Ein Jahr in Compliance: Fünf Lektionen aus dem Jahr 2023

Ein Jahr in Compliance: Fünf Lehren aus dem Jahr 2023

Von Phil Muncaster • 6 December 2023

Sicherheits- und Compliance-Verantwortliche beendeten das Jahr 2023 so, wie sie es begonnen hatten, überwältigt von der Menge und Komplexität neuer Regeln und Vorschriften. Einige gelten nur für bestimmte Arten von Organisationen. Andere lassen sich möglicherweise nur schwer vermeiden. Aber alles zusammen ergibt ein makroökonomisches Bild von mehr Arbeit, insbesondere für britische Firmen mit Niederlassungen und/oder Partnern in Europa und den USA.

Welche fünf Erkenntnisse sollten Sie also für das voraussichtlich erneut arbeitsreiche Jahr im Hinterkopf behalten? Hier sind unsere wichtigsten Erkenntnisse aus dem Jahr 2023:

1. Britische Unternehmen sehen möglicherweise keine „Brexit-Dividende“

In mehreren Fällen wurden in diesem Jahr neue Gesetze im Vereinigten Königreich verabschiedet, die versprechen, einen Teil der „Bürokratie“ abzubauen, die Brexit-Befürworter als Hauptgrund für den Austritt aus der Union bezeichnen. Einer ist der Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI), von dem die Regierung behauptet, dass es britischen Unternehmen dabei helfen wird, Milliarden einzusparen. Diese britische Version des Datenschutz enthält verschiedene Klarstellungen und Ausnahmen, die das Gesetz unternehmensfreundlicher machen könnten, etwa die Sicherstellung, dass nur Organisationen, die Datenverarbeitung mit „hohem Risiko“ durchführen, Aufzeichnungen führen müssen. Allerdings müssen britische Unternehmen mit Niederlassungen in der EU entweder an ihrem bestehenden DSGVO-Compliance-Rahmen festhalten – was die Regierung zulässt – und daher diese Vorteile nicht nutzen können, oder sie müssen die Last auf sich nehmen, zwei Compliance-Regime nebeneinander zu betreiben.

Der zweite Netzwerk- und Informationssystemvorschriften (NIS 2) wird einige Unternehmen in ein ähnliches Dilemma bringen, angesichts der Großbritannien divergiert nächstes Jahr aus dem Regime. Die Tatsache, dass die Mitgliedstaaten Ersteres bis zum 17. Oktober 2024 umsetzen müssen, während die Gesetzgebungspläne des Vereinigten Königreichs unklar bleiben, könnte zu erhöhten Kosten für Compliance-Teams führen.

Diese Fälle erinnern uns an die Notwendigkeit, mit Compliance-Spezialisten zusammenzuarbeiten, die in der Lage sind, unterschiedliche Aktivitäten für unter Druck stehende Teams zu zentralisieren und zu rationalisieren.

2. Die Einhaltung der ISO 27001 ist eine hervorragende Grundlage für Unternehmen

Das ganze Jahr über haben wir in schwindelerregendem Tempo neue Regulierungs- und Gesetzesvorschläge gesehen. Aber die gute Nachricht ist, dass Unternehmen mit einem robusten Best-Practice-Sicherheitsrahmen bereits einen Großteil der schweren Arbeit für viele dieser neuen Regeln erledigt haben. Das trifft auf jeden Fall auf die EU zu Digital Operational Resilienz Gesetz (DORA), NIS 2-Richtlinie und Cyber-Resilienz-Gesetz (CRA), die für Finanzdienstleistungsunternehmen, Betreiber wesentlicher Dienste bzw. Hersteller von Produkten mit digitalen Komponenten gelten. Es wird auch beim britischen DPDI helfen, das die DSGVO ersetzen soll. Und wie ISMS.online das ganze Jahr über berichtete, können Best-Practice-Frameworks dazu beitragen, das Risiko zu mindern Deepfakes, Bedrohungen der Lieferkette und mehr.

Das behauptet ein aktueller Gartner-Bericht ISO 27001 und NIST (Nationales Institut für Standards und Technologie) bieten die Governance-Strenge, Prozesse und Struktur, die erforderlich sind, um den Erfolg von Informationssicherheit und Risikomanagement voranzutreiben, unabhängig von Größe, Branche oder Sicherheits-/Risikomanagementkompetenz. Doch es wurde auch gefunden dass 41 % der Kunden noch kein Framework ausgewählt oder einen eigenen Ad-hoc-Ansatz entwickelt hatten – was zu Kontrolllücken, Ressourcenverschwendung und überlasteten Sicherheitsteams führen könnte.

