Stiže nam novi val cyber regulacije
Nejasno je hoće li jaka regulatorna aktivnost, povezana s IT sigurnošću, poboljšati trenutno stanje stvari, ali potencijal za neželjene posljedice raste jer će se ionako oskudni resursi morati usmjeriti na usklađenost, a možda će se ukupna sigurnost i smanjiti.
Neće nedostajati preklapajućih certificiranja, a napor za usklađivanje organizacija sa različitim standardima izvješćivanja u EU, SAD-u, Australiji i drugdje će rasti. Posebno će biti komplicirano usklađivanje oko rokova prijave sigurnosnog incidenta - od 6 sati u Indiji, 72 sata u EU prema GDPR-u, ili četiri radna dana u SAD-u.
Mnogo je varijacija u svakoj zemlji budući da postoji mnogo propisa koji dolaze od različitih agencija.
Također, nije jasno definirano što je uopće cyber "incident" budući da svaki događaj može okinuti zahtjeve za prijavljivanje ovisno o jurisdikciji. Prema jednoj službenoj definiciji, prijavljuje se samo radnja koja "neposredno ugrožava" sustav ili predstavlja "neposrednu prijetnju" kršenja zakona. Ali što ako napadač pokuša izvesti napad, ali mu bude odbijeno jer nije pogodio lozinku? Je li svaki phishing napad incident? Ili napad uskraćivanjem usluge (DDoS)? Odgovora na ova pitanja nema, jer ni sami kreatori politike nisu sigurni u njih.
U nedavno objavljenom članku u Harvard Business Reviewu, Stuart Madnick s MIT-a navodi: "Zakonodavci se često bore s reguliranjem tehnologije - reagiraju na političku hitnost, a većina nema čvrsti uvid u tehnologiju koju žele kontrolirati. Posljedice, utjecaji i neizvjesnosti za tvrtke često se shvate tek kasnije." Kada je 2018. godine uveden GDPR, mnoge štetne nuspojave nisu uzete u obzir i smatra se da uredba i nije popravila stanje sigurnosti.
Ovo su neke od inicijativa koje se trenutno razmatraju ili donose:
u SAD-u, Savezna komisija za trgovinu, Uprava za hranu i lijekove, Odjel za promet, Odjel za energetiku i Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) rade na novim pravilima za različite industrijske vertikale, a poseban fokus im je kritična infrastruktura;
Samo u 2021. godini 36 američkih država donijelo je nove zakone o kibernetičkoj sigurnosti.
Tijekom 2022. EU je radila na ažuriranju svoje NIS Direktive iz 2016., koja pruža okvir državama članicama za reguliranje tehnoloških usluga i proizvoda koji se smatraju ključnima za njihovo gospodarstvo i funkcioniranje društva. Predloženi NIS2 uključuje revizije koje bi stvorile novu kategoriju kritične digitalne infrastrukture, povećale zahtjeve za izvješćivanje o kibernetičkim incidentima i nametnule dodatne zahtjeve za upravljanje rizikom kibernetičke sigurnosti.
EU je, također, predložila ažuriranje svog Zakona o digitalnoj operativnoj otpornosti (DORA), stvarajući nove zahtjeve za informacijske komunikacijske tehnologije koje se koriste u sektoru financijskih usluga.
Europska komisija predložila je Zakon o kibernetičkoj otpornosti, kojim bi se uspostavili zahtjevi kibernetičke sigurnosti za samostalni softver i povezane uređaje, te pomoćne usluge. Relevantne prakse za dobavljače softvera uključuju korištenje sigurnog životnog ciklusa razvoja softvera i pružanje popisa materijala za softver (tzv. SBOM).
Američki Kongres donio je zakon koji je ovlastio Agenciju za kibernetičku sigurnost i sigurnost infrastrukture (CISA) da izda propise kojima se zahtijeva prijavljivanje kibernetičkih incidenata od operatora kritične infrastrukture, a Američka administracija za sigurnost prometa (TSA) izdala je nove sektorske zahtjeve za kibernetičku sigurnost u sektoru transporta. Zahtjevi uključuju imenovanje regulatora kibernetičke sigurnosti i provedbu posebnih mjera za ublažavanje napada ransomwarea.
TSA je, također, izdao dvije dodatne sigurnosne direktive 2021. koje su proširile zahtjeve kibernetičke sigurnosti na teretne željezničke, putničke željezničke prijevoznike ili željezničke tranzitne sustave. Direktivama se, među ostalim, zahtijevalo da obuhvaćeni operateri imenuju koordinatora za kibersigurnost i prijave sigurnosne incidente u roku od 24 sata.
TSA je istovremeno najavio da je ažurirao svoje sigurnosne programe u zračnom prometu kako bi od operatora zračnih luka i zračnih prijevoznika zahtijevao imenovanje sigurnosnog koordinatora i prijavu incidenata unutar 24 sata.
U Ujedinjenom Kraljevstvu, nacrt zakona o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi zahtijevat će od proizvođača potrošačkih proizvoda koji se mogu povezati (kao što su pametni televizori), da prestanu koristiti zadane lozinke koje su laka meta kibernetičkih kriminalaca i da uspostave politiku otkrivanja ranjivosti.
U EU se novi sigurnosni standardi ili zahtjevi provode putem brojnih zakonodavnih instrumenata, uključujući delegirani akt za Direktivu o radijskoj opremi koja se odnosi na bežične uređaje i nastoji poboljšati otpornost mreže, zaštititi privatnost potrošača i smanjiti rizik od novčanih prijevara.
Agencija Europske unije za kibernetičku sigurnost (ENISA) razmatra shemu certifikacije kibernetičke sigurnosti za pružatelje usluga u oblaku.
Agencija Europske unije za sigurnost u zračnom prometu, poznata kao EASA, izdala je nove zahtjeve za kibernetičku sigurnost koji se odnose na lanac opskrbe u zrakoplovstvu, uključujući proizvođače zrakoplova i zrakoplovne tvrtke. Nova pravila kibernetičke sigurnosti zahtijevat će niz dobavljača u zrakoplovstvu za prepoznavanje i obranu od rizika hakiranja, radi sigurnosti letova. Jasno je da će nova pravila, koja stupaju na snagu 2025., dovesti do velikog povećanja radnog opterećenja.
Gore navedeno samo je podskup novih propisa koji su na snazi ili će se uskoro primijeniti. Jasno je da će se tvrtke morati snaći u složenijem regulatornom krajoliku, što implicira povećano opterećenje i veće troškove. Ono što nije jasno jest kako će ti često proturječni i nedosljedni propisi poboljšati IT sigurnost.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
