Det har funnits mycket för att hålla brittiska cybersäkerhets- och efterlevnadsproffs sysselsatta under de senaste 12 månaderna. Från efterlängtade branschregler till nya datadelningsavtal och banbrytande lagstiftningsförslag, 2023 har varit ett framstående år på många fronter. Det kommer att finnas mycket att bygga in i efterlevnadsprogram under de kommande 12 månaderna, så här är vårt urval av de tio största nya reglerna, förordningarna och lagarna att ta hänsyn till:
1.NIS 2 och dess motsvarighet i Storbritannien
En andra version av EU:s direktiv om nätverks- och informationssäkerhet (NIS) trädde i kraft i januari 2023 och medlemsländerna har fram till den 17 oktober 2024 på sig att införliva det i lokal lagstiftning. Det syftar till att bredda direktivets räckvidd till medelstora och stora företag inom ytterligare sektorer som telekom, sociala medier, avloppsvatten och livsmedel. Det kommer också att finnas tyngre böter, minimikrav på baslinjen och ett mer betydande fokus på incidentrespons, chefsansvar och säkerhet i försörjningskedjan. Alla brittiska "operatörer av väsentliga tjänster" (OES) som är verksamma i EU måste följa detta. Och under tiden förbereder Storbritannien sin egen uppdatering av regimen, förklarade här.
Kolla in den här NIS 2-överensstämmelseguiden.
2. The Digital Operational Resilience Act (DORA)
Företag inom finanssektorn och deras IKT-teknikpartner som är verksamma i Europa kommer att ha fram till den 17 januari 2025 på sig att följa denna nya EU-lag. Greenlit, i januari 2023 kommer DORA att tvinga företag som följer efterlevnaden att täppa till luckor i sin operativa motståndskraft inför tilltagande cyberhot. Det täcker riskhantering, incidentrapportering, standardiserad resilienstestning, intelligensdelning och tredje parts riskhantering. Organisationer som redan har uppnått ISO 27001-certifiering – eller följer dess vägledande principer för proaktiv riskhantering och kontinuerlig förbättring av operativ motståndskraft – kommer att ha goda förutsättningar att följa.
Kolla in den här DORA-checklistan med 15 punkter.
3. Dataskydd och Digital Information Bill (DPDI)
Hyllad som Storbritanniens försök att producera sin egen post-Brexit-version av GDPR, DPDI Bill är ett försök att göra dataskyddslagen mer företagsvänlig utan att påverka Storbritanniens tillräcklighetsstatus. Bland rubrikändringarna är att endast organisationer som är engagerade i "högrisk" databehandling måste föra register, vilket kan minska pappersarbetet. Det finns också förtydliganden om när organisationer kan behandla data utan att samtycke krävs. Det finns dock oro för brittiska företag med EU-verksamhet. De kommer antingen att behöva behålla sitt ramverk för efterlevnad av GDPR som det är och inte kunna dra nytta av DPDI:s angivna fördelar eller köra två parallella ramverk, vilket kommer att innebära mer arbete. Specialistrådgivare kan hjälpa till genom att centralisera dessa insatser via en enda portal.
4.Nya SEC-regler
Securities and Exchange Commission (SEC) infördes nya säkerhetskrav 2023, vilket också kommer att påverka brittiska företag. Specifikt kan alla brittiska företag som tillhandahåller tjänster (särskilt datarelaterade) till börsnoterade amerikanska företag förvänta sig mer granskning från dessa organisationer. Amerikanska företag förväntas inom fyra dagar avslöja alla cyberincidenter hos en tjänsteleverantör som har "en väsentlig inverkan" på deras verksamhet. Det kommer därför att finnas en mycket högre ribba för avslöjande av incidentrespons och planering och svar på pågående due diligence från amerikanska partners. En efterlevnad av ISMS och ISO 27001 eller SOC 2 kan hjälpa företag att tillhandahålla dessa garantier till sina amerikanska partners.
5. EU-US Data Privacy Framework (DPF)
Detta ramverk godkändes av Europeiska kommissionen i juli 2023, vilket i huvudsak säkerställer ett adekvat beslut som innebär att data kan flöda från blocket till USA obehindrat. Att bli certifierad och demonstrera fortlöpande efterlevnad, måste amerikanska organisationer integrera specifika dataskyddsprocesser i sin verksamhet, inklusive ändamålsbegränsning, dataminimering, datalagring och delning.
