nalaga kritičnim organizacijam, da obvestijo agencijo za kibernetsko varnost in varnost infrastrukture , kadar koli doživijo kibernetski napad ali plačajo odkupnino, kar organom zagotavlja jasnejšo sliko o stanju kibernetskih groženj. Zahteve za poročanje naj bi začele veljati leta 2026 po objavi končnih pravil leta 2025, kar daje organizacijam čas, da vzpostavijo ustrezne mehanizme poročanja.

Indija vzpostavlja okvir za varstvo podatkov

Indija je sprejela pomembne ukrepe za izboljšanje varstva podatkov in zasebnosti z zakonom o varstvu digitalnih osebnih podatkov. Pravila DPDP, ki so prišla v okviru zakona o varstvu digitalnih osebnih podatkov leta 2023, pomenijo pomemben napredek Indije na področju kibernetske varnosti. Ta zakonodaja predpisuje imenovanje pooblaščene osebe za varstvo podatkov za organizacije, ki ravnajo z osebnimi podatki. Vodje služb za informacijsko varnost bodo morali tesno sodelovati s pooblaščenci za varstvo podatkov, da bi strategije kibernetske varnosti uskladili z zahtevami za varstvo podatkov ter tako ustvarili enoten pristop k informacijski varnosti in zasebnosti.

Strateška priprava na skladnost z zakonodajo

Glavni informacijski pooblaščenci in glavni pooblaščenci za informacijsko varnost morajo sprejeti proaktiven pristop za obravnavo širokega obsega regulativnih zahtev glede skladnosti v letu 2025. Vodje varnostnih služb lahko svojim organizacijam pomagajo, da ostanejo pred izzivi skladnosti, tako da ohranjajo dostop do najnovejših postopkov kibernetske varnosti, ki temeljijo na spremembah regulativnih okvirov. Za to je potrebno stalno spremljanje regulativnega razvoja in razumevanje, kako nove zahteve vplivajo na obstoječe varnostne programe.

Razumevanje organizacijskih posledic regulativnih okvirov zahteva tesno sodelovanje z notranjim osebjem v več oddelkih. Skupine za pravne zadeve, skladnost s predpisi, finance in operativne službe morajo sodelovati, da zagotovijo celovito razumevanje regulativnih zahtev in njihovo praktično izvajanje. Poleg tega sodelovanje z zunanjimi svetovalci ali pravnimi svetovalci za regulativne nasvete zagotavlja dragoceno strokovno znanje in izkušnje pri krmarjenju po zapletenih okoljih skladnosti.

Komunikacija je ključna sestavina pripravljenosti na predpise. Obveščanje skupin in zainteresiranih strani o učinkih regulativnih sprememb zagotavlja, da vsi razumejo svoje vloge in odgovornosti pri ohranjanju skladnosti. To vključuje redna usposabljanja, posodobljeno dokumentacijo in jasne postopke eskalacije pri vprašanjih, povezanih s skladnostjo.

Razumevanje trenutnega položaja podjetja je bistvenega pomena za učinkovito upravljanje skladnosti. Organizacije morajo izvesti temeljite ocene, da ugotovijo vrzeli med trenutnimi varnostnimi praksami in zakonskimi zahtevami. Te ocene so podlaga za pripravo celovitih načrtov za doseganje skladnosti, ki določajo prednostne pobude na podlagi ocene tveganja, razpoložljivosti virov in regulativnih rokov.

Vodje varnostnih služb lahko svojim organizacijam pomagajo, da ostanejo pred izzivi skladnosti, tako da vzdržujejo dostop do najnovejših postopkov kibernetske varnosti in zagotavljajo, da so protivirusne rešitve pravilno nameščene in posodobljene v skladu z regulativnimi okviri.

Varnostni vodje morajo vzpostaviti tudi okvire za stalno spremljanje skladnosti, namesto da bi upoštevanje predpisov obravnavali kot enkraten projekt. Mehanizmi stalnega ocenjevanja pomagajo organizacijam prepoznati nastajajoče vrzeli v skladnosti, preden postanejo kritične težave, kar omogoča proaktivno odpravljanje pomanjkljivosti namesto reaktivnega kriznega upravljanja.

Regulativno okolje se bo še naprej razvijalo, saj kibernetske grožnje napredujejo, vlade pa se odzivajo s posodobljenimi okviri. Organizacije, ki vlagajo v prilagodljive in prilagodljive programe skladnosti, so v položaju, ko lahko učinkoviteje krmarijo po prihodnjih regulativnih spremembah, kot tiste, ki ohranjajo toge in minimalistične pristope, osredotočene izključno na trenutne zahteve. Izgradnja zmogljivosti za zagotavljanje skladnosti, ki presegajo neposredne zahteve, ustvarja odpornost na prihodnjo širitev zakonodaje in hkrati krepi splošno varnostno držo.

Vir: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025