היה הרבה כדי להעסיק את אנשי אבטחת הסייבר והתאימות בבריטניה במהלך 12 החודשים האחרונים. החל מתקנות תעשייה המיוחלות להסכמי שיתוף נתונים חדשים והצעות חקיקה פורצות דרך, 2023 הייתה שנה בולטת בהרבה מישורים. יהיה הרבה מה לבנות בתוכניות ציות במהלך 12 החודשים הקרובים, אז הנה הבחירה שלנו מבין עשרת הכללים, התקנות והחוקים החדשים ביותר שיש לקחת בחשבון:
1. ש"ח 2 ושווה ערך בבריטניה
גרסה שנייה של הוראת אבטחת הרשת והמידע (NIS) של האיחוד האירופי נכנסה לתוקף בינואר 2023, ולמדינות החברות יש עד 17 באוקטובר 2024 להטמיע אותה לחוק המקומי. היא מבקשת להרחיב את היקף ההוראה לחברות בגודל בינוני וגדול במגזרים נוספים כמו טלקום, מדיה חברתית, שפכים ומזון. יהיו גם קנסות כבדים יותר, דרישות בסיס מינימליות והתמקדות משמעותית יותר בתגובה לאירועים, אחריות מנהלים ואבטחת שרשרת האספקה. כל "מפעילי השירותים החיוניים" (OES) בבריטניה הפועלים באיחוד האירופי יצטרכו לעמוד בדרישות. ובינתיים, בריטניה מכינה עדכון משלה למשטר, הסביר כאן.
עיין במדריך התאימות הזה של 2 שקלים.
2. חוק החוסן התפעולי הדיגיטלי (DORA)
לחברות במגזר הפיננסי ולשותפי טכנולוגיית ה-ICT שלהן הפועלים באירופה יהיה עד 17 בינואר 2025 לעמוד בחוק החדש של האיחוד האירופי. Greenlit, בינואר 2023, DORA תאלץ חברות מצייתות לסתום פערים בחוסן התפעולי שלהן מול איומי הסייבר המתגברים. זה מכסה ניהול סיכונים, דיווח על אירועים, בדיקות חוסן סטנדרטיות, שיתוף מודיעין וניהול סיכונים של צד שלישי. ארגונים שכבר השיגו את הסמכת ISO 27001 - או פועלים לפי העקרונות המנחים שלו של ניהול סיכונים יזום ושיפור מתמיד של החוסן התפעולי - יהיו במקומות טובים לעמוד בדרישות.
עיין ברשימת 15 הנקודות הזו לתאימות של DORA.
3. חוק הגנת נתונים ומידע דיגיטלי (DPDI)
הוכתר כניסיון של בריטניה לייצר גרסה משלה לאחר הברקזיט של ה- GDPR, הצעת חוק DPDI היא ניסיון להפוך את חוק הגנת המידע לידידותי יותר לעסקים מבלי להשפיע על מצב ההלימה של בריטניה. בין השינויים בכותרת הוא שרק ארגונים העוסקים בעיבוד נתונים "בסיכון גבוה" חייבים לנהל רישומים, מה שעלול לקצץ בניירת. יש גם הבהרות לגבי מתי ארגונים יכולים לעבד נתונים ללא צורך בהסכמה. עם זאת, יש חששות עבור חברות בבריטניה עם פעילות האיחוד האירופי. הם יצטרכו לשמור על מסגרת התאימות ל-GDPR כפי שהיא ולא יוכלו לנצל את היתרונות המוצהרים של ה-DPDI או להפעיל שתי מסגרות מקבילות, מה שאומר יותר עבודה. יועצים מומחים יכול לעזור על ידי ריכוז מאמצים אלה באמצעות פורטל אחד.
4. כללי SEC חדשים
הרשות לניירות ערך (SEC) הציגה דרישות גילוי אבטחה חדשות בשנת 2023, מה שישפיע גם על חברות בבריטניה. באופן ספציפי, כל חברה בבריטניה המספקת שירותים (במיוחד הקשורים לנתונים) לחברות בארה"ב רשומות יכולה לצפות לעוד בדיקה מצד ארגונים אלה. חברות אמריקאיות צפויות לחשוף תוך ארבעה ימים כל תקרית סייבר אצל ספק שירות שיש לה "השפעה מהותית" על העסק שלהן. לפיכך, יהיה רף גבוה בהרבה לגילוי תגובה לאירועים ולתכנון ותגובה לבדיקת נאותות מתמשכת מצד שותפים אמריקאים. תאימות ל-ISMS ו-ISO 27001 או SOC 2 יכולה לעזור לחברות לספק הבטחות אלה לשותפיהן בארה"ב.
5. EU-US Data Privacy Framework (DPF)
מסגרת זו אושרה על ידי הנציבות האירופית ביולי 2023, מה שמבטיח בעצם החלטת הלימה שמשמעותה שהנתונים יכולים לזרום מהגוש לארה"ב באין מפריע. כדי להיות מוסמך ולהפגין ציות מתמשך, ארגונים בארה"ב חייבים להטמיע תהליכי הגנת נתונים ספציפיים בעסק שלהם, כולל הגבלת מטרה, מזעור נתונים, שמירת נתונים ושיתוף.
