044 223 8497

Кловський узвіз, 7

info@indevlab.com
25 Листопада 2024

NIS2 у 2024: Які компанії зобов’язані дотримуватися нової директиви ЄС щодо кібербезпеки?

Директива NIS2: кого вона стосується, які передбачені штрафи та як підготуватися?

Що таке NIS2?

NIS2 (Network and Information Security Directive 2) — це оновлена директива ЄС, спрямована на підвищення кіберстійкості критично важливих і значущих організацій. Вона замінює стару NIS (2016) і значно розширює коло компаній, які повинні відповідати її вимогам.

Ключові цілі NIS2:

  • Підвищення стандартів кібербезпеки для бізнесу та інфраструктури
  • Посилення вимог до управління ризиками та реагування на інциденти
  • Розширення переліку організацій, які зобов’язані дотримуватися директиви
  • Посилення контролю та запровадження значних штрафів за недотримання

Хто підпадає під дію NIS2?

Директива NIS2 поділяє компанії на дві основні групи:

  • Критично важливі суб’єкти (Essential Entities) – великі компанії, що працюють у ключових секторах
  • Значущі суб’єкти (Important Entities) – середні та малі компанії, які мають значний вплив на економіку та цифрову інфраструктуру

Критерії:

  • Essential Entities – компанії з понад 250 працівниками та річним оборотом понад €50 млн
  • Important Entities – компанії з 50–250 працівниками та річним оборотом від €10 млн

Якщо компанія працює у стратегічно важливій сфері, але не відповідає кількісним критеріям, регулятор може включити її до списку вручну.

1. Компанії, що безпосередньо підпадають під NIS2 (Essential і Important Entities)

Критично важливі сектори (Essential Entities)

Ці галузі повинні дотримуватися найсуворіших вимог кібербезпеки:

Енергетика
  • Електростанції, оператори електромереж (включаючи ВДЕ – сонячну та вітрову енергетику)
  • Газові компанії (видобуток, транспортування, зберігання, розподіл)
  • Нафтопереробна та нафтохімічна промисловість
  • Оператори ядерних установок
Транспорт і логістика
  • Авіакомпанії та аеропорти
  • Залізничні оператори та вокзали
  • Морські та річкові порти
  • Метрополітен та трамвайні мережі
  • Вантажоперевезення (наземні, морські, авіа)
Банківський та фінансовий сектор
  • Комерційні та інвестиційні банки
  • Фондові біржі
  • Платіжні системи та процесингові компанії
Охорона здоров’я
  • Лікарні, клініки, медичні центри
  • Виробники медичного обладнання
  • Фармацевтичні компанії та дистриб’ютори
  • Біотехнологічні компанії
Водопостачання та водовідведення
  • Водопостачальні та водоочисні компанії
  • Оператори стічних вод
Цифрова інфраструктура
  • Центри обробки даних (дата-центри)
  • Хмарні сервіси (SaaS, PaaS, IaaS)
  • Інтернет-провайдери
  • Оператори мобільного та фіксованого зв’язку
Державний сектор
  • Державні органи та агентства
  • Муніципальні адміністрації

Значущі сектори (Important Entities)

Ці компанії мають менш суворий контроль, але також повинні відповідати вимогам NIS2.

Виробництво
  • Машинобудування
  • Автомобільна промисловість
  • Виробництво електроніки
  • Харчова промисловість
IT та цифрові сервіси
  • Постачальники IT-аутсорсингу
  • Розробники ПЗ, кібербезпеки та цифрових рішень
  • SaaS-компанії, що пропонують бізнес-сервіси
Поштові та кур’єрські служби
  • Національні та приватні поштові оператори
  • Великі логістичні компанії (DHL, FedEx тощо)
Дослідницькі організації
  • Університети, що працюють з даними
  • Наукові інститути, що розробляють цифрові технології
  • R&D-центри великих компаній
Телекомунікації
  • Оператори мобільного зв’язку
  • Постачальники VoIP і IP-телефонії

2. Компанії, що підпадають під NIS2 опосередковано

NIS2 також впливає на компанії, які не входять до основного списку, але працюють в екосистемі критично важливих суб’єктів.

Постачальники IT-послуг
  • Кібербезпека
  • Розробка ПЗ для критичних систем
  • Хмарні обчислення
Консалтингові та аутсорсингові компанії
  • Фінансовий аудит
  • Юридичні компанії, що працюють з критичними організаціями
  • IT-аутсорсингові компанії
Малий і середній бізнес у ланцюжку постачань
  • Виробники обладнання та ПЗ для компаній з переліку NIS2
  • Підрядники на технічне обслуговування інфраструктури
  • Стартапи, що створюють рішення для критичних галузей
Фінтех та блокчейн-компанії
  • Оператори криптовалютних бірж
  • Провайдери платіжних сервісів
  • FinTech-стартапи, що співпрацюють з банками

3. Які компанії можуть бути включені до списку вручну?

Деякі організації не підпадають під директиву автоматично, але можуть бути включені регулятором в індивідуальному порядку, якщо вони:

  • Мають високий рівень цифровізації, навіть якщо не досягають фінансових порогів NIS2
  • Є гібридними організаціями (наприклад, медичні стартапи, що розробляють ПЗ для лікарень)
  • Є субпідрядниками великих компаній (якщо їхні послуги критично важливі)

 

Які ризики для бізнесу?

Штрафи

  • До €10 млн або 2% від світового річного обороту за невідповідність
  • Від €7 до 10 млн за недотримання вимог управління ризиками
  • Персональна відповідальність директорів за порушення

Перевірки та санкції

  • Розширені повноваження регуляторів ЄС щодо проведення аудитів
  • Можливість тимчасового припинення діяльності за систематичні порушення

Втрата клієнтів і контрактів

  • Компанії, що не відповідають NIS2, можуть бути виключені з тендерів і ланцюгів постачань

Як підготуватися?

В InDevLab ми допомагаємо компаніям відповідати вимогам NIS2 – від аудиту та аналізу ризиків до впровадження технічних рішень і навчання персоналу. Більш детальні вимоги Ви можете вивчити у нашій статті.

Хочете отримати аудит та аналіз NIS2 для вашої компанії? Заповніть форму на сайті!

Background Попередній

NIS2 за 5 хвилин: ключові вимоги та наслідки недотримання

Наступний

Unveiling Scaling Secrets: Ексклюзивний воркшоп для стартапів, консультантів з росту та радників

044 223 8497

Кловський узвіз, 7

info@indevlab.com