מובילי אבטחה ותאימות סיימו את 2023 כשהם התחילו אותה, המומים מהנפח והמורכבות של חוקים ותקנות חדשים. חלקם יחולו רק על סוגים מסוימים של ארגונים. ייתכן שקשה להימנע מאחרים. אבל הכל מצטבר לתמונת מאקרו של עבודה נוספת, במיוחד עבור חברות בבריטניה עם פעילות ו/או שותפים באירופה ובארה"ב.
אז, אילו חמש מנות טייק אווי עשויות להיות מועילות לזכור לקראת מה שצפוי להיות עוד שנה עמוסה בפתח? להלן הלקחים המובילים שלנו משנת 2023:
1. ייתכן שחברות בבריטניה לא יראו 'דיבידנד ברקזיט'
במספר מקרים השנה, הופיעו חוקים חדשים בבריטניה המבטיחים לבטל חלק מה"סרטון האדום", שלטענת תומכי הברקזיט הייתה סיבה מרכזית לעזיבת הגוש. האחד הוא ה הצעת חוק הגנת מידע ומידע דיגיטלי (DPDI), שלטענת הממשלה תסייע לחסוך מיליארדים של חברות בבריטניה. גרסה זו בבריטניה של GDPR כולל הבהרות וסריקות שונות שיכולות להפוך את החוק לידידותי יותר לעסקים, כמו הבטחה שרק ארגונים העוסקים בעיבוד נתונים "בסיכון גבוה" צריכים לנהל רישומים. עם זאת, חברות בבריטניה עם פעילות באיחוד האירופי יצטרכו לדבוק במסגרת הציות ל-GDPR הקיימת שלהן - מה שהממשלה תאפשר - ולכן לא יצליחו לנצל את ההטבות הללו או לשאת בנטל של הפעלת שני משטרי ציות זה לצד זה.
2 תקנות רשת ומערכות מידע (2 שקלים) יעמיד כמה חברות בבעיה דומה, בהתחשב ב בריטניה מתפצלת מהמשטר בשנה הבאה. העובדה שהמדינות החברות חייבות ליישם את הראשון עד 17 באוקטובר 2024, בעוד שתוכניות החקיקה של בריטניה נותרו לא ברורות, עלולה להוביל לעלויות מוגברות עבור צוותי הציות.
מקרים אלו מזכירים לנו את הצורך בשיתוף פעולה עם מומחי ציות המסוגלים לרכז ולייעל פעילויות שונות עבור צוותי תחת לחץ.
2. תאימות ל-ISO 27001 היא בסיס מצוין לעסקים
ראינו הצעות רגולציה וחקיקה חדשות בקצב מסחרר לאורך כל השנה. אבל החדשות הטובות הן שעם מסגרת אבטחה חזקה של שיטות עבודה מומלצות, ארגונים כבר יעשו הרבה מהמשימות הכבדות עבור רבים מהכללים החדשים הללו. זה בהחלט נכון לגבי האיחוד האירופי חוק חוסן תפעולי דיגיטלי (DORA), הוראה 2 שקלים ו חוק חוסן סייבר (CRA), החלים על חברות שירותים פיננסיים, מפעילי שירותים חיוניים ויצרני מוצרים עם רכיבים דיגיטליים, בהתאמה. זה גם יעזור עם ה-DPDI של בריטניה, שאמור להחליף את ה-GDPR. וכפי שדיווח ISMS.online במהלך השנה, מסגרות שיטות עבודה מומלצות יכולות לעזור להפחית את הסיכון של deepfakes, איומי שרשרת האספקה ועוד.
דיווח אחרון של גרטנר טען זאת ISO 27001 ו NIST (המכון הלאומי לתקנים וטכנולוגיה) להציע את קפדנות הממשל, התהליכים והמבנה הנדרשים כדי להניע את אבטחת המידע וניהול סיכונים ללא קשר לגודל, אנכי בתעשייה או יכולת אבטחה/ניהול סיכונים. אבל זה גם מצא ש-41% מהלקוחות עדיין לא בחרו מסגרת או שפיתחו גישה אד-הוק משלהם - מה שעלול להוביל לפערי שליטה, לבזבוז משאבים ולצוותי אבטחה כבדים מדי.
