С 1 января 2026 года ландшафт кибербезопасности в Калифорнии претерпит кардинальные изменения. Вступают в силу новые регуляторные требования Закона Калифорнии о конфиденциальности потребителей (CCPA), которые обязывают компании проводить ежегодные комплексные аудиты кибербезопасности. Это фундаментальный переход к проактивной защите с акцентом на строгую ответственность.
I. Кто «под прицелом»? Пороги применимости
Требования касаются предприятий, чья обработка данных представляет «значительный риск». Вы попадаете под действие правил, если за предыдущий год:
- Доход от данных: Вы получили 50% или более годового дохода от продажи или обмена данными потребителей Калифорнии.
- Масштаб и прибыль: Ваш годовой валовой доход превысил $25 млн и вы:
- Обработали данные 250,000+ потребителей или домохозяйств.
- Обработали чувствительные (сенситивные) данные 50,000+ потребителей.
II. График комплаенса (соответствия)
Годовой валовой доход | Дедлайн отчета | Период аудита |
Более $100 млн | 1 апреля 2028 г. | Весь 2027 год |
$50 млн – $100 млн | 1 апреля 2029 г. | Весь 2028 год |
Менее $50 млн | 1 апреля 2030 г. | Весь 2029 год |
III. Требования к аудиту и независимости
- Квалификация: Аудит должен проводить специалист в соответствии со стандартами AICPA, ISO или NIST.
- Независимость: Аудитор не имеет права проверять системы, которые он сам разрабатывал.
- Доказательства: Выводы должны основываться на документации и тестировании, а не на заверениях менеджмента.
- Архив: Материалы аудита необходимо хранить в течение 5 лет.
IV. Сфера охвата аудита
Аудит должен оценивать защиту данных от несанкционированного доступа и потери, в частности:
- Многофакторную аутентификацию (MFA) и шифрование.
- Инвентаризацию данных и карты информационных потоков.
- Тестирование на проникновение и управление уязвимостями.
- Надзор за подрядчиками и третьими сторонами.
- Планы реагирования на инциденты и восстановления после катастроф.
V. Ежегодная сертификация для CPPA
Компания обязана ежегодно до 1 апреля подавать сертификацию в Агентство по защите конфиденциальности Калифорнии (CPPA). Документ подписывается топ-менеджером под угрозой ответственности за дачу ложных показаний.