6.הסכם גשר נתונים בריטניה-ארה"ב
הוכרז בספטמבר, מדובר בהרחבה ל-EU-US DPF שנועדה לבטל סעיפי חוזים יקרים עבור עסקים בבריטניה המעבירים נתונים אישיים לספקי שירות בארה"ב ולמזער חסמים אחרים לזרימת נתונים בין שתי המדינות. חברות בבריטניה יוכלו כעת לציית לכללים בנושא העברת נתונים בינלאומיים מבלי לדרוש הערכת סיכונים נוספת של שותפיהן בארה"ב. גשר הנתונים החדש יעבוד בצורה כמעט זהה ל-EU-US DPF ויהיה זמין מ-12 באוקטובר 2023.
7. Cyber Resilience Act (CRA)
ה-CRA של האיחוד האירופי עדיין נמצא בפיתוח סופי בזמן כתיבת שורות אלו. אך מטרתו ברמה הגבוהה היא להגן על צרכנים ועסקים על ידי: הטלת סט קפדני של דרישות אבטחת סייבר "המסדירות את התכנון, העיצוב, הפיתוח והתחזוקה" של מוצרים טכנולוגיים; ומתן סימון עפיפון CE חדש כדי להגביר את השקיפות. יצרנים, יבואנים ומפיצים של מוצרים עם "רכיב דיגיטלי" הנחשב בסיכון גבוה יצטרכו ככל הנראה לעבור הערכות התאמה של צד שלישי מול דרישות האבטחה החדשות. הנטל עשוי להיות מכביד יותר עבור עסקים קטנים יותר, אם כי טוענים מומחים ארגונים שכבר מצייתים ל-GDPR עם בקרות אבטחה, מדיניות ונהלים חזקים צריכים למצוא תאימות בר השגה עם התאמה מוגבלת.
8.EU AI Act
בשלב זה, החקיקה תבחן לצמצם את הנזק החברתי הנובע מבינה מלאכותית. היא תנקוט בגישה מבוססת סיכונים, ותסווג מודלים של AI לפי סיכון "לא מקובל", "גבוה", "מוגבל" ו"מינימלי". אלו הנחשבים לסיכון גבוה יצטרכו לעמוד בקריטריונים מחמירים כגון הערכות סיכונים ומערכות הפחתה, רישום פעילות, תיעוד מפורט, פיקוח אנושי מתאים ורמות גבוהות של חוסן ואבטחה על מנת לעמוד בהתאמה. לאחר מכן, הדגם יירשם במסד הנתונים של האיחוד האירופי ויקבל סימון CE. ארגונים בבריטניה המוכרים לאיחוד האירופי יעמדו בפני הפעלת שתי מסגרות ציות נפרדות או עמידה בחוק האיחוד האירופי. ארגונים יכולים להתחיל העבודה כעת על-ידי התאמת תהליכי הערכת ההשפעה של הגנת מידע לקראת המשטר החדש.
9.NIST Cybersecurity Framework 2.0
ה-CSF 2.0 הוא הרענון המשמעותי הראשון במסגרת שיטות עבודה מומלצות זו מאז הקמתו ב-2014. הוא יציג כיסוי עמודי "ממשל" חדש;
- הקשר ארגוני
- אסטרטגיית ניהול סיכונים
- ניהול סיכונים בשרשרת האספקה
- תפקידים, אחריות וסמכויות
- מדיניות, תהליכים ונהלים; ופיקוח.
ויהיו עוד דוגמאות יישום שיעזרו לארגונים להפוך את תיאוריית ה-CSF לפועל. מומחים מאמינים מערכת ניהול אבטחת מידע (ISMS) יכולה לעזור על ידי תיאור דוגמאות לשימוש בכלי העזר של CSF 2.0 ומתן הבנה כיצד נראים יישומים בעולם האמיתי.
10.PCI DSS 4.0
למרות ש-PCI DSS 4.0 אושר למעשה במרץ 2022, זה היה נושא קבוע לדיון השנה כאשר הספירה לאחור של שנתיים עד למועד האחרון ליישום ב-31 במרץ 2025, החלה. בעוד שגרסאות קודמות של המסגרת היו מחייבות - כלומר, חומות אש שנפרסו ובקרות אנטי-וירוס מיושמות - PCI DSS 4.0 שואפת לקדם אבטחה כתהליך מתמשך. בין השינויים נכללים דרישה לאנטי-תוכנה זדונית ולא אנטי-וירוס ופריסה של אימות רב-גורמי כדי לגשת לסביבת הנתונים של בעל הכרטיס. ישנן גם דרישות להפחתת סיכוני רפרוף דיגיטלי ולעזור למזער את הסיכון בשרשרת האספקה על ידי שמירה על מלאי תוכנה, כולל ספריות ורכיבים. כמו תמיד, אותם עסקים המעבדים נפחי כרטיסים גדולים יידרשו לבצע ביקורת חיצונית.