6. Data Bridge-avtal mellan Storbritannien och USA
Detta tillkännagavs i september och är en förlängning av EU-US DPF utformad för att eliminera kostsamma avtalsklausuler för brittiska företag som överför personuppgifter till amerikanska tjänsteleverantörer och minimera andra hinder för dataflödet mellan de två länderna. Brittiska företag kommer nu att kunna följa reglerna för internationella dataöverföringar utan att kräva extra riskbedömning av sina amerikanska partners. Den nya databryggan kommer att fungera på ett nästan identiskt sätt som EU-US DPF och kommer att vara det tillgänglig från 12 oktober 2023.
7. Cyber Resilience Act (CRA)
EU:s CRA håller fortfarande på att färdigställas i skrivande stund. Men dess mål på hög nivå är att skydda konsumenter och företag genom att: införa en strikt uppsättning cybersäkerhetskrav "som styr planering, design, utveckling och underhåll" av tekniska produkter; och tillhandahålla ett nytt CE-drakemärke för att öka transparensen. Tillverkare, importörer och distributörer av produkter med en "digital komponent" som anses vara högrisk kommer sannolikt att behöva genomgå tredjepartsöverensstämmelsebedömningar mot de nya säkerhetskraven. Men bördan kan bli mer betungande för mindre företag experter hävdar Organisationer som redan följer GDPR med robusta säkerhetskontroller, policyer och procedurer bör finna efterlevnad möjlig med begränsad justering.
8.EU AI Act
Lagstiftningen håller på att färdigställas och syftar till att minska samhälleliga skador som härrör från AI. Det kommer att ha ett riskbaserat tillvägagångssätt och klassificera AI-modeller enligt "oacceptabel", "hög", "begränsad" och "minimal" risk. De som anses vara högrisk kommer att behöva uppfylla strikta kriterier som riskbedömningar och begränsningssystem, loggning av aktivitet, detaljerad dokumentation, lämplig mänsklig tillsyn och höga nivåer av robusthet och säkerhet för att uppfylla kraven. Modellen kommer sedan att registreras i EU-databasen och CE-märkas. Brittiska organisationer som säljer till EU kommer att ställas inför två separata efterlevnadsramverk eller följa EU-lagstiftningen. Organisationer kan starta arbetet nu genom att anpassa processerna för konsekvensbedömningar av dataskydd inför den nya ordningen.
9.NIST Cybersecurity Framework 2.0
CSF 2.0 är den första betydande uppdateringen av detta ramverk för bästa praxis sedan starten 2014. Den kommer att introducera en ny "Govern"-pelare;
- Organisatoriskt sammanhang
- Riskhanteringsstrategi
- Riskhantering i leveranskedjan
- Roller, ansvar och befogenheter
- Policyer, processer och procedurer; och tillsyn.
Och det kommer att finnas fler implementeringsexempel för att hjälpa organisationer att omvandla CSF-teori till praktik. Experter tror ett informationssäkerhetshanteringssystem (ISMS) skulle kunna hjälpa till genom att beskriva exempel på hur man använder CSF 2.0 Reference Tool och ge en förståelse för hur verkliga implementeringar ser ut.
10.PCI DSS 4.0
Även om PCI DSS 4.0 faktiskt godkändes i mars 2022, har det varit ett regelbundet diskussionsämne i år eftersom den tvååriga nedräkningen till deadline för implementering den 31 mars 2025 har börjat. Medan tidigare versioner av ramverket var föreskrivande – dvs. utplacerade brandväggar och tillämpade antiviruskontroller – syftar PCI DSS 4.0 till att främja säkerhet som en kontinuerlig process. Bland ändringarna finns ett krav på anti-malware snarare än antivirus och distribution av multifaktorautentisering för att komma åt kortinnehavarens datamiljö. Det finns också krav för att minska risker för digital skumning och för att hjälpa till att minimera risken i leveranskedjan genom att upprätthålla ett programvarulager, inklusive bibliotek och komponenter. Som alltid kommer de företag som hanterar stora kortvolymer att behöva genomföra en extern revision.
Kolla in vår guide för att uppnå PCI-DSS V4-överensstämmelse tillsammans med ISO 27001.
