Säkerhets- och efterlevnadsledare avslutade 2023 när de började det, överväldigade av volymen och komplexiteten hos nya regler och förordningar. Vissa kommer endast att gälla specifika typer av organisationer. Andra kan vara svåra att undvika. Men det hela ger en makrobild av mer arbete, särskilt för brittiska företag med verksamhet och/eller partners i Europa och USA.
Så, vilka fem takeaways kan vara bra att ha i åtanke för vad som sannolikt kommer att bli ännu ett hektiskt år framför dig? Här är våra bästa lärdomar från 2023:
1. Brittiska företag kanske inte ser en "Brexit-utdelning"
I flera fall i år växte nya brittiska lagar fram som lovar att ångra en del av "byråkratin", som Brexit-förespråkarna hävdar var en viktig orsak till att lämna blocket. Den ena är Lagförslaget om dataskydd och digital information (DPDI), som regeringen hävdar kommer att hjälpa till att rädda brittiska företag miljarder. Denna brittiska version av GDPR innehåller olika förtydliganden och avvikelser som skulle kunna göra lagen mer företagsvänlig, till exempel att säkerställa att endast organisationer som ägnar sig åt "högrisk" databehandling behöver föra register. Men brittiska företag med EU-verksamhet måste antingen hålla fast vid sitt befintliga GDPR-efterlevnadsramverk – vilket regeringen kommer att tillåta – och därför misslyckas med att dra nytta av dessa fördelar eller axla bördan av att driva två efterlevnadssystem sida vid sida.
Den andra Nätverks- och informationssystemförordningar (NIS 2) kommer att sätta vissa företag i en liknande dilemma, med tanke på Storbritannien divergerar från regimen nästa år. Det faktum att medlemsländerna måste implementera det förra senast den 17 oktober 2024, medan Storbritanniens lagstiftningsplaner förblir oklara, kan leda till ökade kostnader för efterlevnadsteam.
Dessa fall påminner oss om behovet av att samarbeta med efterlevnadsspecialister som kan centralisera och effektivisera olika aktiviteter för undertrycksteam.
2. Efterlevnad av ISO 27001 är en bra grund för företag
Vi har sett nya regleringar och lagförslag i en svindlande takt under hela året. Men den goda nyheten är att med en robust säkerhetsram för bästa praxis kommer organisationer redan att ha gjort mycket av det tunga arbetet för många av dessa nya regler. Det är definitivt sant för EU Digital Operational Resilience Act (DORA), NIS 2-direktivet och Cyberresilience Act (CRA), som gäller finansiella tjänsteföretag, operatörer av väsentliga tjänster respektive tillverkare av produkter med digitala komponenter. Det kommer också att hjälpa till med Storbritanniens DPDI, som är tänkt att ersätta GDPR. Och som ISMS.online rapporterade under hela året, kan ramverk för bästa praxis hjälpa till att minska risken för deepfakes, hot i leveranskedjan och mycket mer.
En färsk Gartner-rapport hävdade det ISO 27001 och NIST (National Institute of Standards and Technology) erbjuda den styrning, processer och struktur som krävs för att driva framgång för informationssäkerhet och riskhantering oavsett storlek, branschvertikal eller säkerhets-/riskhanteringskompetens. Ändå hittade den också att 41 % av kunderna ännu inte hade valt ramverk eller hade utvecklat sin egen ad hoc-metod – vilket kan leda till kontrollluckor, slöseri med resurser och överbelastade säkerhetsteam.
3. Vad som händer utomlands spelar roll hemma
Säkerhets- och efterlevnadsteam kan inte leva i ett vakuum, särskilt om deras organisation har verksamhet utomlands eller partnerskap med utländska enheter. Från USA kommer nya SEC-regler om avslöjande av intrång/incidenter att påverka tjänsteleverantörer var de än är baserade. Det kommer att kräva att brittiska företag i denna situation potentiellt höjer sitt spel på incidentrespons och andra delar av säkerhetsställning. Sedan finns det DORA, NIS 2, CRA och EU:s AI-lag, vilket alla kommer att påverka organisationer som säljer in i blocket.
Vissa regler är ännu inte färdigställda, men företag som hoppas få en fördel på dessa marknader kommer att vilja vara väl informerade, adekvat förberedda och samarbeta med specialister som kan hjälpa till att göra efterlevnad en möjliggörande snarare än en vägspärr.
4. Det finns fortfarande massor i luften
Efterlevnadsteam längtar efter säkerhet. Men skapandet och antagandet av nya lagar och förordningar kan vara en rörig och utdragen process. Så i slutet av 2023 har vi fortfarande inget bekräftat datum när DPDI- eller UKI NIS-uppdateringarna kan bli lag. Och delar av vissa föreslagna EU-lagar har visat sig vara mycket kontroversiella, vilket kan försena deras godkännande. EU AI Act fick nyligen problem när kampanjer framhävde ett farligt nytt kryphål som infördes efter att lagstiftningen antogs i riksdagen. Det skulle effektivt göra det möjligt för utvecklare att själva bestämma om deras AI-modell är "högrisk" eller inte. Samtidigt har CRA också sett betydande tillbakadragande av sin behandling av utvecklare med öppen källkod och dess potentiellt negativa inverkan på avslöjandet av sårbarheter.
I UK, föreslagna uppdateringar av lagen om utredningsbefogenheter (IPA) har också kritiserats hårt för att undergräva den digitala ekonomin och potentiellt tvinga teknikleverantörer ut ur landet. Allt detta betyder att det finns mycket kvar att besluta om. Men smarta efterlevnadsteam kommer att titta på vad som sannolikt inte kommer att förändras i kommande lagstiftning och räkna ut vad de kan åstadkomma i förväg.
5. Det finns mycket mer att komma nästa år
Det kan ha varit ett hektiskt 2023, men det finns ingen avmattning i sikte för säkerhets- och efterlevnadsproffs nästa år. Det beror på att nedräkningen fortsätter till implementeringen av flera viktiga nya förordningar, medan detaljerna om andra ska slutföras av de relevanta myndigheterna. Således kommer vi att se organisationer fortsätta att få ordning på sitt hus för PCI DSS 4.0 när det officiellt landar i mars 2025, samt NIS 2 (17 oktober 2024). CRA, DORA, DPDI och EU AI Act bör alla slutföras nästa år, liksom Storbritanniens NIS-uppdateringar. I Storbritannien kommer april 2024 också att vara deadline för efterlevnad av PSTI-lagen (Product Security and Telecoms Infrastructure), som kommer att effekttillverkare av smarta (IoT) produkter.
När det nya året börjar på allvar bör organisationer leta där det är möjligt för att eliminera ineffektivitet och silos, integrera efterlevnad mer fullständigt i verksamheten och beväpna sig med rätt uppsättning av automatiserade verktyg för att minska belastningen på teamen.
Lås upp din efterlevnadsfördel 2024
Om du vill börja din resa mot bättre efterlevnad kan vi hjälpa dig.
Vår ISMS-lösning möjliggör ett enkelt, säkert och hållbart förhållningssätt till efterlevnad och informationshantering med ISO 27001, SOC 2, NIST och över 100 andra ramverk. Förverkliga din konkurrensfördel idag.
