5 марта 2025

NIS2: Новый этап в обеспечении кибербезопасности в Европе. Готовы ли вы?

Основано на данных Европейской комиссии, Европейского агентства по кибербезопасности (ENISA) и официальных директив ЕС. См. источники в конце статьи.

Что такое NIS2?

Директива (ЕС) 2022/2555 (NIS2) – это общеевропейское законодательство в области кибербезопасности, которое вводит обязательные меры для повышения уровня киберзащиты в странах ЕС.

NIS2 вступает в силу 18 октября 2024 года. Государственные и частные организации должны оценить ее влияние на свою текущую систему кибербезопасности, разработать стратегию соответствия новым требованиям и учитывать серьезные последствия за несоблюдение – включая усиленный надзор, административные штрафы и персональную ответственность руководителей.

Зачем нужна NIS2?

Предшественник NIS2 – директива NIS-D (2016/1148) – была первым общеевропейским законом, направленным на повышение устойчивости сетей и информационных систем к киберугрозам. Однако стремительная цифровизация выявила его ограничения. NIS2 устраняет эти недостатки за счет:

  • Национальных стратегий кибербезопасности;
  • Расширенного сотрудничества и обмена информацией между странами ЕС;
  • Ужесточенных требований к управлению рисками и отчетности о киберинцидентах;
  • Строгого регулирования и надзора.

На кого распространяется NIS2?

NIS2 охватывает государственные и частные организации, которые:

  • Оказывают критически важные услуги или управляют ключевой инфраструктурой;
  • Классифицируются как средние или крупные предприятия;
  • Ведут деятельность на территории ЕС.

Однако некоторые компании подпадут под действие директивы независимо от размера. Также национальные правительства могут включить в зону действия NIS2 дополнительные организации. Особенно важно учитывать, что директива затрагивает цепочки поставок, включая риски третьих и даже четвертых сторон.

Ключевые изменения в NIS2

  • Расширение перечня отраслей: Теперь директива охватывает 18 секторов вместо 7, включая публичный сектор и компании с числом сотрудников от 50 или годовым оборотом от 10 млн евро.
  • Новая классификация организаций: Вместо прежнего деления на «операторов жизненно важных услуг» и «поставщиков цифровых услуг», компании теперь делятся на «существенные» и «важные» субъекты, что влечет за собой разные уровни надзора и штрафных санкций.
  • Персональная ответственность: Руководители организаций несут персональную ответственность за несоблюдение требований к управлению рисками в кибербезопасности. В некоторых случаях может применяться временный запрет на выполнение управленческих функций для должностных лиц уровня CEO.
  • Усиленный контроль со стороны регуляторов: Вводятся полномочия для инспекций на местах, выборочных проверок, аудитов, запросов данных и доступа к доказательствам соблюдения требований кибербезопасности.
  • Административные штрафы:
    • Для «существенных» субъектов – до 10 млн евро или 2% от мирового годового оборота компании (что больше).
    • Для «важных» субъектов – до 7 млн евро или 1,4% от мирового годового оборота (что больше).
  • Строгие требования к управлению рисками: Компании должны внедрить базовые меры, включая:
    • Анализ рисков и стратегии защиты информационных систем;
    • Процедуры обработки инцидентов и обеспечения непрерывности бизнеса;
    • Управление безопасностью цепочек поставок.
  • Жесткие требования к отчетности о киберинцидентах: Вводится обязательство уведомления регулятора о значимых инцидентах, включая этап «раннего предупреждения» в течение 24 часов с момента обнаружения.
  • Контроль кибербезопасности поставщиков: Компании должны учитывать риски информационной безопасности в своих цепочках поставок, включая поставщиков, формально не подпадающих под действие NIS2.
  • Регистрация в надзорных органах: Компании должны зарегистрироваться в реестрах регулирующих органов ЕС до 17 апреля 2025 года, а в отдельных случаях – до 17 января 2025 года. Этот процесс включает предоставление детальной информации о компании, включая её сферу деятельности, уровень защиты данных и меры кибербезопасности. Регуляторы могут требовать дополнительные документы, подтверждающие соответствие NIS2. Несвоевременная регистрация или несоответствие требованиям могут привести к штрафам и усиленному надзору со стороны регулирующих органов. Для организаций, работающих в нескольких странах ЕС, важно учитывать требования различных юрисдикций и возможную необходимость регистрации в нескольких государствах. Кроме того, компании должны назначить ответственных лиц за взаимодействие с регуляторами, подготовить внутреннюю документацию и разработать планы по внедрению необходимых мер кибербезопасности в соответствии с новыми стандартами.
NIS2: как соответствовать новым требованиям кибербезопасности | InDevLab
AI generated image by request cybersecurity and NIS2

Какие шаги нужно предпринять уже сейчас?

