Подготовка бизнеса к грядущим изменениям в комплаенсе по кибербезопасности и конфиденциальности данных за 2025 год

Исследование Canon показало, что ИТ-руководители стабильно считают информационную безопасность среди топ-3 самых сложных и времязатратных задач за последние 5 лет.

Более того, информационная безопасность (33%) стала, по их мнению, главной сложностью, а сразу за ней следует нормативное соответствие (25%). Можно сказать, что информационная безопасность остается для них одной из главных забот, в то время как список юридических обязательств и технологических изысканий становится все шире.

Законов и регламентов становится все больше — ЕС и отдельные страны усиливают и расширяют нормативный контроль за информационной безопасностью. Число отраслей, которые подпадают под новые законы, увеличилось, и в силу вступают новые меры и инициативы по отчетности и обеспечению безопасности.

Такая «нормативная революция» продолжится и в будущем, поэтому вам потребуется планировать ресурсы и стратегию заблаговременно, чтобы справиться с новыми вызовами. Некоторые из них уже сейчас требуют внимания, например регламент DORA, вступивший в силу в начале 2025 года, — он устанавливает правила тестирования и мониторинга отказоустойчивости в отношении как бизнеса, так и клиентов. Среди других документов следует выделить Акт ЕС о Кибербезопасности, который вступит в силу в 2026 году (полностью — в 2027 году) и обеспечит приоритетный статус нормативного соответствия на грядущие годы.

NIS2 (Network and Information System 2) также станет ключевой составляющей перемен. NIS2 предназначен для усиления кибербезопасности в странах ЕС и является расширенной версией предыдущего регламента (NIS) — он включает в себя более строгие обязательства по управлению рисками и отчетности об инцидентах, а также более четко прописанную нормативно-правовую базу.

Чтобы справиться с вызовами, которые стоят перед вами уже сейчас, и адаптироваться под требования к информационной безопасности будущего, очень важно совместно с партнером проработать процессы и решения, которые защитят ваши бизнес-операции. Организации могут подготовиться к новым и грядущим нормативным изменениям, чтобы избежать дорогостоящего изменения собственных бизнес-операций прямо перед вступлением новых документов в силу — для этого следует учитывать ряд факторов и проявить инициативу в отношении информационной безопасности.

Организациям следует четко понимать, какие нормативно-правовые акты относятся к ним, их отрасли и региону — для этого можно проконсультироваться с профильными юристами или отраслевыми экспертами. Таким образом в организациях будет достигнуто понимание причин и влияния новых требований на их бизнес.

Также ключевую роль играет внедрение процедуры мониторинга грядущих нормативных изменений и тенденций в этой отрасли. Для управления этими аспектами можно создать внутренний отдел или поручить работу стороннему поставщику через аутсорсинг — таким образом организации смогут предвосхищать новые требования и своевременно адаптироваться к ним.

Для успешной работы в условиях растущего нормативного давления потребуется в том числе расширить штат отдела безопасности — нанять или обучить персонал со специализацией в комплаенсе по безопасности, толковании юридических требований и внедрении средств защиты. Это может повлиять на ресурсы, штат и бюджетирование в зависимости от требуемого уровня адаптации.

ИТ-командам также придется адаптироваться и прописать четкие процедуры отчетности по уязвимостям, развертывания исправлений, реагирования на инциденты и уведомления об утечке данных, как указано в NIS2. Эти процедуры попросту необходимы, и их следует документировать и регулярно пересматривать для должного нормативного соответствия. Если необходимо, организации также могут инвестировать в покупку дополнительного ПО и широкого спектра технологий, поддерживающих внедряемые процессы.

Несмотря на то, что поставщики не относятся к структурным формированиям вашей организации, нормативное соответствие их процессов и отчетности все еще может напрямую влиять на ваш бизнес. Очень важно взаимодействовать с поставщиками и понимать их методы обеспечения безопасности, а также проведения аудита, чтобы их работа соответствовала вашим собственным стандартам комплаенса.

Некоторые инциденты безопасности могут значительно влиять на работу вашего бизнеса, и в этой связи важно обучать сотрудников должному выявлению рисков и прозрачной отчетности. Культура отчетности поможет вам учиться на ошибках и внедрять новые процессы, не боясь ответных мер.

Новые и грядущие нормативные требования не только упрощают жизнь клиентам, но и улучшают результаты в сфере обеспечения безопасности, что в итоге обеспечит более защищенную и прозрачную цифровую среду в сфере бизнеса. Конечно же, все это связано с кратковременными дополнительными издержками, однако долгосрочные преимущества от адаптивности и инициативности значительно превосходят связанные с переходом трудности.