Forbered virksomheden på de nye reguleringer for cybersikkerhed og beskyttelse af personlige oplysninger i 2025

Canons undersøgelser viste, at IT-ledere gennem de seneste fem år konsekvent har vurderet informationssikkerhed som en af deres tre mest udfordrende og tidskrævende ansvarsområder.

Faktisk blev informationssikkerhed (33 %) vurderet som den største udfordring, tæt fulgt af compliance (25 %). Informationssikkerhed er derfor fortsat et presserende problem, da de lovgivningsmæssige forpligtelser og den teknologiske kompleksitet fortsat vokser.

Der er forordninger på vej, hvor EU og de nationale regeringer styrker og udvider sikkerhedsdirektivernes omfang for at styrke informationssikkerheden. Dette har gjort, at antallet af brancher, der falder ind under lovgivningen, udvides, og at der sker en styrkelse af rapporterings- og sikkerhedsforanstaltningerne, efterhånden som nye initiativer træder i kraft.

Denne "regelrevolution" vil fortsætte, hvilket kræver, at I holder øje og planlægger i god tid og kæmper med spændende udfordringer. Nogle kræver øjeblikkelig opmærksomhed, såsom DORA, der trådte i kraft i begyndelsen af 2025, og som kræver test af modstandskraft og overvågning, hvilket påvirker både virksomheder og deres kunder. Mens andre som Cyber Resilience Act, der træder i kraft i 2026 og derefter i fuld kraft i 2027, vil sikre, at compliance forbliver en prioritet i de kommende år.

NIS2 (netværks- og informationssystem 2) er også en vigtig del af skiftet. NIS2, der er udviklet til at styrke cybermodstandskraft i hele EU, udvider sin forgænger (NIS) ved at indføre strengere forpligtelser til risikostyring og rapportering af hændelser samt forbedret forskriftsmæssig overvågning.

For at imødekomme nutidens udfordringer og tilpasse sig fremtidens informationssikkerhedslandskab er det afgørende at arbejde sammen med en partner med ekspertise og løsninger til fremtidssikring af jeres drift. Virksomheden kan forberede sig på nye regler, og dem, der er på vej, og undgå potentielt bekostelige ændringer af deres aktiviteter, når implementeringsfrister nærmer sig, ved at tage følgende hensyn og tage en proaktiv tilgang til informationssikkerhed.

Virksomhederne skal have en klar forståelse af de lovgivninger, der gælder for deres virksomhed, branche og lokalområde, og dette kan opnås ved at rådføre sig med relevante juridiske teams eller eksperter på dette område. Ved at gøre dette vil organisationer have en bedre forståelse af konsekvenserne og en bredere indvirkning på deres virksomhed.

Det er også vigtigt at gennemføre en proces for løbende overvågning af ny lovgivning og reguleringstrends. Dette kan administreres gennem et dedikeret internt team eller outsources til en ekspertleverandør, så organisationer kan forudse fremtidige krav og proaktivt tilpasse sig.

For at kunne navigere i det stadigt voksende lovgivningsmæssige landskab kan sikkerhedsteams også være nødt til at udvide – enten ved at ansætte eller uddanne personale, der specialiserer sig i sikkerhedscompliance, fortolkning af lovgivning og implementering af sikkerhedskontrol. Dette kan have indflydelse på ressourcer, personale og budgetter, afhængigt af den nødvendige tilpasning.

IT-teams skal også tilpasse og etablere klare processer for rapportering af sårbarheder, programrettelser, hændelsesrespons og underretning om databrud, som krævet af NIS2. Disse processer er vigtige og skal dokumenteres og regelmæssigt gennemgås for at sikre compliance. Hvor det er nødvendigt, kan organisationer også være nødt til at investere i yderligere software og bredere teknologier, der understøtter disse processer.

Leverandører befinder sig muligvis uden for jeres organisation, men deres processer og rapporteringscompliance kan stadig have en direkte indvirkning på jeres organisation. Det er vigtigt at kommunikere med jeres leverandører, forstå deres sikkerhedspraksis og udføre revisioner, der kan hjælpe med at sikre, at de er i overensstemmelse med jeres egne standarder for compliance.

Selvom nogle sikkerhedshændelser kan have en betydelig indvirkning på jeres virksomhed, er det vigtigt, at medarbejderne kommunikerer de risici, de opdager, og at der skabes en kultur med åben rapportering. Ved at opfordre til intern rapportering får jeres organisation mulighed for at lære af fejl og for at få indført nye processer uden frygt for straf.

Nye forordninger er en positiv kraft for forbrugerne og for hele sikkerhedsindustrien, og i sidste ende vil det føre til et mere sikkert og gennemsigtigt digitalt landskab for virksomhederne. Selv om der kan være en kortsigtet omkostning, vejer de langsigtede fordele ved at tilpasse og omfavne en proaktiv tilgang til reguleringer langt tungere end udfordringerne.