25 ноября 2024

NIS2 в 2024: Какие компании обязаны соблюдать новую директиву ЕС по кибербезопасности?

С 18 октября 2024 года вступила в силу обновлённая Директива ЕС NIS2. Какие компании она затронет, какие штрафы предусмотрены за несоблюдение, и как подготовиться?

Что такое NIS2?

NIS2 (Network and Information Security Directive 2) — это обновлённая директива ЕС, направленная на повышение киберустойчивости критически важных и значимых организаций. Она заменяет старую NIS (2016) и значительно расширяет круг компаний, которые обязаны соблюдать её требования.

Её ключевые цели:

  1. Повышение стандартов кибербезопасности для бизнеса и инфраструктуры
  2. Ужесточение требований к управлению рисками и инцидент-менеджменту
  3. Расширение круга организаций, обязанных соблюдать директиву
  4. Усиление контроля и введение значительных штрафов за несоответствие

Кто попадает под действие NIS2?

Директива NIS2 делит компании на две основные группы:

  • Критически важные субъекты (Essential Entities) – крупные компании, работающие в ключевых отраслях.
  • Значимые субъекты (Important Entities) – средние и малые компании, оказывающие влияние на экономику и цифровую инфраструктуру.

Критерии:

  • Essential Entities – компании с численностью более 250 сотрудников и годовым оборотом более 50 млн евро.
  • Important Entities – компании с численностью от 50 до 250 сотрудников и оборотом от 10 млн евро.
  • Если компания работает в стратегически важной сфере, но не соответствует числовым критериям, регулятор может включить её в список вручную.


1. Компании, подпадающие под NIS2 напрямую (Essential и Important Entities)

Критически важные сектора (Essential Entities)

Энергетика

  • Электростанции, операторы электросетей (включая ВИЭ – солнечную и ветряную энергетику)
  • Газовые компании (добыча, транспортировка, хранение, распределение)
  • Нефтехимическая промышленность
  • Операторы ядерных установок

Транспорт и логистика

  • Авиакомпании и аэропорты
  • Железнодорожные операторы и вокзалы
  • Морские и речные порты
  • Метрополитены и трамвайные сети
  • Грузоперевозки (наземные, морские, авиа)

Банковский и финансовый сектор

  • Коммерческие и инвестиционные банки
  • Финансовые биржи
  • Платёжные системы и процессинговые компании

Здравоохранение

  • Больницы, клиники, медицинские центры
  • Производители медицинского оборудования
  • Фармацевтические компании и дистрибьюторы
  • Биотехнологические компании

Питьевая вода и водоотведение

  • Водоснабжающие и водоочистные компании
  • Операторы сточных вод

Цифровая инфраструктура

  • Центры обработки данных (дата-центры)
  • Облачные сервисы (SaaS, PaaS, IaaS)
  • Интернет-провайдеры
  • Операторы мобильной и фиксированной связи

Государственный сектор

  • Государственные органы и агентства
  • Муниципальные администрации

Значимые сектора (Important Entities)

Эти компании имеют более мягкий контроль, но всё же обязаны соблюдать директиву.

Производственные компании

  • Машиностроение
  • Автомобильная промышленность
  • Производство электроники
  • Производство продуктов питания

IT и цифровые сервисы

  • Поставщики IT-аутсорсинга
  • Разработчики ПО, кибербезопасности и цифровых решений
  • SaaS-компании, предлагающие бизнес-сервисы

Почтовые и курьерские службы

  • Национальные и частные почтовые операторы
  • Крупные логистические компании (DHL, FedEx и т.д.)

Исследовательские организации

  • Университеты, работающие с данными
  • Научные институты, разрабатывающие цифровые технологии
  • R&D-центры крупных компаний

Телекоммуникации

  • Операторы мобильной связи
  • Поставщики VoIP и IP-телефонии

2. Компании, подпадающие под NIS2 косвенно

Директива также затрагивает компании, не входящие в основной список, но работающие в экосистеме критически важных субъектов.

Поставщики IT-услуг

  • Кибербезопасность
  • Разработка ПО для критических систем
  • Облачные вычисления

Консалтинговые и аутсорсинговые компании

  • Финансовый аудит
  • Юридические компании, работающие с критическими организациями
  • Аутсорсинговые IT-компании

Малый и средний бизнес в цепочке поставок

  • Производители оборудования и ПО для компаний из списка NIS2
  • Подрядчики на техническое обслуживание инфраструктуры
  • Стартапы, создающие решения для критических отраслей

Финтех и блокчейн-компании

  • Операторы криптовалютных бирж
  • Провайдеры платёжных сервисов
  • FinTech-стартапы, работающие с банками

3. Какие компании могут быть включены в список вручную?

Некоторые организации не подпадают под директиву автоматически, но могут быть включены государством в индивидуальном порядке. Это касается:

  • Компаний с высокой степенью цифровизации, даже если они не достигают финансовых порогов NIS2
  • Гибридных организаций (например, медицинские стартапы, разрабатывающие ПО для госпиталей)
  • Субподрядчиков крупных компаний (если услуги критически важны)

 

Какие риски для бизнеса?

Штрафы

  • До 10 миллионов евро или 2% от мирового годового оборота за несоответствие
  • От 7 до 10 миллионов евро за несоблюдение обязанностей по управлению рисками
  • Персональная ответственность директоров за нарушения

Проверки и санкции

  • Государственные регуляторы ЕС получают расширенные полномочия по проведению проверок
  • Возможность временной приостановки деятельности за систематические нарушения

 Потеря клиентов и контрактов

  • Компании, не соответствующие NIS2, могут быть исключены из тендеров и цепочек поставок крупных клиентов

Как подготовиться?

NIS2 существенно расширяет регулирование кибербезопасности в ЕС. Теперь не только крупные корпорации, но и малый и средний бизнес в цепочке поставок должны соответствовать требованиям.

Если ваша компания работает с IT, финансами, энергетикой, транспортом или здравоохранением, вам необходимо подготовиться к NIS2 уже сейчас.

  1.  Аудит текущего состояния – выявите, насколько ваш бизнес соответствует требованиям NIS2
  2. Внедрение кибербезопасности по стандартам ЕС – обновите процессы управления рисками и защиты данных
  3. Обучение персонала – проведите тренинги по NIS2 для ключевых сотрудников
  4. Проверка цепочки поставок – убедитесь, что ваши партнёры также соответствуют NIS2

В InDevLab мы разрабатываем и внедряем решения для полного соответствия требованиям NIS2: от аудита и анализа рисков до технической реализации и обучения персонала.

Мы помогаем компаниям избежать штрафов и минимизировать киберриски.

Хотите получить аудит и анализа по внедрению NIS2 требований в вашей оррганизации? Заполните форму на сайте

044 223 8497

Кловский спуск 7

info@indevlab.com