“安全与弹性”:审计、合格评定和合格评定机构(CAB)...
我们的博客系列“安全与弹性”的第五部分是关于审计、合格评定和合格评定机构(CAB)。随着《NIS 2 实施和网络安全加强法案》( NIS2UmsuCG,政府草案)、《KRITIS 保护伞法案》(政府草案)和《网络弹性法案》(CRA)的生效,数字产品的公司和制造商不仅面临着实施安全措施的挑战,而且还面临着定期审查其有效性的挑战。审计、合格评定和 CAB 的工作发挥着核心作用(参见BSI CRA 2024)。NIS 2 指令和 KRITIS 总体法律大大扩展了关键基础设施的监管范围,受影响的行业也随之扩大。受影响设施的数量从大约 2,000 家大幅增加到大约 30,000 家,这对措施的实施和监测带来了巨大挑战(参见Weissmann 2024)。
图表显示了关键设施数量的发展情况。
图:自己的插图
众所周知,审计不仅可以证明符合法律要求,还可以识别漏洞并不断改进安全概念。一旦全面生效,公司必须证明他们已经根据 NIS2UmsuCG 和 KRITIS 保护伞法的新要求实施了安全措施。这需要系统的风险分析、定期测试和记录的事件管理流程。英国标准协会和OpenKRITIS已经发布了 ISO/IEC 27001 标准方面与 NIS 2 的映射,以方便审计(摘录):
图:摘自OpenKRITIS的图表
CRA 尤其带来了新的要求。数字产品制造商必须从开发阶段开始就根据“设计安全”原则整合安全措施,加拿大商业传真列表 并定期测试其产品是否存在漏洞。这不仅影响我们自己的生产,还影响使用第三方组件的整个供应链。为了证明这些要求,产品必须通过自我评估或 CAB 认证,具体取决于其分类(参见BSI CRA 2024、Weissmann 2024)。
CAB审查产品和管理系统,并进行渗透测试和模拟,以便尽早发现漏洞。然而,一个主要问题是合格审计师和认证CAB的短缺。在信息安全领域,对网络安全咨询和审计的需求以及熟练工人的短缺(62% 的公司抱怨瓶颈)一直处于高水平(参见BMAS和ICS2 网络安全研究 2024)。这导致认证等待时间更长,并增加了公司和 CAB 尽早响应新要求的压力。
另一个障碍是现代系统的技术复杂性。许多安全解决方案基于人工智能 (AI) 和机器学习,这使得传统的测试方法更加困难。
建议企业逐步实施新要求。尽早建立或使用现有的信息安全管理系统(ISMS)为结构化风险管理提供了基础并简化了审计。与 KBS 的合作也应尽早开始,以避免延误。自动监控和分析系统,例如 SIEM(安全信息和事件管理)解决方案,可以帮助持续监控并快速修复漏洞。
新法规也意味着对审计师和审计机构的调整。为了应对现代技术的复杂性,自动化测试程序和人工智能支持的分析工具的集成将变得越来越必要。同时,必须协调标准,尽可能避免重复测试,确保结果的可比性。
不遵守规则手册三巨头的要求可能会造成严重后果。不符合 CRA 要求的产品可能无法上市,在最坏的情况下,必须召回。此外,公司还面临不同数额的罚款,并且根据法规规定,可能面临进一步的制裁。
总而言之,尽管存在这些挑战,但也存在机遇:早期投资安全认证的公司不仅可以最大限度地降低监管风险,还可以与客户和合作伙伴建立信任。经过认证的产品代表着可靠性和质量——这是混合攻击媒介时代的决定性优势。
在我们的博客系列“安全与弹性”的第六部分也是最后一部分中,我们将探讨这三套规则所面临的挑战和机遇。
“安全与弹性”博客系列的其他部分:
NIS2UmsuCG、KRITIS 保护伞法和网络弹性法案 (CRA) – 第一部分
NIS2UmsuCG 的要求和实施 – 第 2 部分
KRITIS 保护伞法 – 第 3 部分
网络弹性法案 – 产品安全和制造商义务 – 第四部分
新法规带来的挑战与机遇——第六部分
頁:
[1]