Was ist der Security of Critical Infrastructure Act?
Am 25. November 2024 wurde das Security of Critical Infrastructure and Other Legislation Amendment (Enhanced Response and Prevention) Bill 2024 (SOCI-Gesetz), das im Cyber Security Legislative Package enthalten war, als Gesetz verabschiedet. Das SOCI-Gesetz gibt der Regierung umfassendere Befugnisse, um das Ziel 4 der Cyber-Sicherheitsstrategie 2023–2030 (Schutz kritischer Infrastrukturen) zu erreichen und Lücken und Probleme der sich entwickelnden Cyber-Bedrohungslandschaft anzugehen.
- Datenspeichersysteme, die geschäftskritische Daten enthalten, würden nach den Änderungen als kritische Infrastrukturen reguliert.
- Neue Befugnisse der Regierung zur Folgenbewältigung, die es der Regierung ermöglichen, ein Unternehmen anzuweisen, Maßnahmen zu ergreifen, um auf Vorfälle zu reagieren, die über Cyber-Vorfälle hinausgehen.
- Neue Definition des Begriffs „geschützte Daten“, die eine Schadensbeurteilung und eine nicht erschöpfende Liste relevanter Daten sowie Klarstellungen dazu enthält, wann geschützte Daten weitergegeben oder für andere Zwecke verwendet werden können.
- Neue Befugnis der Regulierungsbehörde, Anweisungen an eine verantwortliche Stelle zu erteilen, um schwerwiegende Mängel zu beheben, die in einem Risikomanagementprogramm für kritische Infrastrukturen festgestellt wurden.
Datenspeichersysteme, die geschäftskritische Daten enthalten
- #16: „… den Schutz von Datenspeichersystemen und geschäftskritischen Daten verstärken.“
- #19: „Der Anhang soll nicht alle nicht-operativen Systeme erfassen, die geschäftskritische Daten enthalten, sondern nur diejenigen, bei denen Schwachstellen eine relevante Auswirkung auf kritische Infrastrukturen haben könnten. Beispiele für solche Systeme sind: Datenspeichersysteme, die geschäftskritische Daten enthalten, bei denen eine unzureichende Netzwerktrennung zwischen Informations- und Betriebstechnologiesystemen besteht, oder Datenspeichersysteme, die Betriebsdaten wie Netzpläne, kryptographische Schlüssel, Algorithmen, Betriebssystemcode sowie Taktiken, Techniken und Verfahren enthalten.“
- #20: „… Wenn die verantwortliche Stelle einen Dritten beauftragt, ist dieser für das Datenspeicherungssystem verantwortlich.“
- #31: Die verschiedenen vorgeschlagenen Kriterien verdeutlichen die Absicht, dass nicht alle nicht-operativen Systeme, die geschäftskritische Daten enthalten, erfasst werden sollen, sondern nur solche, bei denen Schwachstellen relevante Auswirkungen auf kritische Infrastrukturen haben könnten. Außerdem wird klargestellt, dass die für die wichtigsten kritischen Infrastrukturen zuständige Stelle für die Datenspeichersysteme verantwortlich ist, die sie besitzt oder betreibt.
Compliance-Übersicht
Sicherstellung der Einhaltung des australischen SOCI-Gesetzes
Erfahren Sie, wie Thales Unternehmen bei der Einhaltung des australischen SOCI-Gesetzes unterstützt, indem es kritische Infrastrukturen sichert, Daten schützt und kryptographische Schlüssel verwaltet.
Wie Thales Unterstützung bei der Einhaltung des SOCI-Gesetzes (und seiner Änderungen) bietet
Die Lösungen von Thales können Unternehmen dabei helfen, das SOCI-Gesetz einzuhalten, indem sie die Compliance vereinfachen und die Sicherheit automatisieren, wodurch die Belastung der Sicherheits- und Compliance-Teams verringert wird.
Wir bieten umfassende Cyber-Sicherheitslösungen in drei Schlüsselbereichen der Cyber-Sicherheit: Anwendungssicherheit, Datensicherheit sowie Identitäts- und Zugriffsverwaltung.
