Förbered verksamheten för 2025 års nya cybersäkerhets- och sekretessregler

Canons forskning har visat att IT-ansvariga konsekvent betraktat informationssäkerhet som ett av de tre mest utmanande och tidskrävande ansvarsområdena under de senaste fem åren.

Faktum är att informationssäkerhet (33 %) betraktats som den främsta utmaningen, följt av att upprätthålla efterlevnaden (25 %). Därför är informationssäkerheten fortfarande en viktig fråga när regulatoriska skyldigheter och den tekniska komplexiteten fortsätter att öka.

Reglerna är på uppgång, både från EU och nationella regeringar, och säkerhetsdirektiven för omfattning utökas för att stärka informationssäkerheten. Detta har lett till att ett antal branscher som omfattas av lagstiftningen växer och det ger starkare rapportering och säkerhetsåtgärder när nya initiativ träder i kraft.

Den här ”regelrevolutionen” ser ut att fortsätta, vilket gör att du måste titta och planera i förväg och samtidigt klara av spännande utmaningar. Vissa kräver brådskande åtgärder, till exempel DORA som trädde i kraft i början av 2025 och som medförde krav på test och övervakning av motståndskraften – något som påverkar både företagen och kunderna. Andra, till exempel Cyber Resilience Act som träder i kraft 2026 och sedan uppnår full effekt 2027, kommer att säkerställa att efterlevnaden förblir en prioritet i många år framöver.

NIS2 (Network and Information System 2) är också en viktig del av skiftet. NIS2 är utformat för att stärka cybermotståndskraften inom EU och utökar föregångarens (NIS) omfattning genom att införa strängare skyldigheter vad gäller riskhantering och incidentrapportering samt förbättrad tillsyn över regelverk.

För att möta dagens utmaningar och anpassa sig till morgondagens föränderliga informationssäkerhetslandskap är det viktigt att samarbeta med en partner som sitter på expertis och lösningar för att framtidssäkra din verksamhet. Företagen kan förbereda sig för nya och framväxande regelverk och undvika potentiellt kostsamma ändringar av verksamheten när tidsramen för implementering närmar sig genom att vidta följande åtgärder och anta en proaktiv strategi för informationssäkerhet.

Företagen måste ha en tydlig förståelse för lagstiftningen som gäller för deras verksamhet, bransch och lokala region och detta kan uppnås genom att konsultera relevanta juridiska team eller experter inom det här området. Genom att göra det får organisationerna en bättre förståelse för konsekvenserna och en bredare inverkan på deras verksamhet.

Det är även viktigt att implementera en process för kontinuerlig övervakning av kommande lagstiftning och regeltrender. Detta kan hanteras via ett dedikerat internt team eller utkontrakteras till en expertleverantör, vilket gör det möjligt för organisationerna att förutse framtida behov och proaktivt anpassa sig.

För att kunna navigera i det föränderliga regellandskapet kan säkerhetsteamen även behöva expandera – antingen genom att anställa eller utbilda personal som specialiserar sig på säkerhetsefterlevnad, att tolka lagstiftning och implementera säkerhetskontroller. Detta kan påverka resurser, personal och budgetar, beroende på vilken anpassningsnivå som krävs.

IT-teamen måste även anpassa och upprätta tydliga processer för sårbarhetsrapportering, korrigering, incidentåtgärder och meddelanden om dataintrång, enligt kraven i NIS2. Dessa processer är viktiga och bör dokumenteras och granskas regelbundet för att säkerställa efterlevnad. Där så krävs kan organisationerna även behöva investera i ytterligare programvara och bredare tekniker som stöder dessa processer.

Leverantörerna kan sitta utanför organisationen, men deras processer och rapporteringsefterlevnad kan fortfarande ha en direkt inverkan på din organisation. Det är viktigt att interagera med dina leverantörer, förstå deras säkerhetsrutiner och utföra granskningar som hjälper till att säkerställa att de överensstämmer med dina egna efterlevnadsstandarder.

Vissa säkerhetsincidenter kan ha en betydande inverkan på din verksamhet, men det är viktigt att de anställda kommunicerar riskerna som de upptäcker och att en kultur av öppen rapportering främjas. Genom att uppmuntra till intern rapportering kan din organisation lära sig av misstag och införa nya processer utan att man behöver oroa sig för eventuella repressalier.

Nya och framväxande regelverk är en positiv kraft för konsumenter och säkerhetsbranschen i sin helhet och i slutändan kommer det att leda till ett säkrare och mer transparent digitalt landskap för företagen. Även om det kan medföra en kortsiktig kostnad är de långsiktiga fördelarna med att anpassa sig till och anamma en proaktiv strategi för regelverken betydligt större än utmaningarna.