הנחיות חדשות באירופה בנוגע לאמצעי אבטחת מידע הולמים

הארגון האירופאי לאבטחת מידע (ENISA) וארגון אבטחת המידע הגרמני (TeleTrust) פרסמו לאחרונה הנחיות מקיפות שנועדו ליצוק תוכן לתוך הדרישה העמומה שנקבעה בתקנות האירופאיות בתחום פרטיות המידע (GDPR):

"State of the art" in IT security

אחד השינויים המרכזיים שהובאו בידי ה-GDPR החל ממאי 2018, היה העברת האחריות (accountability) לציות בתחום הפרטיות ושמירת המידע אל כתפיהם של הארגונים העוסקים בתחום.

כך, Article 32 ל-GDPR קובע כי ארגונים מחויבים להטמיע אמצעים טכניים וארגוניים, בשים לב בין היתר לאמצעי אבטחת המידע המתקדמים והמובילים בתחום (State of the art) לשם הבטחת רמת אבטחה הולמת אל מול הסיכון. אי עמידה בהוראה זו עלולה להוביל לקנסות מנהליים של עד 10 מיליון יורו או 2% מהמחזור השנתי של הארגון בשנה הקודמת.

ההנחיות האמורות מסייעות להגדיר באופן קונקרטי מהם אותם אמצעים טכניים וארגוניים הקיימים בעת הזו העונים להגדרת "state of the art", וזאת כדי להקנות ודאות רבה יותר לארגונים המתמודדים עם חובות אבטחת המידע בעידן ה-GDPR.

ההנחיות החדשות שפורסמו כוללות, בין היתר, פירוט אמצעי האבטחה בנוגע להקשחת שרתים, הערכת חוזק סיסמאות, תהליכי זיהוי רב-שלבי, הצפנת קבצים ותיקיות, אבטחת מידע המועבר באמצעות רשת תקשורת אלקטרונית, העברת מידע לענן, בקרת רשת באמצעות מערכות ניטור אוטומטיות, אבטחת תעבורת רשת, גישה מרחוק לרשת ועוד.

בשלב זה, בהיעדר הנחיה רשמית מצד המועצה האירופאית לאבטחת המידע (European Data Protection Board), ההנחיות הנ"ל יוכלו לספק לארגונים בסיס מוצק להתנהלותם בתחום אבטחת המידע. זאת במקביל להנחיות ספציפיות של רגולטורים מדינתיים (DPA), ככל שמפורסמות מעת לעת, שאף הן עשויות לחול על הארגון.

ההנחיות צפויות להתעדכן מדי שנתיים, בהתאם לעדכונים ולשינויים הטכנולוגיים המתחוללים בשוק.

____________________________________________________________

עדכון זה אינו מהווה ייעוץ או חוות דעת משפטית בנושא, והוא מוגש כסקירה כללית. בכל נושא ספציפי יש לפנות למשרדנו לקבלת ייעוץ.