3. Was im Ausland passiert, ist im Inland von Bedeutung

Sicherheits- und Compliance-Teams können nicht im luftleeren Raum leben, insbesondere wenn ihre Organisation Niederlassungen im Ausland hat oder Partnerschaften mit ausländischen Unternehmen unterhält. Aus den USA kommen neue SEC-Vorschriften zur Offenlegung von Verstößen/Vorfällen, die sich auf Dienstanbieter auswirken, unabhängig davon, wo sie ansässig sind. In dieser Situation wird es von britischen Unternehmen verlangen, möglicherweise ihre Anstrengungen bei der Reaktion auf Vorfälle und anderen Elementen der Sicherheitslage zu verstärken. Dann gibt es noch DORA, NIS 2, die CRA und die EU-KI-Gesetz, was sich allesamt auf Unternehmen auswirken wird, die in den Block verkaufen.

Einige Regeln müssen noch finalisiert werden, aber Unternehmen, die sich auf diesen Märkten einen Vorteil verschaffen wollen, sollten gut informiert und angemessen vorbereitet sein und mit Spezialisten zusammenarbeiten, die dazu beitragen können, dass die Einhaltung von Vorschriften ein Wegbereiter und kein Hindernis darstellt.

4. Es liegt noch viel Luft nach oben

Compliance-Teams sehnen sich nach Gewissheit. Aber die Schaffung und Verabschiedung neuer Gesetze und Vorschriften kann ein chaotischer und langwieriger Prozess sein. Ende 2023 haben wir also immer noch kein bestätigtes Datum, an dem die DPDI- oder UKI-NIS-Updates in Kraft treten könnten. Und Teile einiger vorgeschlagener EU-Gesetze haben sich als äußerst kontrovers erwiesen und könnten ihre Verabschiedung verzögern. Das EU-KI-Gesetz geriet kürzlich in Schwierigkeiten, als Aktivisten hervorgehoben eine gefährliche neue Lücke, die nach der Verabschiedung des Gesetzes im Parlament eingeführt wurde. Dies würde es Entwicklern effektiv ermöglichen, selbst zu entscheiden, ob ihr KI-Modell ein „hohes Risiko“ darstellt oder nicht. In der Zwischenzeit hat die CRA auch erheblichen Widerstand gegen ihre Behandlung von Open-Source-Entwicklern und ihre potenziell negativen Auswirkungen auf die Offenlegung von Sicherheitslücken erlebt.

In Großbritannien, vorgeschlagene Aktualisierungen des Investigatory Powers Act (IPA) wurden auch heftig dafür kritisiert, dass sie die digitale Wirtschaft untergraben und Technologieanbieter möglicherweise aus dem Land verdrängen. Das alles bedeutet, dass es noch viel zu entscheiden gibt. Aber kluge Compliance-Teams werden prüfen, was sich in der kommenden Gesetzgebung wahrscheinlich nicht ändern wird, und im Voraus herausfinden, was sie erreichen können.

5. Nächstes Jahr gibt es noch viel mehr

Auch wenn das Jahr 2023 arbeitsreich war, ist für Sicherheits- und Compliance-Experten im nächsten Jahr keine Verlangsamung in Sicht. Denn der Countdown läuft noch bis zur Umsetzung mehrerer wichtiger neuer Vorschriften, während die Einzelheiten zu anderen noch von den zuständigen Behörden geklärt werden müssen. Daher werden wir sehen, dass Organisationen weiterhin ihr Haus für PCI DSS 4.0 in Ordnung bringen, wenn es im März 2025 offiziell eingeführt wird, sowie für NIS 2 (17. Oktober 2024). Die CRA, DORA, DPDI und der EU AI Act sowie die NIS-Updates des Vereinigten Königreichs sollten alle im nächsten Jahr fertiggestellt werden. Außerdem wird im Vereinigten Königreich der April 2024 die Einhaltungsfrist für den Product Security and Telecoms Infrastructure (PSTI) Act sein, der dies tun wird Impact-Hersteller von smarten (IoT) Produkten.

Wenn das neue Jahr ernsthaft beginnt, sollten Unternehmen nach Möglichkeit versuchen, Ineffizienzen und Silos zu beseitigen, Compliance stärker in den Betrieb zu integrieren und sich mit den richtigen automatisierten Tools auszurüsten, um die Belastung der Teams zu verringern.

Nutzen Sie Ihren Compliance-Vorteil im Jahr 2024

Wenn Sie Ihre Reise zu besserer Compliance beginnen möchten, können wir Ihnen helfen.

Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für Compliance und Informationsmanagement mit ISO 27001, SOC 2, NIST und über 100 weiteren Frameworks. Erkennen Sie noch heute Ihren Wettbewerbsvorteil.

Sprechen Sie mit einem Experten

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster