Priprava vašega podjetja na prihajajoče predpise o kibernetski varnosti in zasebnosti za leto 2025

Canonova raziskava je pokazala, da vodstveni kadri na področju informacijske tehnologije varnost podatkov v zadnjih petih letih dosledno ocenjujejo kot eno od svojih glavnih treh najbolj zahtevnih in zamudnih obveznosti.

Dejansko je bila varnost informacij (33 %) ocenjena kot izziv številka ena, čemur je sledilo ohranjanje zagotavljanja skladnosti (25 %). Varnost informacij kot taka ostaja pereča skrb, saj se regulativne obveznosti in zapleteni tehnološki izzivi še povečujejo.

Predpisi so vse obsežnejši, EU in nacionalne vlade pa krepijo in širijo področje uporabe direktiv o varnosti, da bi okrepili varnost informacij. Ob uvedbi novih pobud se je povečalo število panog, ki spadajo na področje uporabe te zakonodaje, poleg tega pa so se okrepili tudi ukrepi za poročanje in varnost.

Ta trend uvajanja novih predpisov se bo nadaljeval, zato boste morali vnaprej dobro pogledati in načrtovati ter se soočiti z vznemirljivimi izzivi. Nekateri predpisi zahtevajo nujno pozornost, na primer uredba o digitalni operativni odpornosti DORA, ki je začela veljati v začetku leta 2025 ter predpisuje testiranje digitalne operativne odpornosti in spremljanje, kar vpliva na podjetja in njihove stranke. Drugi predpisi, kot je Akt EU o kibernetski odpornosti, ki bodo začeli veljati leta 2026 in bodo v celoti izvršljivi leta 2027, bodo zagotovili, da bo skladnost ostala prednostna naloga še mnogo let.

Ključni del teh sprememb je tudi direktiva NIS2 (omrežni in informacijski sistem 2). Direktiva NIS2 je bila zasnovana za krepitev kibernetske odpornosti v EU in širi področje predhodne direktive (NIS) z uvedbo strožjih obveznosti glede obvladovanja tveganja in poročanja o incidentih ter okrepljenega regulativnega nadzora.

Da bi se soočili z današnjimi izzivi in se prilagodili razvijajočemu se okolju informacijske varnosti v prihodnosti, je ključnega pomena sodelovanje s partnerjem s strokovnim znanjem in rešitvami, ki bo zagotovil, da bo vaše poslovanje pripravljeno na prihodnost. Medtem ko se približujejo roki za izvajanje zakonodaje, se podjetja lahko pripravijo na nove in prihodnje predpise ter se izognejo morebitnemu dragemu iskanju alternativnih dejavnosti, tako da upoštevajo naslednje vidike in sprejmejo proaktiven pristop k varnosti informacij.

Podjetja morajo jasno razumeti zakonodajo, ki velja za njihovo poslovanje, industrijo in lokalno regijo, kar je mogoče doseči s posvetovanjem z ustreznimi pravnimi skupinami ali strokovnjaki na tem področju. Organizacije bodo na ta način bolje razumele posledice in širši vpliv na njihovo poslovanje.

Ključnega pomena je tudi izvajanje stalnega spremljanja prihajajoče zakonodaje in regulativnih trendov. To lahko upravlja posebna notranja skupina ali zunanji strokovnjaki, kar bi organizacijam omogočilo, da predvidijo prihodnje zahteve in se proaktivno prilagodijo.

Za navigacijo po spreminjajočem se zakonodajnem okolju se bodo morda morale razširiti tudi varnostne ekipe, kar pomeni dodatno zaposlovanje ali usposabljanje osebja, ki bo specializirano za zagotavljanje skladnosti z varnostnimi predpisi, razlago zakonodaje in izvajanjem varnostnega nadzora. To lahko vpliva na sredstva, osebje in proračune, odvisno od potrebne prilagoditve.

Ekipe za informacijsko tehnologijo se morajo prilagoditi in vzpostaviti jasne postopke za poročanje o ranljivosti, posodabljanje sistemov, odzivanje na incidente in obveščanje o kršitvah podatkov v skladu z direktivo NIS2. Ti postopki so bistveni in jih je treba dokumentirati ter redno pregledovati, da se zagotovi skladnost. Po potrebi bodo organizacije morda morale vlagati tudi v dodatno programsko opremo in širši nabor tehnologij, ki podpirajo te postopke.

Ni nujno, da so vaši dobavitelji del vaše organizacije, vendar lahko njihovi postopki in poročanje o skladnosti še vedno neposredno vplivajo na vašo organizacijo. Pomembno je sodelovati z dobavitelji, razumeti njihove varnostne postopke in izvajati revizije, ki bodo pomagale zagotoviti, da so usklajeni z vašimi standardi skladnosti.

Čeprav lahko nekateri varnostni incidenti pomembno vplivajo na vaše poslovanje, je pomembno, da zaposleni sporočijo tveganja, ki jih odkrijejo, in da je vzpostavljena kultura odprtega poročanja. Spodbujanje notranjega poročanja bo vaši organizaciji omogočilo učenje iz napak in uvajanje novih postopkov brez strahu pred povračili.

Novi in prihodnji predpisi so pozitivna spodbuda za potrošnike in varnostno industrijo kot celoto in bodo na koncu vodili k varnejšemu in preglednejšemu digitalnemu okolju za podjetja. Kratkoročno to lahko pomeni dodatne stroške, vendar dolgoročne koristi prilagajanja in sprejemanja proaktivnega pristopa k zagotavljanju skladnosti s predpisi močno prevladajo nad izzivi.