Ein Jahr der Compliance: Fünf wichtige Trends ab 2024

Es war ein weiteres Jahr voller Vorfälle für Sicherheits- und Compliance-Teams. Geschüttelt von Ransomware-Angriffe, Lieferkette und Open Source Bedrohungen Infostealer, globale IT-Ausfälleund vieles mehr, viele kämpften darum, sich über Wasser zu halten. Da die technologische Innovation, insbesondere im Bereich der künstlichen Intelligenz (KI), rasant zunahm, hatten auch die Regulierungsbehörden ein arbeitsreiches Jahr. Da sich jedoch die gesetzlichen Auflagen häuften, Profis zugelassen dass viele neue Regeln zu schwer zu verstehen und ihre Umsetzung zu zeitaufwändig sei. 

Dies ist ein beunruhigender Trend, der sich angesichts des Fachkräftemangels wahrscheinlich fortsetzen wird. Aber es gibt Licht am Ende des Tunnels, wenn Sicherheitsteams einen Weg finden, ihre Compliance-Bemühungen durch Best-Practice-Standards wie ISO 27001 zu optimieren. Vor diesem Hintergrund sind dies die fünf Dinge, die wir aus dem Jahr 2024 gelernt haben. 

Australien nimmt die Cybersicherheit endlich ernst 

Es hat lange gedauert, aber Australien hat endlich sein erstes eigenständiges Gesetz zur Cybersicherheit bekommen. Der Cyber ​​Security Act, der zum Zeitpunkt des Schreibens noch im Parlament ist, ist ein ehrgeiziges neues Gesetz, das die Umsetzung von sieben Schlüsselinitiativen verspricht, die im neuen Gesetzentwurf der Regierung Albanese skizziert wurden. Cyber-Sicherheitsstrategie. Es wird unter anderem die Meldung von Ransomware-Zahlungen und neue Standards für intelligente Geräte vorschreiben sowie den Informationsaustausch mit den Behörden fördern. 

Experten sagen dass australische Organisationen den wahrscheinlichen neuen Anforderungen zuvorkommen können, indem sie ihre aktuellen Sicherheitspraktiken überprüfen, feststellen, wo es Lücken oder Verbesserungsbereiche gibt, und einer Security-by-Design-Mentalität folgen. In Down Under muss sich definitiv etwas ändern. Im zweiten Halbjahr 483 gab es 2023 Meldungen von Datenschutzverletzungen, 19 % mehr als im ersten Teil des Jahres, wobei die meisten (67 %) durch böswillige Angriffe verursacht wurden. 

Mit Inkrafttreten neuer Vorschriften drohen immer mehr KI-Bedrohungen 

Eine der wichtigsten Statistiken von ISMS.online Bericht zum Stand der Informationssicherheit 2024 ist, dass 30 % der Befragten Angriffe mit Deepfakes erlebten. Damit liegt es knapp hinter Social Engineering und Malware-Infektionen und ist ein Beweis für die erstaunliche Beschleunigung der technologischen Innovation im vergangenen Jahr. Wie immer haben die Regulierungsbehörden um die Wette versucht, dieser und anderen KI-Bedrohungen für Unternehmen, Verbraucher und die Gesellschaft entgegenzuwirken.  

Es überrascht nicht, dass die EU bei der Regulierung die Führung übernimmt mit ihrem KI-Gesetz, was sich auf britische Firmen auswirken wird, die auf dem Binnenmarkt verkaufen wollen. Es beschäftigt ein risikobasierter Ansatz KI-Systeme werden je nach ihrem potenziellen Schaden in vier Kategorien eingeteilt. Die Systeme in der Hochrisikokategorie erfordern den größten Arbeitsaufwand. Sie erfordern von den Organisationen eine gründliche Risikobewertung, die Implementierung menschlicher Kontrollmechanismen und Stellen Sie sicher, dass die KI-Systeme sicher, zuverlässig und transparent sind. In anderen Ländern, die Rahmenübereinkommen des Europarats über künstliche Intelligenz ist ein breit angelegtes, Konvention auf nationaler Ebene wurde entwickelt, um etwaige Rechtslücken zu schließen, die sich aus den raschen technologischen Fortschritten bei der KI ergeben. Es bleibt abzuwarten, ob es die gewünschte Wirkung hat.  

Die USA verfolgen einen weniger praxisorientierten Ansatz bei der Regulierung, was wahrscheinlich auch unter einer neuen Trump-Regierung so bleiben wird. Aber diese Regulierungslücke ist auf Landesebene besetzt werden. Organisationen sollten ISO 42001 als hilfreichen Leitfaden für den sicheren Einsatz von KI betrachten. Neue Leitlinien des NIST (über feindliche Bedrohungen) und dem NCSC (für die KI-Entwicklung) sollte auch hilfreich sein. 

