情報セキュリティ認定協会(CIISec)の新しい調査によると、業界の専門家の3分の2以上(69%)が、現行のサイバーセキュリティ法は依然として十分に厳しくないと主張しています。
同協会の年次調査「セキュリティ職業の現状」は、CIISec会員および広範なセキュリティコミュニティへのインタビューからまとめられています。
先週、CEOのアマンダ・フィンチがブログ投稿でいくつかの初期調査結果を共有し、今年のレポートが規制に大きく焦点を当てていることを明らかにしました。
この12か月はセキュリティ関連の規制にとって大きな年となり、EU AI法、DORA、NIS2、英国のデータ(利用・アクセス)法、および英国のサイバーセキュリティおよびレジリエンス法案がすべて施行、またはさまざまな立法上のマイルストーンを通過しました。
サイバーセキュリティおよびレジリエンス法案、DORA、NIS2は、回答者から「職業に最も大きな影響を与える」として挙げられました。— 前者はまだ議会で審議中であり、後者2つの法律は欧州で事業を展開する英国企業のみに適用されるにもかかわらず、です。
規制について詳しく読む:サイバーセキュリティおよびレジリエンス法案は英国の1000社に適用
また、違反の責任を誰が負うべきかについても回答者の意見は明確で、91%が取締役会を指摘し、CISO(最高情報セキュリティ責任者)と答えたのは3分の1未満(31%)でした。
実際、ポリシー違反をした特定の従業員が自らの行動に責任を負うべきだと主張したのは34%にとどまり、半数以上(56%)は、重大なサイバーインシデントに対して経営陣が制裁や訴追、罰金を受けるべきだと答えました。
これはまさにNIS2やDORAといった新しい法律の方向性であり、これらは初めて経営幹部に重大な違反の個人的責任を課しています。
「責任が経営陣にあるのであれば—調査が明確に示している通り—私たちの職業はより協調的なセキュリティアプローチを取る必要があり、取締役会がリスクを認識し、重要な意思決定に関与することを確実にしなければなりません」とフィンチ氏は述べています。
「これはサイバーセキュリティ専門家にとってさらなる学習、規制の理解向上、そしてセキュリティ部門以外のステークホルダーに対するリスクのより良い伝達が求められることを意味します。」
サイバーセキュリティおよびレジリエンス法案の一環として、英国政府は特定の公共部門および重要インフラ組織に対するランサムウェア支払いの禁止を推進しており、違反した組織に対する罰則付きの義務的インシデント報告制度の導入も進めています。
翻訳元: https://www.infosecurity-magazine.com/news/ciisec-security-professionals/