Die 10 größten Compliance-Momente des Jahres 2023: Unsere Wahl für ein bahnbrechendes Jahr

Von Phil Muncaster • 13 December 2023

In den letzten 12 Monaten gab es für die britischen Cybersicherheits- und Compliance-Experten viel zu tun. Von lang erwarteten Branchenvorschriften bis hin zu neuen Datenaustauschvereinbarungen und bahnbrechenden Gesetzesvorschlägen war 2023 in vielerlei Hinsicht ein herausragendes Jahr. In den Compliance-Programmen wird es in den kommenden 12 Monaten viel zu tun geben. Hier ist unsere Auswahl der zehn wichtigsten neuen Regeln, Vorschriften und Gesetze, die es zu berücksichtigen gilt:

1.NIS 2 und sein britisches Äquivalent

Eine zweite Version der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) trat im Januar 2023 in Kraft, und die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, sie in lokales Recht umzusetzen. Ziel ist es, den Anwendungsbereich der Richtlinie auf mittlere und große Unternehmen in weiteren Sektoren wie Telekommunikation, soziale Medien, Abwasser und Lebensmittel auszuweiten. Außerdem wird es höhere Bußgelder, Mindestgrundanforderungen und einen stärkeren Fokus auf die Reaktion auf Vorfälle, die Rechenschaftspflicht der Direktoren und die Sicherheit der Lieferkette geben. Alle britischen „Betreiber wesentlicher Dienste“ (OES), die in der EU tätig sind, müssen sich daran halten. Und in der Zwischenzeit bereite Großbritannien eine eigene Aktualisierung des Regimes vor, erklärte er hier.

Sehen Sie sich diesen NIS 2-Compliance-Leitfaden an.

2.Der Digital Operational Resilience Act (DORA)

Unternehmen des Finanzsektors und ihre IKT-Technologiepartner, die in Europa tätig sind, haben bis zum 17. Januar 2025 Zeit, dieses neue EU-Gesetz einzuhalten. Grünes Licht, im Januar 2023 wird DORA konforme Unternehmen dazu zwingen, Lücken in ihrer betrieblichen Widerstandsfähigkeit angesichts zunehmender Cyber-Bedrohungen zu schließen. Es umfasst Risikomanagement, Vorfallberichterstattung, standardisierte Resilienztests, Informationsaustausch und Risikomanagement Dritter. Organisationen, die bereits die ISO 27001-Zertifizierung erhalten haben – oder deren Leitprinzipien des proaktiven Risikomanagements und der kontinuierlichen Verbesserung der betrieblichen Belastbarkeit befolgen – sind gut aufgestellt, um die Anforderungen zu erfüllen.

Schauen Sie sich diese 15-Punkte-DORA-Compliance-Checkliste an.

3. Datenschutz- und digitale Informationsgesetz (DPDI)

Gepriesen als Versuch des Vereinigten Königreichs, eine eigene Post-Brexit-Version des zu produzieren DatenschutzDer DPDI-Gesetzentwurf ist ein Versuch, das Datenschutzrecht unternehmensfreundlicher zu gestalten, ohne den Angemessenheitsstatus des Vereinigten Königreichs zu beeinträchtigen. Zu den wichtigsten Änderungen gehört, dass nur Organisationen, die sich mit der Datenverarbeitung mit „hohem Risiko“ befassen, Aufzeichnungen führen müssen, was möglicherweise den Papieraufwand einsparen kann. Es gibt auch Klarstellungen dazu, wann Organisationen Daten verarbeiten dürfen, ohne dass eine Einwilligung erforderlich ist. Allerdings gibt es Bedenken hinsichtlich britischer Unternehmen mit EU-Geschäften. Entweder müssen sie ihr DSGVO-Compliance-Framework so beibehalten, wie es ist, und können die erklärten Vorteile des DPDI nicht nutzen, oder sie müssen zwei parallele Frameworks betreiben, was mehr Arbeit bedeutet. Fachberater kann helfen, indem es diese Bemühungen über ein einziges Portal zentralisiert.

4. Neue SEC-Regeln

Die Securities and Exchange Commission (SEC) stellte vor neue Sicherheitsoffenlegungspflichten im Jahr 2023, was sich auch auf britische Unternehmen auswirken wird. Insbesondere kann jedes britische Unternehmen, das Dienstleistungen (insbesondere im Datenbereich) für börsennotierte US-Unternehmen erbringt, mit einer stärkeren Prüfung durch diese Organisationen rechnen. Von US-Firmen wird erwartet, dass sie innerhalb von vier Tagen jeden Cybervorfall bei einem Dienstleister melden, der „wesentliche Auswirkungen“ auf ihr Geschäft hat. Daher wird die Hürde für die Offenlegung und Planung von Vorfallreaktionen sowie für die Reaktion auf die laufende Due-Diligence-Prüfung durch US-Partner viel höher sein. Eine ISMS- und ISO 27001- oder SOC 2-Konformität könnte Unternehmen dabei helfen, ihren US-Partnern diese Zusicherungen zu geben.

5. EU-US-Datenschutzrahmen (DPF)

Dieser Rahmen wurde im Juli 2023 von der Europäischen Kommission gebilligt und stellt im Wesentlichen eine Angemessenheitsentscheidung sicher, die einen ungehinderten Datenfluss aus dem Block in die USA ermöglicht. Zertifiziert werden und eine kontinuierliche Compliance nachweisen müssen, müssen US-Organisationen spezifische Datenschutzprozesse in ihr Unternehmen einbetten, einschließlich Zweckbindung, Datenminimierung, Datenaufbewahrung und -weitergabe.

