Regulačné míľové pole kybernetickej bezpečnosti: Čo potrebujú CISO v roku 2025

Regulačné prostredie kybernetickej bezpečnosti sa zmenilo na čoraz zložitejšiu sieť požiadaviek na dodržiavanie predpisov, ktoré si organizácie už nemôžu dovoliť ignorovať. S tým, ako spoločnosti využívajú cloud computing, riešenia založené na umelej inteligencii a technológie internetu vecí, zároveň čelia zvýšeným rizikám narušenia bezpečnosti údajov a zvýšenej kontrole zo strany regulačných orgánov na celom svete. Moderná kybernetická bezpečnosť ďaleko presahuje obranu systémov pred online útokmi - teraz zahŕňa prísne dodržiavanie vyvíjajúcich sa regulačných rámcov určených na ochranu citlivých údajov, zabezpečenie zodpovednosti organizácie a vytvorenie robustných bezpečnostných infraštruktúr.

Nedodržiavanie predpisov o kybernetickej bezpečnosti má vážne dôsledky vrátane značných finančných pokút a právnych dôsledkov, ktoré môžu ohroziť kontinuitu podnikania. Organizácie sa musia pohybovať na tomto regulačnom mínovom poli, aby si udržali dôveru zákazníkov, chránili svoju povesť a zmiernili riziká spojené s únikmi údajov. Pre vedúcich pracovníkov pre informácie, vedúcich pracovníkov pre bezpečnosť informácií a odborníkov na bezpečnosť sa pochopenie a implementácia týchto požiadaviek na dodržiavanie predpisov stali kľúčovými pre úspech organizácie.

Európska únia posilňuje rámec kybernetickej bezpečnosti

Európska únia zaviedla niekoľko komplexných regulačných rámcov, ktoré výrazne ovplyvňujú prístup organizácií ku kybernetickej bezpečnosti. Smernica NIS2, čo je skratka pre smernicu o bezpečnosti sietí a informácií, predstavuje aktualizovanú a rozšírenú verziu pôvodnej smernice NIS, ktorá bola špeciálne navrhnutá na odstránenie nedostatkov jej predchodkyne. Členské štáty boli povinné prijať túto smernicu ako vnútroštátne právo do 17. októbra 2024, čo predstavuje zásadný míľnik v európskej regulácii kybernetickej bezpečnosti.

NIS2 nariaďuje prevádzkovateľom kritickej infraštruktúry a základných služieb v celej EÚ zaviesť primerané bezpečnostné opatrenia a nahlasovať všetky kybernetické bezpečnostné incidenty s cieľom zvýšiť bezpečnosť sietí a informačných systémov. Smernica sa v porovnaní s pôvodným rámcom vzťahuje na podstatne väčší počet odvetví, ktoré predstavujú životne dôležité oblasti spoločnosti. Jej štyri hlavné oblasti požiadaviek- riadenie rizík, zodpovednosť podnikov, oznamovacie povinnosti a kontinuita činnosti - zavádzajú prísnejšie normy ako NIS1. Organizáciám, ktoré tieto požiadavky nesplnia, hrozia značné pokuty a potenciálne právne dôsledky.

Zákon o digitálnej prevádzkovej odolnosti, všeobecne známy ako DORA, vstúpil do platnosti 17. januára 2025 a je zameraný predovšetkým na finančné inštitúcie. Pred zavedením zákona DORA neexistovala jednotná metodika na riešenie problémov v oblasti informačných a komunikačných technológií, či už vyplývajúcich z kybernetických útokov alebo technických porúch. Nariadenie teraz vyžaduje, aby finančné inštitúcie vrátane bánk, poisťovní a investičných bánk dodržiavali prísne usmernenia, ktoré zabezpečia, že budú schopné odolávať významným prevádzkovým výpadkom, reagovať na ne a zotaviť sa z nich a zároveň predchádzať kybernetickým útokom a znižovať ich počet.

