Исследование выявило «красные флажки» относительно соблюдения новых киберправил ЕС

Но опрос 270 специалистов по рискам и ИТ в британских и немецких фирмах, проведенный в ноябре, выявил «красные флажки» и «потенциальные разрывы между воспринимаемым и фактическим соответствием».

В исследовании установлено, что из 40% компаний, заявивших, что они уже соответствуют требованиям DORA, только три четверти внедрили системы для регулярного тестирования информационно-коммуникационных технологий (ИКТ) и мониторинга сторонних поставщиков ИКТ-услуг, в то время как только 65% внедрили стандартизированные требования к отчетности об инцидентах.

«Организации должны провести анализ расхождений между текущим положением дел в области соответствия и будущими целевыми показателями соответствия, чтобы понять, расставить приоритеты и предпринять действия, необходимые для полного соответствия нормативным требованиям и избежания последующих штрафных санкций», — заявили в AuditBoard.

Из трех новых правил, с которыми сталкиваются европейские компании, NIS2 регистрирует самые высокие уровни соответствия — 52%, хотя крайний срок для соответствия с октября 2024 года уже прошел на момент проведения опроса. Еще 44% ожидают соответствия к концу 2025 года, при этом некоторые страны медленнее вводят новые правила на национальном уровне.

Соблюдение Закона ЕС об искусственном интеллекте, который начал применяться со 2 февраля 2025 года, но с двухлетним переходным периодом для некоторых требований и некоторых компаний, демонстрирует самые низкие уровни соблюдения — всего 34%, в то время как 52% считают соблюдение правил искусственного интеллекта приоритетом.

«Это несоответствие демонстрирует относительную зрелость мер кибербезопасности организаций по сравнению с новыми требованиями в области управления ИИ», — заявили в AuditBoard, добавив, что длительный переходный период, предусмотренный в Законе ЕС об ИИ, может стать фактором более низкого уровня соответствия.

«Важно отметить, что льготный период в первую очередь распространяется на продукты, которые уже есть на рынке. Ожидается, что системы ИИ, которые в настоящее время находятся на стадии разработки, будут соответствовать требованиям после запуска», — поясняется в отчете по итогам исследования. «Льготный период или нет, организации должны перенести соблюдение Закона ЕС об ИИ в список своих приоритетов и активно работать над соблюдением требований, чтобы обеспечить готовность к установленным срокам».

AuditBoard также обнаружил, что компании, уже заявляющие о соблюдении Закона ЕС об искусственном интеллекте, «не имеют существенных элементов соответствия, которые могут сделать их уязвимыми». Только 55% респондентов внедрили структуры управления рисками, а чуть более половины завершили комплексную оценку рисков.

Из опрошенных для исследования организаций 47% обязаны соблюдать все три набора новых правил, 33% — по крайней мере два, а 20% должны будут соблюдать один. Большинство (91%) респондентов обеспокоены угрозами кибербезопасности, сообщает AuditBoard, добавив, что новые правила имеют общую цель — улучшить кибербезопасность и операционную устойчивость, обеспечивая при этом ответственное использование ИИ.

«Эти правила требуют расстановки приоритетов, чтобы избежать штрафов. Они также являются возможностями для компаний укрепить свою позицию по рискам и улучшить операционные рабочие процессы, используя технологии более ответственно», — говорится в отчете.

Почти все (90%) опрошенные специалисты говорят, что соответствие DORA, NIS2 и Закону ЕС об искусственном интеллекте повлияет на их рабочую нагрузку. «Увеличение рабочей нагрузки может потенциально привести к большему риску несоблюдения, поскольку команды изо всех сил пытаются удержаться на плаву, выполняя ежедневные задачи», — заявили в AuditBoard.

Подготовлено порталом Allinsurance.kz