IoT-Hersteller stehen unter intensiver Beobachtung 

Internet of Things (IoT)-Systeme halten Einzug in alle möglichen Bereiche, von Fitnessarmbändern bis hin zu intelligenten Fabriken. Sie stellen jedoch auch ein potenziell erhebliches Sicherheitsrisiko dar, da es für Hersteller bisher keine formellen Vorschriften gab, die Mindeststandards für bewährte Verfahren vorschreiben. Dies hat sich nun mit neuen Gesetzen auf britischer und EU-Ebene geändert. Großbritannien war mit seinen Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur (PSTI). Es schreibt für jedes Gerät eindeutige und sichere Passwörter vor und bietet den Herstellern Programme zur Offenlegung von Schwachstellen und zur Aktualisierung der Sicherheit, die über einen bestimmten Zeitraum laufen müssen.  

Obwohl es bescheiden ist, sollte es dazu beitragen, die IoT-Sicherheitsstandards im Verbraucherbereich zu verbessern und könnte mit der Zeit noch verbessert werden. Die EU Cyber-Resilience-Gesetz (CRA) ist weitaus ehrgeiziger und wird für alle Hersteller oder Einzelhändler verpflichtend sein, die IoT-Produkte für Verbraucher auf dem Kontinent verkaufen möchten. Es hat einen größeren Umfang und schreibt eine längere Liste von Sicherheitsanforderungen vor. Britische Firmen, die ein Auge auf Europa haben, sollten die Anforderungen des PSTI erfüllen, indem sie sich auf das CRA konzentrieren. 

Neue britische Gesetzgebung zur Cybersicherheit steht bevor 

In Großbritannien hat die neue Labour-Regierung in diesem Jahr keine Zeit verloren und neue Gesetze zur Cybersicherheit angekündigt, die die Widerstandsfähigkeit des Landes gegenüber sich entwickelnden Bedrohungen stärken sollen. Das wichtigste davon ist das Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit, das die NIS-Verordnung aktualisieren wird. Konkret wird es den Umfang des aktuellen NIS-Regimes erweitern, „um mehr digitale Dienste und Lieferketten zu schützen“, eine obligatorische Meldung von Ransomware einführen und den Regulierungsbehörden mehr Befugnisse übertragen – wobei unklar ist, wie genau. Die Regierung hat außerdem ein Gesetz über digitale Informationen und intelligente Daten angekündigt, das im Wesentlichen eine neue Version des vorgefertigten Gesetzes über Datenschutz und digitale Informationen ist und das britische DSGVO-Regime aktualisieren soll. Compliance-Teams werden alle neuen Informationen zu den vorgeschlagenen Gesetzen im nächsten Jahr genau verfolgen. 

Die letzten Monate der vorherigen Regierung hinterließen für die britischen Unternehmen ebenfalls viel Stoff zum Nachdenken, darunter ein vorgeschlagener neuer Verhaltenskodex für Cyber-Governance und neue Vorschriften Entwickelt, um die Sicherheitslage von Rechenzentren zu verbessern. 

Anbieter kritischer Infrastrukturen haben viel zu tun 

In der EU stellen zwei neue Gesetze strenge Anforderungen an die Anbieter kritischer Infrastrukturen. Die lang erwartete Frist für NIS 2-Implementierung im Oktober verabschiedet. Es wird eine große Zahl weiterer europäischer Organisationen in den Geltungsbereich einbeziehen, neue grundlegende Sicherheitsanforderungen vorschreiben und der oberen Führungsebene eine neue Haftungsebene für Vorfälle auferlegen. Auch hier müssen britische Unternehmen, die mit Europa Handel treiben, die Vorschriften einhalten. und sie können am besten Praxisstandards wie ISO 27001 unterstützen sie dabei. 

In der Zwischenzeit wird der Digital Operational Resilience Act (DORA) Anfang des neuen Jahres in Kraft treten: am 17. Januar 2025. Er schreibt auch strenge neue Regeln vor, diesmal für Finanzdienstleistungsunternehmen und ihre IT-Lieferanten. Auch hier gilt: ISO 27001 kann helfen durch die Etablierung der grundlegenden Prozesse, die zur Einhaltung der Anforderungen in Bereichen wie Vorfallreaktion, Risikomanagement, Lieferketten-Risikomanagement und Resilienztests erforderlich sind. 

Eine helfende Hand 

Da die Angriffsflächen von Unternehmen immer größer werden, Bedrohungsakteure immer aktiver werden und die Regulierungsbehörden immer anspruchsvoller werden, drohen Sicherheits- und Compliance-Teams mit der Arbeitsbelastung überfordert zu werden. Dies scheint besorgniserregende Auswirkungen zu haben. Die Hälfte (50 %) der britischen Unternehmen gibt an, in den letzten 12 Monaten irgendeine Form von Sicherheitsverletzung oder Angriff erlebt zu haben – bei mittleren Unternehmen sind es sogar 70 % und bei großen Unternehmen 74 %. Dies ist ein deutlicher Anstieg gegenüber den entsprechenden Zahlen von 32 %, 59 % und 69 % im Jahr 2023. 

Best-Practice-Standards und -Frameworks sind kein Allheilmittel. Sie können jedoch einen Großteil der Arbeit übernehmen, da viele der Anforderungen der oben genannten Gesetzgebung dieselben grundlegenden Ziele verfolgen. Der Schlüssel liegt darin, einen Anbieter zu finden, der in der Lage ist, diese Compliance-Belastung angesichts anhaltender Qualifikationslücken zu beschleunigen und zu rationalisieren. Glücklicherweise gibt es diese Tools.