NIS2 за 5 минут: ключевые требования и последствия несоблюдения

Директива NIS2 (Network and Information Security Directive 2) — это обновлённая законодательная инициатива Европейского Союза, направленная на повышение уровня кибербезопасности и устойчивости организаций в Европе. Она заменяет предыдущую директиву NIS, расширяя её охват и усиливая меры для защиты критически важных инфраструктур и услуг от киберугроз. ​

Основные изменения и требования NIS2:

1. Расширение охвата: Директива теперь распространяется на большее количество секторов и организаций, включая энергетику, здравоохранение, транспорт, финансовые услуги и цифровую инфраструктуру. Это означает, что большее число предприятий обязано соблюдать новые стандарты кибербезопасности. ​
2. Усиленные меры безопасности: Организации должны внедрять более строгие технические и организационные меры для управления киберрисками. Это включает в себя управление инцидентами, безопасность цепочек поставок, защиту сетей, контроль доступа и использование шифрования. ​
3. Ответственность руководства: Руководство компаний теперь несёт прямую ответственность за соблюдение требований кибербезопасности. В случае несоблюдения директивы предусмотрены штрафы и другие санкции для высшего руководства. ​
4. Обязательства по отчётности: Организации обязаны сообщать о значительных инцидентах в области кибербезопасности в течение 24 часов после их обнаружения. Это обеспечивает своевременное реагирование и сотрудничество между государствами-членами ЕС. ​
5. Обеспечение непрерывности бизнеса: Компании должны иметь планы обеспечения непрерывности бизнеса на случай серьёзных киберинцидентов, включая процедуры восстановления систем и создание команд реагирования на кризисные ситуации. ​

Подготовка к соответствию NIS2:

Поскольку срок для имплементации директивы в национальное законодательство истекает 17 октября 2024 года, организациям следует: ​

• Оценить своё соответствие: Определить, подпадает ли ваша организация под действие NIS2, и какие подразделения затронуты. ​
• Адаптировать меры безопасности: Пересмотреть и обновить политики безопасности, внедрить необходимые технические и организационные меры для соответствия требованиям директивы. ​
• Обучить персонал: Обеспечить обучение сотрудников вопросам кибербезопасности и повысить осведомлённость о новых обязательствах. ​
• Наладить процессы отчётности: Разработать и внедрить процедуры для своевременного уведомления о киберинцидентах в соответствии с требованиями NIS2. ​

Последствия несоблюдения директивы NIS2 для компаний:

1. Административные штрафы:
   • Для существенных организаций: максимальный штраф составляет не менее 10 миллионов евро или 2% от общего мирового годового оборота компании за предыдущий финансовый год, в зависимости от того, какая сумма больше.
   • Для важных организаций: максимальный штраф составляет не менее 7 миллионов евро или 1,4% от общего мирового годового оборота компании за предыдущий финансовый год, в зависимости от того, какая сумма больше. ​
2. Неденежные санкции:
   • Компетентные национальные органы могут издавать обязательные для исполнения предписания, проводить аудиты безопасности и требовать уведомления об угрозах. ​
3. Уголовные санкции в отношении руководства:
   • Руководители компаний могут нести личную ответственность за грубую халатность в случае инцидента кибербезопасности. Это может включать временный запрет на занятие управленческих должностей и обязательство публично раскрывать информацию о нарушениях. ​
4. Репутационные риски:
   • Несоблюдение директивы NIS2 может привести к значительному ущербу репутации компании, что, в свою очередь, может повлиять на доверие клиентов, партнеров и инвесторов. ​

InDevLab разрабатывает и внедряет решения для полного соответствия требованиям NIS2: от аудита и анализа рисков до технической реализации и обучения персонала. Мы помогаем компаниям избежать штрафов и минимизировать киберриски.

Получите консультацию по NIS2 от наших специалистов заполнив форму на сайте.