随着网络威胁的不断发展,这是网络安全监管的关键年份,新的和扩展的框架将旨在重塑整个行业的合规策略。
欧盟的NIS2指令现已有效,大大扩大了履行严格的网络安全标准和事件报告义务所需的组织范围。
同时,《数字运营弹性法》(DORA)对金融服务施加了严格的要求,确保公司可以承受网络中断。欧盟AI法案也向前发展,为管理人工智能风险树立了全球基准。
尽管这些法规旨在加强网络安全,但它们引入了对遵守合规,平衡安全投资和管理供应链风险的组织的挑战。
对更高的AI透明度,更强大的供应链监督和增强事件响应能力的需求正在增长。
同时,正如我们在一般趋势预测中讨论的有关网络安全,地缘政治紧张局势和网络威胁越来越高的文章给企业带来了额外压力,以优先考虑弹性过度反应性的安全措施。
为了探索未来的情况,我们收集了来自行业领导者的专家见解,他们在关键策略,零信任,网络保险和治理框架的不断发展的作用以及组织必须在2025年保持领先地位。
欧盟的NIS2和扩大的网络安全立法是中心舞台
ISMS.ONLINE首席执行官Luke Dash
“在2025年,网络弹性将成为一种核心业务策略,公司从仅防御威胁到确保连续性和迅速恢复的公司转移。像ISO 27001和NIS2这样的法规等框架将使企业朝着积极的准备和响应策略迈进。灾难恢复和运营连续性将成为首要任务,尤其是在关键基础设施部门。”
詹姆斯·尼尔森(James Neilson),高级副总裁国际,OPSWAT
“ NIS2扩大了关键基础设施部门的范围,并引入了更严格的惩罚,使网络安全成为法律上的命令。但是,对合规性的关注不得掩盖现实世界的网络安全控制和响应能力。组织必须在监管依从性和运营安全之间取得平衡。”
皮埃尔·萨姆森(Pierre Samson),联合创始人兼CRO,hackuity
“在NIS2和DORA上迈出截止日期,需要在2024年进行大量预算,这一重点将持续到2025年。挑战将保持平衡 – 在解决与每个组织最相关的安全差距的同时,保持余额。”
Javvad Malik,领先的安全意识倡导者,Knowbe4
“延迟在欧洲实施NIS2将放缓改善安全姿势的进展,而《网络弹性法》将推动以合规性为中心的创新。”

吉尔·维加(Gil Vega),CISO&SVP,Veeam
“ NIS2的影响将超出欧盟,在未来几年内,美国可能会出现类似的网络安全要求。在欧洲开展业务的美国公司将需要完善其合规策略,同时为更严格的国内法规做准备。”
IT&OT安全与供应链
约翰·金德瓦格(John Kindervag)
“我们将看到,将统一安全框架合并并进行了安全努力的统一安全框架的采用。这种整合将增强协作,改善威胁检测和响应。”
Dan Lattimer,Semperis地区副总裁
“组织现在认可供应链漏洞,并将进行更大的尽职调查。多拉(Dora)于2025年1月实施的实施,5月份对不合规的罚款,以确保供应商收紧其防御能力。”
乔恩·法国(Jon France),CISSP,CISO,ISC2
“我们可以预期,对数字供应链的立法关注得到了更高的关注。深层供应链水平(N+1或以上)的主要故障可能是在超融合数字生态系统中的弱点。”

AI,数据主权和治理
Claus Jepsen,Unit4首席产品和技术官4
“ NIS2和DORA等新法规将对数据访问和供应商管理进行更严格的控制。组织将需要浏览不断增长的数据主权问题,并可能根据合规成本重新考虑市场进入。”
ISMS.ONLINE首席执行官Luke Dash
“ AI治理将随着诸如欧盟AI法案和ISO 42001之类的法规设定新标准的法规。将要求组织消除偏见,确保透明度并管理AI的风险以维持公众信任。”

Manuel Sanchez,信息安全与合规专家,Imanage
“ 2024年,第三方驱动的网络攻击和破坏的激增增强了全面数据治理的重要性。 NIST CSF 2.0等监管框架将强调风险管理,组织将需要强大的策略来处理个人数据和DSARS。”
网络保险和合规驱动的创新
ISMS.ONLINE首席执行官Luke Dash
“在2025年,如果没有遵守ISO 27001等框架的证明,获得网络安全保险将变得更加困难。缺乏事件响应计划或风险评估的公司可能难以确保承保范围。”

ZSCALER居住CISO的负责人詹姆斯·塔克(James Tucker)
“随着NIS2和DORA等法规生效,组织将朝着更强大的合规计划,整合法律专业知识和技术解决方案。关于简化数据保护定律并实现无缝跨境数据流(“数字申根”)的讨论将获得吸引力。”
CISO问责制和法律风险
乔恩·法国(Jon France),CISSP,CISO,ISC2
“乔·沙利文(Joe Sullivan)(Uber的前CSO)和SEC对Tim Brown(Solarwinds’CISO)的诉讼的定罪强调了一个增长的趋势:当局使安全领导人个人承担责任。如果CISO在2025年成功起诉,它可能会推动董事会级的网络安全专业知识要求,并改变跨行政团队的责任负担。”
新兴的网络安全趋势
Manuel Sanchez,信息安全与合规专家,Imanage
“由网络保险要求,监管任务和行业最佳实践驱动,多因素身份验证(MFA)的采用将在2025年加速。微软对Azure签名的强制性MFA仅仅是开始。”