更严格的法律及监管要求

管理体系的有效融合如何促进实现内外部需求。

《NIS-2指令》、《美国国家标准与技术研究院（NIST）网络安全框架》、《云安全联盟（CSA）物联网（IoT）安全控制框架》（美国）、《电信工程中心（TEC）认证》（印度）、《中华人民共和国刑法（CLPRC）》（中国）、ISO 27000系列标准和IEC 62443、欧盟《数据法案》或《供应链法》——国际法规清单很长。与此同时，对企业IT运营和使用的监管要求也越来越严格。

符合内外部需求的IT合规性

信息技术合规性这一总括术语包括针对各经济部门的具体法律法规和一般法律法规，为达企业尽职调查和规避风险之目的，这些法律法规必须得到执行。此外，还有可持续发展、合规与道德、企业风险管理/ICS等方面的内部需求。

多年来，经证实，ISO 27001/27002、COBIT或COSO等标准框架的使用在实施高质量和功能性解决方案方面是成功的。然而，这些体系通常是由信息技术安全、信息安全、数据保护和合规性的不同业务部门并行开发的。

虽然规章制度所涵盖的密度越来越大，然而似乎已不足够，因为学科的分散会导致法规与实务之间不一致、冗余、矛盾和功能失调。

更加严格的要求会促进加大安全投资

根据 2023年德国莱茵TÜV网络安全研究，如果实施更加严格的要求，近一半的公司会加大信息技术安全投资。近三分之二的公司认为立法者有责任，并要求制定政策，为经济中的网络安全采取适当措施。对于近一半的公司，这些政策制定有助于实施相关信息技术安全措施，公司各部门与高层管理人员一起优先考虑采取这些措施，并将现有预算投资于网络安全。

标准和管理体系的融合

大多数用于执行IT合规性要求的标准和框架在操作实施方面（措施）有很大程度的重叠。

一些ISO标准已经认识到这一点，并且正在融合不同的观点，例如ISO 27001信息安全管理体系，并将范围扩展至ISO 27701数据保护管理体系。这种协同联系方法可以扩展到其他学科，并与合规的总体学科相协调。

除了协调公司的内部政策结构之外，还必须克服组织中典型的部门壁垒。例如，一种常见的方法是建立一个项目组织，让相关利益攸关方参与进来——从作为全公司合规责任一部分的法律要求开始。一般来说，如果是在公司责任的背景下提出不合规的潜在影响，就更容易获得“董事会的关注”，即高层管理人员的关注和预算分配。

监管驱动因素及其在日益增加的要求中的排名：

《企业可持续发展尽职调查指令》（CSDDD）

《欧盟举报人指令》

新版《网络与信息安全指令》——NIS2

《美国国家标准与技术研究院（NIST）网络安全框架》

ISO 27000系列标准修订版和IEC 62443

欧盟公司在复杂的环境中运营，尤其是大公司依赖于全球价值链。因此，随着欧洲供应链法（《企业可持续发展尽职调查指令》（CSDDD））获批，欧洲议会向更为公平的全球供应链迈出了重要的一步。2023年6月1日，大多数成员国投票赞成对公司制定有约束力的规则。其中传达的信息很明确：人权、气候和环境在未来必须得到有效保护，免受全球商业的负面影响。此外，该指令旨在：

将有关人权和环境影响的风险管理更加牢固地纳入公司战略，包括价值链战略。
确保单一市场的尽职调查要求统一，并为公司提供法律确定性。
让公司对负面影响承担更多责任，并明确它们在欧盟倡议下的义务。
在人权和环境受到损害的情况下，为受影响方提供更好的补救办法。
补充其他欧盟可持续发展措施作为更高层次的工具，特别是在特定部门中。

《欧盟举报人指令》（欧洲议会和理事会指令（EU）2019/1937）旨在保护在欧盟范围内举报违反欧盟法律行为的个人，即举报人。

对于员工超过50人或有一定年营业额的公司，该指令建立了明确和保密的违规行为举报渠道。既包括组织内部的举报渠道，也包括向主管当局举报的外部渠道。该指令涵盖了广泛的欧盟法律领域，包括公共采购、金融服务、产品安全、环境保护等。

目的是保护内部或外部举报人，并确保他们的报告得到妥善处理和跟进。这需要使用适当的功能对举报人和通信进行匿名化。此外，必须执行严格的数据保护要求。

合规性和数据保护之间的这种相互作用使得可以在流程设计层面整合早已确立的数据保护要求，以保护数据主体的权利。在技术层面，身份识别与存取管理（IAM）以及加密和匿名化功能提供了根据目前的技术水平执行要求所必需的工具。

随着《举报人保护法》（HinSchG）的出台，《欧盟举报人指令》最近被转化为德国法律，该法案于2023年7月1日生效。

随着《NIS2指令》（EU 2022/2555）的出台，立法者对第一版《网络和信息安全指令》进行了修订。到2024年10月，欧盟成员国必须将更新后的标准纳入国家法律，更新后的标准引入了一些变化，旨在加强关键基础设施运营商（CRIsPs）的网络安全标准：

11个关键部门和7个重要部门使受影响部门总数达到18个。
员工超过50人或年收益超过1000万欧元的公司必须遵守《NIS2指令》。
公司现在必须报告更大范围的安全事件。
如果发生安全事件，该指令则要求在24小时内提交初步报告，在72小时内提交详细报告。
国家监管当局正在加强执法能力，并对违规行为处以更高的处罚。

《网络安全框架》提供了一套最佳实践和指导方针，旨在帮助建立对自身网络安全的基本理解，并组织和加强网络安全。

该框架是由美国商务部的下属机构美国国家标准与技术研究院（NIST）与行业合作开发的，旨在促进一种保护关键基础设施和其他体系免受网络攻击的标准化方法。为此，《美国国家标准与技术研究院（NIST）网络安全框架》由三个主要部分组成：

核心：一系列网络安全活动和成果，分为五个功能领域：识别、保护、检测、响应和恢复。每个领域都有特定的类别和子类别。
简介：基于核心的选择和优先级，对某个组织的特定网络安全目标的陈述。
层级：描述一家组织的网络安全风险管理成熟度的四个级别，从“局部”到“适应性”。

由于网络犯罪跨越国界，网络安全也必须在国际上进行自我定位。这就是为什么会存在全球性的安全标准，如ISO 27000系列标准。

当前版本的ISO 27001:2022引入了IT安全和数据保护的重要变化（通过ISO 27701补充），以及云安全的具体措施（云服务使用的信息安全）。

此外，国际IEC 62443系列标准继续关注“工业自动化和控制系统”（IACS）的网络安全，作为运营商、集成商和制造商在互联生产中全面推行的方法，该系统变得越来越重要。

重要事项：现有ISO 27001证书的过渡期为三年，自新版ISO/IEC 27001:2022（2022年10月）发布当月的最后一天起算。这意味着所有基于ISO/IEC 27001:2013或DIN EN ISO/IEC 27001:2017的证书必须在2025年10月31日之前转换为新版2022 ISO 27001。