Zákon o kybernetickej odolnosti reaguje na skutočnosť, že hardvér aj softvér sa stali hlavnými cieľmi škodlivých aktivít. Toto nariadenie sa vzťahuje na výrobcov, dovozcov a distribútorov výrobkov s digitálnymi prvkami, čím sa zabezpečuje kybernetická bezpečnosť počas celého životného cyklu výrobku. Zavádzajú sa ním povinné požiadavky na kybernetickú bezpečnosť, ktorými sa riadi plánovanie, navrhovanie, vývoj a údržba takýchto výrobkov. Nariadenia CRA týkajúce sa nahlasovania incidentov v oblasti kybernetickej bezpečnosti sa začnú uplatňovať 11. septembra 2026, pričom všetky ostatné požiadavky sa zavedú do 11. decembra 2027. Výrobky, ako sú zdravotnícke pomôcky a automobily s vlastnými bezpečnostnými predpismi, sú z tohto rámca vyňaté.

Umelá inteligencia čelí regulačnej kontrole

Zákon EÚ o umelej inteligencii sa primárne zameriava na reguláciu umelej inteligencie, ale nesie so sebou významné dôsledky pre postupy v oblasti kybernetickej bezpečnosti. V právnych predpisoch sa vyžaduje, aby boli vysoko rizikové systémy umelej inteligencie navrhnuté a vyvinuté tak, aby dosahovali primeranú úroveň presnosti, robustnosti a kybernetickej bezpečnosti a zároveň si tieto vlastnosti zachovávali počas celého svojho životného cyklu. Európska komisia bude tieto úrovne výkonnosti merať a hodnotiť, aby zabezpečila ich dodržiavanie.

Vysoko rizikové systémy AI musia zabrániť neobjektívnym výstupom a musia byť zabezpečené proti manipulácii zo strany neoprávnených osôb. Toto nariadenie nadobudne účinnosť 2. augusta 2026, čo dáva organizáciám čas na prípravu ich systémov AI na dosiahnutie súladu. Prepojenie regulácie AI a kybernetickej bezpečnosti odráža rastúce uznanie, že systémy umelej inteligencie predstavujú jedinečné bezpečnostné výzvy, ktoré si vyžadujú špecializovaný dohľad.

Spojené kráľovstvo presadzuje legislatívu v oblasti kybernetickej obrany

Cieľom návrhu zákona Spojeného kráľovstva o kybernetickej bezpečnosti a odolnosti je zlepšiť kybernetickú obranu krajiny a zabezpečiť, aby životne dôležité kritické infraštruktúry, na ktoré sa spoliehajú spoločnosti poskytujúce digitálne služby, zostali bezpečné. Tento právny predpis nariadi zavedenie prísnych opatrení kybernetickej bezpečnosti a bude vyžadovať nahlasovanie incidentov vláde s cieľom zlepšiť zber údajov o kybernetických útokoch. Vláda v júli 2024 oznámila, že tento návrh zákona predloží počas súčasného parlamentného zasadnutia, pričom podrobnosti budú zverejnené v apríli 2025 a formálne predloženie parlamentu je naplánované na neskorší rok 2025.

Spojené štáty zlepšujú podávanie správ o kritickej infraštruktúre

Zákon o hlásení kybernetických incidentov pre kritickú infraštruktúru, známy ako CIRCIA, predstavuje zákon Spojených štátov amerických zameraný na zlepšenie kybernetickej bezpečnosti krajiny prostredníctvom lepšieho a rýchlejšieho získavania informácií o kybernetických útokoch. Právny predpis núti kritické organizácie, aby informovali Agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry vždy , keď zažijú kybernetický útok alebo zaplatia výkupné, čím sa orgánom poskytne jasnejší obraz o kybernetických hrozbách. Očakáva sa, že požiadavky na podávanie správ začnú platiť v roku 2026 po zverejnení konečných pravidiel v roku 2025, čo organizáciám poskytne čas na vytvorenie vhodných mechanizmov podávania správ.

India zavádza rámec na ochranu údajov

India prijala významné kroky na zlepšenie ochrany údajov a súkromia prostredníctvom zákona o ochrane digitálnych osobných údajov. Pravidlá DPDP, ktoré prišli v rámci zákona o ochrane digitálnych osobných údajov v roku 2023, predstavujú pre Indiu významný pokrok v oblasti kybernetickej bezpečnosti. Tento právny predpis nariaďuje vymenovanie úradníka pre ochranu údajov pre organizácie, ktoré narábajú s osobnými údajmi. Šéfovia pre informačnú bezpečnosť budú musieť úzko spolupracovať s úradníkmi pre ochranu údajov, aby zosúladili stratégie kybernetickej bezpečnosti s požiadavkami na ochranu údajov a vytvorili jednotný prístup k informačnej bezpečnosti a ochrane osobných údajov.

