Priprema tvrtke za nadolazeće propise o kibernetičkoj sigurnosti i privatnosti 2025. godine

Istraživanje tvrtke Canon otkrilo je da voditelji IT-a dosljedno ocjenjuju sigurnost informacija kao jednu od tri najizazovnije i vremenski najzahtjevnije odgovornosti tijekom posljednjih pet godina.

Zapravo, sigurnost informacija (33 %) ocijenjena je kao izazov broj jedan, a odmah nakon nje slijedi održavanje sukladnosti (25 %). Stoga, sigurnost informacija i dalje predstavlja velik problem, jer regulatorne obveze i tehnološka složenost nastavljaju rasti.

Broj propisa je u porastu, a EU i nacionalne vlade jačaju i proširuju opseg sigurnosnih direktiva kako bi se povećala sigurnost informacija. To je popraćeno većim brojem industrija koje postaju obuhvaćene zakonodavstvom, kao i jačanjem mjera izvješćivanja i sigurnosti kako nove inicijative stupaju na snagu.

Ova će se „revolucija propisa” nastaviti, zahtijevajući od vas da gledate i planirate znatno unaprijed te da se suočite s uzbudljivim izazovima. Neki zahtijevaju hitnu pozornost, kao što je DORA koja je stupila na snagu početkom 2025. godine, te obvezuju na testiranje i praćenje otpornosti, što utječe na tvrtke, kao i njihove klijente. Dok će drugi, kao što je Akt o kibernetičkoj otpornosti (Cyber Resilience Act) koji bi trebao stupiti na snagu 2026. godine i zatim ući u punu primjenu 2027. godine, osigurati da sukladnost ostane prioritet u nadolazećim godinama.

NIS2 (Network and Information System 2) također je ključni dio ove promjene. Osmišljen za jačanje kibernetičke otpornosti diljem EU-a, NIS2 proširuje opseg svojeg prethodnika (NIS) uvođenjem strožih obveza upravljanja rizikom i izvješćivanja o incidentima, kao i pojačanog regulatornog nadzora.

Kako biste odgovorili na postojeće izazove i prilagodili se budućem okruženju sigurnosti informacija koje se razvija, ključna je suradnja s partnerom koji ima stručnost i rješenja za poslovanje spremno za budućnost. Tvrtke se mogu pripremiti za nove i nadolazeće propise, izbjegavajući potencijalno skupe promjene operacija kako se približavaju rokovi za implementaciju, tako da uzmu u obzir sljedeća razmatranja i poduzmu proaktivan pristup sigurnosti informacija.

Tvrtke moraju jasno razumjeti zakone koji se odnose na njihovo poslovanje, industriju i lokalnu regiju, a to se može postići savjetovanjem s relevantnim pravnim timovima ili stručnjacima u tom području. Na taj će način organizacije bolje razumjeti implikacije i širi utjecaj na njihovo poslovanje.

Ključna je i provedba postupka za kontinuirano praćenje novih zakonskih i regulatornih trendova. Time se može upravljati preko namjenskog internog tima ili se može unajmiti stručni dobavljač, što organizacijama omogućuje predviđanje budućih zahtjeva i proaktivnu prilagodbu.

Kako bi se kretali promjenjivim regulatornim okruženjem, sigurnosni timovi možda će se morati proširiti – zapošljavanjem ili osposobljavanjem osoblja specijaliziranog za sigurnosnu sukladnost, tumačenje zakona i uvođenje sigurnosnih kontrola. To može utjecati na resurse, zapošljavanje osoblja i budžete, ovisno o potrebnoj razini prilagodbe.

IT timovi također moraju prilagoditi i uspostaviti jasne procese za izvješćivanje o ranjivosti, primjenu zakrpa, reagiranje na incidente i obavješćivanje o neovlaštenom pristupu podacima, kako to zahtijeva NIS2. Ti su procesi ključni te ih treba redovito dokumentirati i pregledavati kako bi se osigurala sukladnost. Kada je to potrebno, organizacije će možda morati uložiti u dodatni softver i šire tehnologije koje podržavaju te procese.

Dobavljači možda jesu izvan vaše organizacije, ali njihovi procesi i sukladnost izvješćivanja i dalje mogu imati izravan utjecaj na organizaciju. Važno je surađivati s dobavljačima, razumjeti njihove sigurnosne prakse i provoditi revizije koje će vam pomoći da se usklade s vašim standardima sukladnosti.

Iako neki sigurnosni incidenti mogu imati značajan utjecaj na vaše poslovanje, važno je da zaposlenici komuniciraju o rizicima koje otkriju te da se potiče kultura otvorenog prijavljivanja. Poticanje internog izvješćivanja vašoj će organizaciji omogućiti da uči na pogreškama i da se uspostave novi procesi, bez straha od odmazde.

Novi i nadolazeći propisi pozitivna su sila za potrošače i sigurnosnu industriju u cjelini te će na kraju dovesti do sigurnijeg i transparentnijeg digitalnog okruženja za tvrtke. Iako može postojati kratkoročni trošak, dugoročne koristi prilagodbe i prihvaćanja proaktivnog pristupa propisima daleko su veće od izazova.