Nye og udvidede eksisterende EU-regulativer med fokus på informationssikkerhed
I løbet af de næste fem år vil en række nye EU-regulativer få stor indflydelse på din virksomhed, din branche og dit marked. Som svar på leverandørkædens kollaps under COVID, den kinesiske udfordring og ransomware-angrebene har EU sat sig for at lede transformationen fra cybersikkerhed til cyberresiliens. I denne proces udfordrer EU direkte den nuværende verdensorden, hvor amerikansk domineret big tech spiller en central rolle. Dette dokument sigter mod at fremhæve de forpligtelser og muligheder, dette skaber for dig.
Den første store ændring er allerede igang: NIS2
Dette direktiv om sikkerhed for netværks- og informationssystemer opstiller og udvider reglerne for leverandører af kritisk infrastruktur og deres forsyningskæder (herunder IT) i forhold til at rapportere sikkerhedshændelser, brud og sårbarheder samt samarbejde med regeringerne. På baggrund af de seneste erfaringer er definitionen af, hvad der betragtes som vital infrastruktur, blevet massivt udvidet. Det kræver, at alle organisationer inden for direktivets rammer har modne Incident Response-kapaciteter, der kan arbejde sammen med nationale og EU CSIRTs. Dette sikrer, at EU's cyberreaktionsorganisationer har indsigt i, hvad der foregår, og kan koordinere responsen. Med andre ord kan EU fortælle din virksomhed, hvad der har virket andre steder. Det er vigtigt at kontrollere, om din virksomhed er en del af den vitale infrastruktur.RCE (Resilience of Critical Entities) forpligter leverandører af kritisk infrastruktur til at have beviselig modstandsdygtighed over for alle former for trusler, inklusive cybersikkerhed. DORA udvider RCE til den finansielle sektor og dens forsyningskæder, især med fokus på den elektroniske og digitale karakter af betalingssystemer. RCE/DORA bør få dig til at gennemgå dine nuværende IT-kontrakter og vil sandsynligvis øge efterspørgslen efter sikkerhedsovervågning og managed respons.
CRA (Cyber Resilience Act) udvider "fællesskabet af produktstandarder" til cybersikkerhed. Leverandører forventes at selvcertificere deres produkter i henhold til EU's certificeringsstandarder (som endnu ikke er fuldt implementerede), vedligeholdt af ENISA (EU-agenturet for cybersikkerhed). Efter certificering gælder EU's produktansvar – hvis en leverandør ikke leverer som lovet, kan dokumenterede skader kræves erstattet af kunden via leverandøren. Leverandøren kan derefter holde producenten ansvarlig for skaderne, og dette ansvar er ikke begrænset til direkte skader alene. Forhandlere skal dække produktansvaret fra deres leverandører og bør overveje at validere, hvad de sælger videre.
Det bureaukratiske pres for at sikre forsyningskæder samt økonomisk skalering vil betyde, at kunderne vil reducere antallet af leverandører og underleverandører – hvilket er en direkte trussel mod små og mellemstore MSSP'er (Managed Security Service Providers). Der kan forventes en konsolidering, og for leverandørerne er det et spørgsmål om at vokse eller forsvinde.
Slutteligt bringer EU's ambition om at blive teknologisk autonom – hvilket i praksis betyder at være mindre afhængig af amerikansk big tech – både muligheder og trusler for cybersikkerheden på det europæiske marked. Dette emne, ofte omtalt som 'suverænitet', kræver din vedvarende opmærksomhed, da geopolitiske forhold er blevet en uundgåelig kraft inden for cybersikkerhed.
Vi støtter dig!
Vi har samlet alle de vigtige krav fra de hastigt udviklende EU-regulativer og de nødvendige tiltag, du skal tage, i det følgende whitepaper.