Strategická príprava na dodržiavanie právnych predpisov

Hlavní riaditelia pre bezpečnosť informácií a hlavní riaditelia pre bezpečnosť informácií musia prijať proaktívny prístup k riešeniu širokého rozsahu požiadaviek na dodržiavanie právnych predpisov v roku 2025. Vedúci pracovníci v oblasti bezpečnosti môžu pomôcť svojim organizáciám udržať si náskok pred výzvami v oblasti dodržiavania predpisov tým, že si budú udržiavať prístup k najnovším postupom v oblasti kybernetickej bezpečnosti na základe zmien v regulačných rámcoch. To si vyžaduje neustále monitorovanie vývoja regulácií a pochopenie toho, ako nové požiadavky ovplyvňujú existujúce bezpečnostné programy.

Pochopenie organizačných dôsledkov regulačných rámcov si vyžaduje úzku spoluprácu s internými zamestnancami viacerých oddelení. Právne, compliance, finančné a prevádzkové tímy musia spolupracovať, aby zabezpečili komplexné pochopenie regulačných požiadaviek a ich praktickú implementáciu. Okrem toho spolupráca s externými konzultantmi alebo právnymi poradcami pre regulačné poradenstvo poskytuje cenné odborné znalosti pri orientácii v zložitom prostredí dodržiavania predpisov.

Komunikácia predstavuje kritickú zložku pripravenosti na reguláciu. Informovanie tímov a zainteresovaných strán o účinkoch regulačných zmien zabezpečuje, že každý chápe svoje úlohy a povinnosti pri udržiavaní súladu s predpismi. To zahŕňa pravidelné školenia, aktualizovanú dokumentáciu a jasné postupy eskalácie problémov súvisiacich s dodržiavaním predpisov.

Pochopenie aktuálnej pozície podniku je nevyhnutné pre efektívne riadenie dodržiavania predpisov. Organizácie musia vykonávať dôkladné hodnotenia s cieľom identifikovať medzery medzi súčasnými bezpečnostnými postupmi a regulačnými požiadavkami. Tieto hodnotenia poskytujú základ pre vypracovanie komplexných plánov na dosiahnutie súladu s predpismi, ktoré stanovujú priority iniciatív na základe posúdenia rizík, dostupnosti zdrojov a regulačných termínov.

Vedúci pracovníci v oblasti bezpečnosti môžu pomôcť svojim organizáciám udržať si náskok pred výzvami súvisiacimi s dodržiavaním predpisov tým, že budú mať prístup k najnovším postupom v oblasti kybernetickej bezpečnosti a zabezpečia, aby boli antivírusové riešenia správne nasadené a aktualizované v súlade s regulačnými rámcami.

Vedúci pracovníci v oblasti bezpečnosti by tiež mali vytvoriť rámce na priebežné monitorovanie dodržiavania predpisov namiesto toho, aby dodržiavanie predpisov považovali za jednorazový projekt. Mechanizmy priebežného hodnotenia pomáhajú organizáciám identifikovať vznikajúce nedostatky v oblasti dodržiavania predpisov skôr, ako sa stanú kritickými problémami, čo umožňuje proaktívnu nápravu namiesto reaktívneho krízového riadenia.

Regulačné prostredie sa bude naďalej vyvíjať s tým, ako budú kybernetické hrozby napredovať a vlády reagovať aktualizovanými rámcami. Organizácie, ktoré investujú do flexibilných, adaptívnych programov dodržiavania predpisov, si vytvoria pozíciu, ktorá im umožní efektívnejšie sa orientovať v budúcich regulačných zmenách, než tie, ktoré si zachovávajú rigidné, minimalistické prístupy zamerané výlučne na súčasné požiadavky. Budovanie schopností dodržiavania predpisov nad rámec okamžitých mandátov vytvára odolnosť voči budúcej regulačnej expanzii a zároveň posilňuje celkovú bezpečnostnú pozíciu.

Zdroj: https://www.cyberdefensemagazine.com/cybersecurity-is-now-a-regulatory-minefield-what-cisos-must-know-in-2025