  1. Определите, подпадает ли ваша организация под NIS2: Проверьте, включена ли ваша отрасль в список директивы и подпадаете ли вы под классификацию «существенных» или «важных» субъектов. Если да, подготовьте внутреннюю оценку текущего состояния кибербезопасности.
  2. Поймите, какие национальные законы ЕС применимы к вашей компании: Определите юрисдикцию, в которой должна регистрироваться ваша компания, и убедитесь, что соответствуете локальным требованиям законодательства.
  3. Согласуйте NIS2 с другими регуляциями: Директива – часть комплексной стратегии ЕС по кибербезопасности, и важно учитывать другие актуальные законы, включая GDPR и DORA. Проведите комплексный анализ на предмет пересечения требований.
  4. Обновите процедуры реагирования на инциденты: Регулярно тестируйте сценарии кибератак, разработайте четкие коммуникационные каналы и распределение ответственности. Создайте протокол оперативного уведомления регуляторов и партнеров о значительных инцидентах.
  5. Пересмотрите стратегии управления рисками в кибербезопасности: Обновите механизмы защиты информации, проведите аудит текущих систем защиты, проанализируйте уязвимости и внедрите корректирующие меры.
  6. Оцените управление рисками третьих сторон: Проверьте контракты с поставщиками на соответствие новым требованиям, обновите процедуры аудита цепочки поставок и внедрите строгие критерии проверки подрядчиков.
  7. Измените корпоративную культуру в соответствии с NIS2: Повышение осведомленности сотрудников, обучение персонала и внедрение механизмов персональной ответственности критически важны для снижения киберугроз. Рассмотрите возможность проведения регулярных тренингов по кибербезопасности.
  8. Создайте дорожную карту кибербезопасности: Разработайте стратегический план адаптации к NIS2, включающий краткосрочные и долгосрочные меры, ответственных лиц и контрольные точки выполнения обязательств.
  9. Назначьте внутреннюю рабочую группу или привлеченного эксперта: Включите в процесс специалистов по праву, ИТ и управлению рисками, чтобы обеспечить комплексный подход к выполнению требований директивы.
  10. Оцените управление рисками третьих сторон: Проверьте контракты с поставщиками на соответствие новым требованиям и обновите процедуры аудита цепочки поставок.

Как InDevLab поможет подготовиться к NIS2?

  • Определим, подпадает ли ваша компания под NIS2 и какие исключения могут быть применены;
  • Проведем аудит соответствия вашей организации требованиям NIS2 и других европейских законов по кибербезопасности;
  • Разработаем стратегию адаптации к новым требованиям, включая управление рисками и отчетность;
  • Поможем подготовить инфраструктуру кибербезопасности и создать план реагирования на инциденты;
  • Оценим риски в цепочках поставок и предложим меры их минимизации;
  • Поможем выполнить обязательства по регистрации в регулирующих органах ЕС.

Нарушения могут привести к многомиллионным штрафам и персональной ответственности. Но у вас есть возможность защитить бизнес уже сейчас. Получите бесплатную экспресс-оценку рисков от InDevLab и узнайте, насколько ваш бизнес готов к новым требованиям. Оставьте заявку на сайте прямо сейчас и получите персонализированную стратегию соответствия NIS2!

«Комплаенс с NIS2 – это не просто про защиту данных, это про защиту репутации, финансов и доверия клиентов. В условиях, когда киберугрозы растут, а штрафы за несоответствие директиве достигают миллионов евро, важно не просто реагировать, а действовать на опережение.»

– СТО InDevLab, Дмитрий Ганжело

Источники 

  • Официальный текст директивы NIS2 (EU Directive 2022/2555) — https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
  • Европейская комиссия о кибербезопасности и NIS2 — https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
  • Европейское агентство по кибербезопасности (ENISA) – рекомендации по NIS2 — https://www.enisa.europa.eu/news/enisa-nis360-2024-report
  • Руководство по управлению киберрисками от ENISA — https://www.enisa.europa.eu/publications/risk-management-standards
  • Глобальный индекс кибербезопасности (ITU) — https://www.itu.int/en/ITU-D/Cybersecurity/pages/global-cybersecurity-index.aspx
044 223 8497

Кловский спуск 7

info@indevlab.com