3. מה שקורה בחו"ל חשוב בבית
צוותי אבטחה ותאימות לא יכולים לחיות בחלל ריק, במיוחד אם לארגון שלהם יש פעילות בחו"ל או שותפויות עם גורמים זרים. מארה"ב, חוקי ה-SEC החדשים בנושא חשיפת הפרות/אירועים ישפיעו על ספקי השירות בכל מקום שבו הם מבוססים. היא תדרוש מחברות בריטניה במצב זה להעלות את משחקן בפוטנציה לגבי תגובה לאירועים ואלמנטים אחרים של תנוחת אבטחה. ואז יש את DORA, 2 שקלים, ה-CRA וה- חוק AI של האיחוד האירופי, כל אלה ישפיעו על ארגונים המוכרים לגוש.
חלק מהכללים טרם נקבעו סופית, אך חברות שמקווות להשיג יתרון בשווקים אלה ירצו לקבל תדריך טוב, מוכנים כראוי ולשתף פעולה עם מומחים שיכולים לעזור להפוך את הציות למאפשר ולא לחסום דרכים.
4. עדיין יש הרבה באוויר
צוותי ציות משתוקקים לוודאות. אבל יצירה והעברת חוקים ותקנות חדשים יכולים להיות תהליך מבולגן וממושך. אז, בסוף 2023, עדיין אין לנו תאריך מאושר שבו עדכוני DPDI או UKI NIS עשויים להפוך לחוק. וחלקים מכמה חוקים מוצעים של האיחוד האירופי הוכחו שנויים במחלוקת מאוד, ועלולים לעכב את העברתם. חוק ה-AI של האיחוד האירופי נתקל לאחרונה בבעיה כאשר פעילי קמפיין מודגשים פרצה חדשה ומסוכנת שהוכנסה לאחר העברת החקיקה בפרלמנט. זה יאפשר למעשה למפתחים להחליט בעצמם אם מודל הבינה המלאכותית שלהם הוא "בסיכון גבוה" או לא. בינתיים, ה-CRA גם ראתה דחיקה משמעותית ביחס לטיפול במפתחי קוד פתוח והשפעתו השלילית על חשיפת הפגיעות.
בבריטניה, עדכונים מוצעים לחוק סמכויות החקירה (IPA) זכו גם לביקורת חריפה על ערעור הכלכלה הדיגיטלית ועלול לאלץ ספקי טכנולוגיה לצאת מהמדינה. כל זה אומר שיש עוד הרבה מה להחליט. אבל צוותי ציות חכמים יבדקו מה לא צפוי להשתנות בחקיקה הקרובה ויבחנו מה הם יכולים להשיג מבעוד מועד.
5. יש עוד הרבה מה לבוא בשנה הבאה
אולי זו הייתה שנת 2023 עמוסה, אבל אין האטה באופק עבור אנשי אבטחה ותאימות בשנה הבאה. הסיבה לכך היא שהספירה לאחור ממשיכה ליישום של כמה תקנות חדשות ומשמעותיות, בעוד שהפרטים על אחרות אמורים להסתיים על ידי הרשויות הרלוונטיות. לפיכך, נראה ארגונים ממשיכים לסדר את הבית שלהם עבור PCI DSS 4.0 כאשר הוא נוחת רשמית במרץ 2025, וכן 2 ש"ח (17 באוקטובר 2024). חוק ה-CRA, DORA, DPDI ו-EU AI אמורים להסתיים בשנה הבאה, כמו גם עדכוני ₪ של בריטניה. כמו כן, בבריטניה, אפריל 2024 יהיה המועד האחרון לעמידה בחוק אבטחת המוצר ותשתיות הטלקום (PSTI), אשר יהיה יצרני השפעה של מוצרים חכמים (IoT).
כשהשנה החדשה מתחילה ברצינות, ארגונים צריכים לחפש היכן שניתן לבטל חוסר יעילות וממגורות, לשלב את התאימות באופן מלא יותר בפעולות, ולהתחמש בסט הנכון של כלים אוטומטיים כדי להפחית את העומס על הצוותים.
גלה את יתרון התאימות שלך בשנת 2024
אם אתה מחפש להתחיל את המסע שלך להתאמה טובה יותר, אנחנו יכולים לעזור.
פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לתאימות וניהול מידע עם ISO 27001, SOC 2, NIST ולמעלה מ-100 מסגרות נוספות. הבינו את היתרון התחרותי שלכם עוד היום.
