Med en fortsatt økning i nettkriminalitet har EU utarbeidet ny lovgivning som vil påvirke alle virksomheter. Generell databeskyttelsesforordning (GDPR) og NIS-direktivet (Network and Information Security) vil kreve at selskaper overholder eller oppfører seg i forbindelse med visse krav til cybersikkerhet. Hva betyr de for små bedrifter og hvordan de klarer deres sikkerhet?

I utgangspunktet tar de nye regelverket seg til å levere et mer sikkerhetsbevisst næringsliv. Det juridiske rammeverket som gjelder for alle former for digital data som virksomheten din kan ha om kunder eller kommersielle partnere, må nå styrkes. Virksomheten din har kanskje allerede behandlet den såkalte "cookie law" som nå styrer opt-ins til nettstedet ditt og hvordan personlig informasjon blir brukt. GDPR går mye lenger.

Adam Palmer, direktør for internasjonale regjeringsforbindelser ved FireEye, forklarte: "NIS-direktivet er rettet mot sikkerhet, mens GDPR er fokusert på datasikkerhet. De har hver sin forskrift og omfang. GDPR gjelder for alle enheter som behandler personopplysninger om EU-innbyggere er knyttet til tilbudet av varer eller tjenester eller for å overvåke deres oppførsel.

"NIS-direktivet gjelder mer smalt til« operatører av viktige tjenester »og digitale tjenesteleverandører med 50 eller flere ansatte. NIS-direktivet krever at enheter innenfor NIS-direktivets anvendelsesområde implementerer" state of the art "sikkerhetstiltak som garanterer en sikkerhetsnivå som er passende for risikoen "."

Endringene som Brussel ønsker å gjøre i hovedsak, gjør all informasjon som angår en forbruker eller forretningspartner "personlig" og som sådan må den ha sterk sikkerhet brukt på den. Med så mye personlig informasjon som deles over hele EU hvert sekund, er det håpet at de nye reglene vil gjøre denne informasjonen mye mer sikker.

GDPR-forskriftene gjelder for mellomstore bedrifter med 250 ansatte eller mer. Og de angitte straffen ser ut til å være høye på € 20 millioner (rundt £ 15,8 millioner, eller $ 23,2 millioner) eller 4% av årlig omsetning, avhengig av hvilket som er høyere.

Hele industriene blir forvandlet ved å bruke data for å lage personlige produkter og tjenester

Fordeler med en proaktiv tilnærming

Sier Jason du Preez, administrerende direktør i Privitar: "Vår globale økonomi er avhengig av datastyrt beslutningsprosess. Hele næringene blir forvandlet ved å bruke data for å lage tilpassede produkter og tjenester i alle bransjer som er tenkelige. GDPR representerer en havforandring i hvor stor dataanalyser investeringer kan utformes, leveres og leveraged.

"Organisasjoner har to år å overholde GDPR, men de som er proaktive, kan få konkurransefortrinn ved å vinne tillit til kundene. Jo flere kunder forstår hvordan dataene blir brukt, og i hvilket form, jo ​​mindre sannsynlig er de å velge bort rett og slett fordi de forstår ikke ordningen på plass. "

For de fleste organisasjoner som omfattes av de nye forskriftene, vil det være behov for et nytt innlegg av databeskyttelsesoffisient (DPO) hvis forretningsprosessene krever lagring og manipulering av bestemte datakategorier.

Andy Green, senior teknisk innholdsspesialist, Varonis, forklarer: "GDPR er en stor, kompleks lov. Og forfatterne av regelverket var klar over at teeny eller små bedrifter ikke ville kunne takle det hele.

"De gjorde noen unntak fra de mer byrdefulle kravene, og de ga også DPAene (Digital Protection Authorities), for eksempel, muligheten til å ta hensyn til størrelsen på virksomheten når det gjelder å anvende loven - proportionalitet, i deres ord.

"For eksempel er SMBer generelt lettet over kravet om å ansette en data-DPO. Det er også unntak for DPIA (Data Protection Impact Assessments), som er et nytt krav for dokumentasjon av effekten av å samle svært sensitive data. Andre dokumentasjonskrav er også mindre for små og mellomstore bedrifter.

"Min generelle følelse er at hvis en liten / medium virksomhet følger ideene om" Privacy By Design ", som er referert til mye i GDPR, vil de være bra - spesielt prinsippene for å minimere datainnsamling av personopplysninger og å holde forbrukerposter lenger enn nødvendig. "

  • Endringer i europeisk databeskyttelsesforordning: En titt på GDPR