Med en fortsatt ökad cyberkriminalitet har EU utarbetat ny lagstiftning som kommer att påverka alla verksamheter. Allmänna dataskyddsförordningen (GDPR) och NIS-direktivet (Network and Information Security) kräver att företagen följer eller arbetar med vissa krav på cybersäkerhet. Vad menar de för småföretag och hur de hanterar deras säkerhet?

I huvudsak syftar de nya reglerna till att leverera ett mer säkerhetsmedvetet näringsliv. Den rättsliga ram som för närvarande gäller för alla former av digitala data som ditt företag kan hålla om kunder eller kommersiella partners kommer nu att behöva stärkas. Ditt företag har kanske redan behandlat den så kallade "cookie law" som nu reglerar opt-ins till din webbplats och hur personlig information används. GDPR går mycket längre.

Adam Palmer, chef för internationella regeringsrelationer i FireEye, förklarade: "NIS-direktivet fokuserar endast på säkerhet, medan GDPR är inriktat på dataintegritet. De har olika regler och omfattning. GDPR gäller alla enheter som behandlar personuppgifter om EU-medborgare relaterade till erbjudandet av varor eller tjänster eller att övervaka deras beteende.

"NIS-direktivet tillämpas mer smalt på" operatörer av väsentliga tjänster "och digitala tjänsteleverantörer med 50 eller fler anställda. I NIS-direktivet krävs att enheter inom ramen för NIS-direktivet tillämpar" toppmoderna "säkerhetsåtgärder som garanterar en säkerhetsnivå som är lämplig för risken "."

De förändringar som Bryssel vill göra i sin helhet gör all information som rör en konsument eller affärspartner "personlig" och som sådan måste den ha stark säkerhet tillämpad på den. Med så mycket personlig information som delas över hela EU varje sekund, hoppas det att de nya reglerna kommer att göra informationen mycket säkrare.

GDPR-reglerna gäller för medelstora företag med 250 anställda eller mer. Och de angivna påföljderna ser ut att vara höga på 20 miljoner euro (cirka 15,8 miljoner dollar, eller 23,2 miljoner dollar) eller 4% av årets omsättning, beroende på vilket som är högre.

Hela industrin förvandlas genom att använda data för att skapa personliga produkter och tjänster

Fördelar med ett proaktivt tillvägagångssätt

Säger Jason du Preez, VD för Privitar: "Vår globala ekonomi är beroende av data-driven beslutsfattande. Hela industrin förvandlas genom att använda data för att skapa personliga produkter och tjänster inom alla branscher som är tänkbara. GDPR representerar en havsförändring i hur stor Dataanalys investeringar kan utformas, levereras och levereras.

"Organisationerna har två år att följa GDPR, men de som är proaktiva kan få konkurrensfördelar genom att vinna kundförtroende. Ju fler kunder förstår hur deras data används och i vilket syfte desto mindre sannolikt är de att välja bort helt enkelt för att de förstår inte arrangemanget på plats. "

För de flesta organisationer som omfattas av de nya reglerna behövs ett nytt inlägg av dataskyddspersonal (DPO) om dina affärsprocesser kräver lagring och manipulering av vissa kategorier av data.

Andy Green, senior teknisk specialist, Varonis, förklarar: "GDPR är en stor och komplex lag. Och författarnas författare var medvetna om att teeny eller småföretag inte skulle kunna hantera allt.

"De gjorde några undantag till de mer krävande kraven, och de gav också DPA: erna (Digital Protection Authorities), till exempel makt att ta hänsyn till företagets storlek när det gäller att tillämpa lagen - proportionalitet, i sina ord.

"Till exempel är SMBs vanligtvis befriade från kravet att anställa en data-DPO. Det finns också undantag för DPIA (Data Protection Impact Assessments), vilket är ett nytt krav för att dokumentera effekterna av att samla mycket känsliga data. Andra dokumentationskrav är också mindre för små och medelstora företag.

"Min övergripande känsla är att om ett små och medelstora företag följer idéerna" Privacy By Design ", som refereras till mycket i GDPR, kommer de att vara bra - särskilt principerna att minimera datainsamling av personuppgifter och att hålla konsumentrekord längre än vad som behövs. "

  • Ändringar i den europeiska dataskyddsförordningen: En titt på GDPR