NIS2 в 2024: Какие компании обязаны соблюдать новую директиву ЕС по кибербезопасности?
С 18 октября 2024 года вступила в силу обновлённая Директива ЕС NIS2. Какие компании она затронет, какие штрафы предусмотрены за несоблюдение, и как подготовиться?
Что такое NIS2?
NIS2 (Network and Information Security Directive 2) — это обновлённая директива ЕС, направленная на повышение киберустойчивости критически важных и значимых организаций. Она заменяет старую NIS (2016) и значительно расширяет круг компаний, которые обязаны соблюдать её требования.
Её ключевые цели:
- Повышение стандартов кибербезопасности для бизнеса и инфраструктуры
- Ужесточение требований к управлению рисками и инцидент-менеджменту
- Расширение круга организаций, обязанных соблюдать директиву
- Усиление контроля и введение значительных штрафов за несоответствие
Кто попадает под действие NIS2?
Директива NIS2 делит компании на две основные группы:
- Критически важные субъекты (Essential Entities) – крупные компании, работающие в ключевых отраслях.
- Значимые субъекты (Important Entities) – средние и малые компании, оказывающие влияние на экономику и цифровую инфраструктуру.
Критерии:
- Essential Entities – компании с численностью более 250 сотрудников и годовым оборотом более 50 млн евро.
- Important Entities – компании с численностью от 50 до 250 сотрудников и оборотом от 10 млн евро.
- Если компания работает в стратегически важной сфере, но не соответствует числовым критериям, регулятор может включить её в список вручную.
1. Компании, подпадающие под NIS2 напрямую (Essential и Important Entities)
Критически важные сектора (Essential Entities)
Энергетика
- Электростанции, операторы электросетей (включая ВИЭ – солнечную и ветряную энергетику)
- Газовые компании (добыча, транспортировка, хранение, распределение)
- Нефтехимическая промышленность
- Операторы ядерных установок
Транспорт и логистика
- Авиакомпании и аэропорты
- Железнодорожные операторы и вокзалы
- Морские и речные порты
- Метрополитены и трамвайные сети
- Грузоперевозки (наземные, морские, авиа)
Банковский и финансовый сектор
- Коммерческие и инвестиционные банки
- Финансовые биржи
- Платёжные системы и процессинговые компании
Здравоохранение
- Больницы, клиники, медицинские центры
- Производители медицинского оборудования
- Фармацевтические компании и дистрибьюторы
- Биотехнологические компании
Питьевая вода и водоотведение
- Водоснабжающие и водоочистные компании
- Операторы сточных вод
Цифровая инфраструктура
- Центры обработки данных (дата-центры)
- Облачные сервисы (SaaS, PaaS, IaaS)
- Интернет-провайдеры
- Операторы мобильной и фиксированной связи
Государственный сектор
- Государственные органы и агентства
- Муниципальные администрации
Значимые сектора (Important Entities)
Эти компании имеют более мягкий контроль, но всё же обязаны соблюдать директиву.
Производственные компании
- Машиностроение
- Автомобильная промышленность
- Производство электроники
- Производство продуктов питания
IT и цифровые сервисы
- Поставщики IT-аутсорсинга
- Разработчики ПО, кибербезопасности и цифровых решений
- SaaS-компании, предлагающие бизнес-сервисы
Почтовые и курьерские службы
- Национальные и частные почтовые операторы
- Крупные логистические компании (DHL, FedEx и т.д.)
Исследовательские организации
- Университеты, работающие с данными
- Научные институты, разрабатывающие цифровые технологии
- R&D-центры крупных компаний
Телекоммуникации
- Операторы мобильной связи
- Поставщики VoIP и IP-телефонии
2. Компании, подпадающие под NIS2 косвенно
Директива также затрагивает компании, не входящие в основной список, но работающие в экосистеме критически важных субъектов.
Поставщики IT-услуг
- Кибербезопасность
- Разработка ПО для критических систем
- Облачные вычисления
Консалтинговые и аутсорсинговые компании
- Финансовый аудит
- Юридические компании, работающие с критическими организациями
- Аутсорсинговые IT-компании
Малый и средний бизнес в цепочке поставок
- Производители оборудования и ПО для компаний из списка NIS2
- Подрядчики на техническое обслуживание инфраструктуры
- Стартапы, создающие решения для критических отраслей
Финтех и блокчейн-компании
- Операторы криптовалютных бирж
- Провайдеры платёжных сервисов
- FinTech-стартапы, работающие с банками
3. Какие компании могут быть включены в список вручную?
Некоторые организации не подпадают под директиву автоматически, но могут быть включены государством в индивидуальном порядке. Это касается:
- Компаний с высокой степенью цифровизации, даже если они не достигают финансовых порогов NIS2
- Гибридных организаций (например, медицинские стартапы, разрабатывающие ПО для госпиталей)
- Субподрядчиков крупных компаний (если услуги критически важны)
Какие риски для бизнеса?
Штрафы
- До 10 миллионов евро или 2% от мирового годового оборота за несоответствие
- От 7 до 10 миллионов евро за несоблюдение обязанностей по управлению рисками
- Персональная ответственность директоров за нарушения
Проверки и санкции
- Государственные регуляторы ЕС получают расширенные полномочия по проведению проверок
- Возможность временной приостановки деятельности за систематические нарушения
Потеря клиентов и контрактов
- Компании, не соответствующие NIS2, могут быть исключены из тендеров и цепочек поставок крупных клиентов
Как подготовиться?
NIS2 существенно расширяет регулирование кибербезопасности в ЕС. Теперь не только крупные корпорации, но и малый и средний бизнес в цепочке поставок должны соответствовать требованиям.
Если ваша компания работает с IT, финансами, энергетикой, транспортом или здравоохранением, вам необходимо подготовиться к NIS2 уже сейчас.
- Аудит текущего состояния – выявите, насколько ваш бизнес соответствует требованиям NIS2
- Внедрение кибербезопасности по стандартам ЕС – обновите процессы управления рисками и защиты данных
- Обучение персонала – проведите тренинги по NIS2 для ключевых сотрудников
- Проверка цепочки поставок – убедитесь, что ваши партнёры также соответствуют NIS2
В InDevLab мы разрабатываем и внедряем решения для полного соответствия требованиям NIS2: от аудита и анализа рисков до технической реализации и обучения персонала.
Мы помогаем компаниям избежать штрафов и минимизировать киберриски.
Хотите получить аудит и анализа по внедрению NIS2 требований в вашей оррганизации? Заполните форму на сайте