6.Datenbrückenabkommen zwischen Großbritannien und den USA

Dabei handelt es sich um eine im September angekündigte Erweiterung des DPF zwischen der EU und den USA, die darauf abzielt, kostspielige Vertragsklauseln für britische Unternehmen, die personenbezogene Daten an US-Dienstleister übermitteln, zu eliminieren und andere Hindernisse für den Datenfluss zwischen den beiden Ländern zu minimieren. Britische Firmen können nun die Regeln für internationale Datenübermittlungen einhalten, ohne dass eine zusätzliche Risikobewertung ihrer US-Partner erforderlich ist. Die neue Datenbrücke wird nahezu identisch mit dem EU-US-DPF funktionieren und wird es auch sein verfügbar ab 12. Oktober 2023.

7.Cyber Resilience Act (CRA)

Die CRA der EU befindet sich zum Zeitpunkt des Schreibens noch in der finalen Fassung. Ihr übergeordnetes Ziel besteht jedoch darin, Verbraucher und Unternehmen zu schützen, indem sie strenge Cybersicherheitsanforderungen auferlegt, „die die Planung, das Design, die Entwicklung und die Wartung“ von Technologieprodukten regeln; und Bereitstellung eines neuen CE-Kennzeichens für Drachen, um die Transparenz zu erhöhen. Hersteller, Importeure und Händler von Produkten mit einer „digitalen Komponente“, die als risikoreich gelten, müssen sich voraussichtlich einer Konformitätsbewertung durch Dritte im Hinblick auf die neuen Sicherheitsanforderungen unterziehen. Für kleinere Unternehmen könnte die Belastung jedoch höher sein Experten behaupten Unternehmen, die die DSGVO bereits mit strengen Sicherheitskontrollen, Richtlinien und Verfahren einhalten, sollten feststellen, dass die Einhaltung mit begrenzten Anpassungen erreichbar ist.

8. EU-KI-Gesetz

Die Gesetzgebung wird derzeit fertiggestellt und soll darauf abzielen, den durch KI verursachten gesellschaftlichen Schaden zu verringern. Es wird einen risikobasierten Ansatz verfolgen und KI-Modelle nach „inakzeptablem“, „hohem“, „begrenztem“ und „minimalem“ Risiko klassifizieren. Diejenigen, die als besonders gefährdet eingestuft werden, müssen strenge Kriterien wie Risikobewertungen und Risikominderungssysteme, Protokollierung von Aktivitäten, detaillierte Dokumentation, angemessene menschliche Aufsicht sowie ein hohes Maß an Robustheit und Sicherheit erfüllen, um konform zu sein. Anschließend wird das Modell in der EU-Datenbank registriert und erhält ein CE-Zeichen. Britische Unternehmen, die in die EU verkaufen, müssen entweder zwei separate Compliance-Rahmenwerke anwenden oder sich an das EU-Recht halten. Organisationen können beginnen Wir arbeiten jetzt daran, die Verfahren zur Datenschutz-Folgenabschätzung anzupassen, um sie auf die neue Regelung vorzubereiten.

9.NIST Cybersecurity Framework 2.0

Das CSF 2.0 ist die erste bedeutende Aktualisierung dieses Best-Practice-Rahmenwerks seit seiner Einführung im Jahr 2014. Es wird eine neue „Govern“-Säulenabdeckung einführen;

Organisatorischer Kontext
Risikomanagement-Strategie
Supply Chain Risikomanagement
Rollen, Verantwortlichkeiten und Befugnisse
Richtlinien, Prozesse und Verfahren; und Aufsicht.

Und es wird weitere Implementierungsbeispiele geben, die Organisationen dabei helfen, die CSF-Theorie in die Praxis umzusetzen. Experten glauben Ein Informationssicherheitsmanagementsystem (ISMS) könnte hilfreich sein, indem es Beispiele für die Verwendung des CSF 2.0-Referenztools skizziert und ein Verständnis dafür vermittelt, wie reale Implementierungen aussehen.

10.PCI DSS 4.0

Obwohl PCI DSS 4.0 tatsächlich im März 2022 genehmigt wurde, war es dieses Jahr ein regelmäßiges Diskussionsthema, da der zweijährige Countdown bis zur Umsetzungsfrist am 31. März 2025 begonnen hat. Während frühere Versionen des Frameworks Vorschriften enthielten, also Firewalls einsetzten und Antivirenkontrollen anwendeten, zielt PCI DSS 4.0 darauf ab, Sicherheit als kontinuierlichen Prozess zu fördern. Zu den Änderungen gehören die Anforderung von Anti-Malware anstelle von Antivirenprogrammen und die Einführung einer Multi-Faktor-Authentifizierung für den Zugriff auf die Karteninhaberdatenumgebung. Es gibt auch Anforderungen, um die Risiken des digitalen Skimmings zu mindern und durch die Führung eines Softwarebestands, einschließlich Bibliotheken und Komponenten, zur Minimierung des Lieferkettenrisikos beizutragen. Wie immer müssen Unternehmen, die große Kartenvolumina verarbeiten, eine externe Prüfung durchführen.

Sehen Sie sich unseren Leitfaden zum Erreichen der PCI-DSS V4-Konformität neben ISO 27001 an.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster