Leiders op het gebied van beveiliging en compliance sloten 2023 af zoals ze het begonnen, overweldigd door de omvang en complexiteit van nieuwe regels en voorschriften. Sommige zullen alleen van toepassing zijn op specifieke soorten organisaties. Anderen zijn misschien moeilijk te vermijden. Maar het levert allemaal een macrobeeld op van meer werk, vooral voor Britse bedrijven met activiteiten en/of partners in Europa en de VS.
Welke vijf tips kunnen nuttig zijn om in gedachten te houden voor wat waarschijnlijk weer een druk jaar gaat worden? Dit zijn onze belangrijkste lessen die we uit 2023 hebben geleerd:
1. Britse bedrijven zien mogelijk geen ‘Brexit-dividend’
In verschillende gevallen kwamen dit jaar nieuwe Britse wetten naar voren die beloven een deel van de ‘administratieve rompslomp’ ongedaan te maken, die volgens Brexit-voorstanders een belangrijke reden was om het blok te verlaten. Eén is de Factuur voor gegevensbescherming en digitale informatie (DPDI), waarvan de regering beweert dat het Britse bedrijven miljarden zal helpen besparen. Deze Britse versie van de GDPR bevat verschillende verduidelijkingen en uitzonderingen die de wet bedrijfsvriendelijker zouden kunnen maken, zoals ervoor zorgen dat alleen organisaties die zich bezighouden met gegevensverwerking met een “hoog risico” gegevens moeten bijhouden. Britse bedrijven die in de EU actief zijn, zullen echter óf moeten vasthouden aan hun bestaande AVG-nalevingskader – wat de overheid zal toestaan – en daarom niet van deze voordelen kunnen profiteren, óf de last op zich moeten nemen van het naast elkaar hanteren van twee nalevingsregimes.
Het tweede Regelgeving netwerk- en informatiesystemen (NIS 2) zal sommige bedrijven in een soortgelijk dilemma plaatsen, gezien de Groot-Brittannië wijkt af van het regime volgend jaar. Het feit dat de lidstaten de eerste richtlijn uiterlijk op 17 oktober 2024 moeten implementeren, terwijl de Britse wetgevingsplannen onduidelijk blijven, zou tot hogere kosten voor complianceteams kunnen leiden.
Deze gevallen herinneren ons aan de noodzaak om samen te werken met compliance-specialisten die in staat zijn om uiteenlopende activiteiten voor teams die onder druk staan te centraliseren en te stroomlijnen.
2. Naleving van ISO 27001 is een uitstekende basis voor bedrijven
We hebben het hele jaar door in een duizelingwekkend tempo nieuwe regelgevings- en wetgevingsvoorstellen gezien. Maar het goede nieuws is dat organisaties met een robuust best practice-beveiligingsframework al een groot deel van het zware werk voor veel van deze nieuwe regels zullen hebben gedaan. Dat geldt zeker voor de EU Wet Digitale Operationele Weerbaarheid (DORA), NIS 2-richtlijn en Wet Cyberweerbaarheid (CRA), die van toepassing zijn op respectievelijk financiële dienstverleners, aanbieders van essentiële diensten en fabrikanten van producten met digitale componenten. Het zal ook helpen bij de Britse DPDI, die de AVG zal vervangen. En zoals ISMS.online het hele jaar door meldde, kunnen best practice raamwerken het risico helpen beperken deepfakes, bedreigingen voor de toeleveringsketen en meer.
Een recent Gartner-rapport beweerde dat ISO 27001 en NIST (Nationaal instituut voor normen en technologie) het bieden van de strengheid, processen en structuur op het gebied van bestuur die nodig zijn om het succes van informatiebeveiliging en risicobeheer te stimuleren, ongeacht de omvang, de verticale sector of de competentie op het gebied van beveiliging/risicobeheer. Toch ook gevonden dat 41% van de klanten nog geen raamwerk moest selecteren of hun eigen ad-hocaanpak had ontwikkeld – wat zou kunnen leiden tot controlelacunes, verspilling van middelen en overbelaste beveiligingsteams.
3. Wat er in het buitenland gebeurt, is thuis belangrijk
Beveiligings- en complianceteams kunnen niet in een vacuüm leven, vooral niet als hun organisatie activiteiten in het buitenland heeft of partnerschappen heeft met buitenlandse entiteiten. Vanuit de VS zullen de nieuwe SEC-regels inzake het openbaar maken van inbreuken/incidenten gevolgen hebben voor dienstverleners, waar ze ook gevestigd zijn. Het zal van Britse bedrijven in deze situatie eisen dat zij mogelijk hun inzet op het gebied van incidentrespons en andere elementen van de veiligheidshouding opvoeren. Dan zijn er DORA, NIS 2, de CRA en de EU AI-wet, die allemaal van invloed zullen zijn op organisaties die aan het blok verkopen.
Sommige regels moeten nog definitief worden vastgesteld, maar bedrijven die op deze markten een voordeel willen behalen, zullen goed geïnformeerd en adequaat voorbereid willen zijn en willen samenwerken met specialisten die kunnen helpen om van compliance een faciliterende factor te maken in plaats van een wegversperring.
4. Er hangt nog steeds genoeg in de lucht
Complianceteams snakken naar zekerheid. Maar het creëren en aannemen van nieuwe wet- en regelgeving kan een rommelig en langdurig proces zijn. Eind 2023 hebben we dus nog steeds geen bevestigde datum waarop de DPDI- of UKI NIS-updates wet kunnen worden. En delen van sommige voorgestelde EU-wetten zijn zeer controversieel gebleken, waardoor de invoering ervan mogelijk wordt vertraagd. De EU AI Act kwam onlangs in de problemen toen campagnevoerders benadrukt een gevaarlijke nieuwe maas in de wet die werd geïntroduceerd nadat de wetgeving door het parlement was aangenomen. Het zou ontwikkelaars feitelijk in staat stellen zelf te beslissen of hun AI-model ‘hoog risico’ is of niet. Ondertussen heeft de CRA ook aanzienlijke tegenstand gezien over de behandeling van open-sourceontwikkelaars en de potentieel negatieve impact ervan op de openbaarmaking van kwetsbaarheden.
In het Verenigd Koninkrijk, voorgestelde updates van de Investigatory Powers Act (IPA) zijn ook zwaar bekritiseerd vanwege het ondermijnen van de digitale economie en het mogelijk verdrijven van technologieaanbieders uit het land. Dit alles betekent dat er nog veel moet worden besloten. Maar slimme complianceteams zullen kijken naar wat er waarschijnlijk niet zal veranderen in de komende wetgeving en van tevoren uitwerken wat ze kunnen bereiken.
5. Er komt volgend jaar nog veel meer
Het mag dan een druk 2023 zijn geweest, volgend jaar is er voor beveiligings- en complianceprofessionals geen vertraging in zicht. Dat komt omdat het aftellen doorgaat naar de implementatie van een aantal belangrijke nieuwe regelgeving, terwijl de details van andere regelgeving nog moeten worden afgerond door de relevante autoriteiten. We zullen dus zien dat organisaties hun huis op orde blijven krijgen voor PCI DSS 4.0 wanneer deze officieel in maart 2025 uitkomt, evenals voor NIS 2 (17 oktober 2024). De CRA, DORA, DPDI en EU AI Act zouden volgend jaar allemaal afgerond moeten zijn, evenals de Britse NOS-updates. In Groot-Brittannië zal april 2024 ook de deadline zijn voor naleving van de Product Security and Telecoms Infrastructure (PSTI) Act, die impactfabrikanten van slimme (IoT) producten.
Nu het nieuwe jaar serieus begint, moeten organisaties waar mogelijk proberen inefficiënties en silo's te elimineren, compliance vollediger in de bedrijfsvoering te integreren en zichzelf te bewapenen met de juiste set geautomatiseerde tools om de last voor teams te verminderen.
Ontgrendel uw compliancevoordeel in 2024
Als u uw reis naar betere naleving wilt beginnen, kunnen wij u helpen.
Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame aanpak van compliance en informatiebeheer mogelijk met ISO 27001, SOC 2, NIST en meer dan 100 andere raamwerken. Realiseer vandaag nog uw concurrentievoordeel.