SOCI-Compliance-Lösungen
Anwendungssicherheit
Schützen Sie Anwendungen und APIs in großem Umfang in der Cloud, lokal oder in einem Hybridmodell. Unsere marktführende Produktsuite umfasst eine Web Application Firewall (WAF), Schutz vor Distributed Denial of Service (DDoS) und bösartigen BOT-Angriffen, Sicherheit für APIs, ein sicheres Content Delivery Network (CDN) und Runtime Application Self-Protection (RASP).
Datensicherheit
Erkennen und klassifizieren Sie sensible Daten in der gesamten hybriden IT und schützen Sie sie automatisch an jedem Ort, ob at Rest, in Motion oder in Use, mithilfe von Verschlüsselungs-Tokenisierung und Schlüsselverwaltung. Die Lösungen von Thales identifizieren, bewerten und priorisieren zudem potenzielle Risiken sowie anomales Verhalten für eine genaue Risikobewertung und überwachen Aktivitäten zur Überprüfung der Einhaltung von Vorschriften, sodass Unternehmen priorisieren können, wo sie ihre Anstrengungen konzentrieren.
Identitäts- und Zugriffsverwaltung
Bieten Sie Kunden, Mitarbeitern und Partnern einen nahtlosen, sicheren und vertrauenswürdigen Zugriff auf Anwendungen und digitale Dienste. Unsere Lösungen beschränken den Zugriff interner und externer Benutzer rollen- und kontextbezogen mit fein abgestimmten Zugriffsrichtlinien und Multi-Faktor-Authentifizierung, um sicherzustellen, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält.
Erfüllung der Anforderungen des SOCI-Gesetzes (und seiner Änderungen) – ANHANG 1
So unterstützt Thales Ihr Unternehmen:
- Entdecken und klassifizieren Sie potenzielle Risiken für alle öffentlichen, privaten und Shadow-APIs.
- Identifizieren Sie strukturierte und unstrukturierte sensible Data-at-Risk on-premises und in der Cloud.
- Ermitteln Sie den aktuellen Stand der Compliance, dokumentieren Sie Lücken und zeigen Sie einen Weg zur vollständigen Compliance auf.
So unterstützt Thales Ihr Unternehmen:
- Überwachung der Datenaktivität für strukturierte und unstrukturierte Daten in Cloud- und On-Premise-Systemen.
- Erstellung von Prüfprotokollen und Berichten über alle Zugriffsereignisse auf alle Systeme und Übermittlung von Protokollen an externe SIEM-Systeme.
So unterstützt Thales Ihr Unternehmen:
- Verschlüsselung von Data-at-Rest lokal, in Cloud-Umgebungen sowie in Big-Data- oder Container-Umgebungen.
- Schutz von Data-in-Motion mit High-Speed-Verschlüsselung.
- Verschaffen Sie sich einen umfassenden Überblick über die Aktivitäten mit sensiblen Daten, verfolgen Sie, wer Zugriff hat, prüfen Sie, was diese Personen tun, und dokumentieren Sie diese Aktivitäten.
So unterstützt Thales Ihr Unternehmen:
- Beschränkung des Zugriffs interner und externer Benutzer auf Systeme und Daten rollen- und kontextbezogen mithilfe von Richtlinien.
- Anwendung kontextbezogener Sicherheitsmaßnahmen auf der Grundlage von Risikobewertungen.
- Nutzen Sie Smartcards für den physischen Zugriff auf sensible Einrichtungen kritischer Infrastrukturen.
Lösungen:
Datensicherheit
Identitäts- und Zugriffsverwaltung
So unterstützt Thales Ihr Unternehmen:
- Erstellung und Bereitstellung adaptiver Authentifizierungsrichtlinien basierend auf der Sensibilität der Daten/Anwendung.
- Schutz vor Phishing- und Man-in-the-Middle-Angriffen.
Lösungen:
Identitäts- und Zugriffsverwaltung
Multi-Faktor-Authentifizierung
So unterstützt Thales Ihr Unternehmen:
- Schutz von kryptographischen Schlüsseln in einer Umgebung gemäß FIPS 140-2 Level 3.
- Optimieren Sie die Schlüsselverwaltung in Cloud- und On-Premise-Umgebungen.
- Verwaltung und Schutz aller Secrets und sensiblen Zugangsdaten.
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.