NIS2: оновлені стандарти кібербезпеки в Європі

14 Лютого 2025

У жовтні 2024 року Європейський Союз офіційно ввів у дію Директиву NIS2 (Network and Information Security 2), яка суттєво розширює вимоги до кібербезпеки компаній у ключових секторах економіки. Ця директива покликана підвищити стійкість компаній до кіберзагроз та забезпечити єдиний рівень безпеки в межах ЄС. У цій статті ми розглянемо, кого стосується NIS2, які вимоги вона висуває та як компанії можуть підготуватися до її виконання.

Що таке NIS2

Директива NIS2 є оновленою версією Директиви NIS (2016/1148), яка була першою законодавчою ініціативою ЄС у сфері кібербезпеки. Основною метою NIS2 є зміцнення кібербезпеки критичних секторів економіки та забезпечення єдиного рівня захисту в межах Європейського Союзу. Директива спрямована на усунення недоліків попередньої NIS (2016/1148) та створення ефективної системи управління ризиками кіберзагроз. Зокрема, вона має такі завдання:

  • Посилення кібербезпеки критичних інфраструктур – забезпечення стійкості стратегічно важливих секторів, таких як енергетика, фінанси, транспорт та охорона здоров’я.
  • Гармонізація законодавства в межах ЄС – створення єдиного підходу до кібербезпеки, який зменшить розбіжності між державами-членами.
  • Розширення сфери застосування – включення до регулювання більшої кількості підприємств, що працюють у важливих секторах економіки, включаючи цифрову інфраструктуру та послуги.
  • Підвищення рівня відповідальності керівників компаній – запровадження персональної відповідальності для керівництва компаній, що забезпечує більш серйозне ставлення до питань безпеки.
  • Зміцнення кіберстійкості Європи – створення стратегії швидкого реагування на кіберзагрози, підвищення обізнаності та забезпечення ефективної взаємодії між приватним і державним секторами.
  • Безпека ланцюгів постачання – зобов’язання компаній враховувати кіберризики на всіх етапах своєї діяльності, включаючи взаємодію з підрядниками та партнерами.

На кого поширюється NIS2

На відміну від попередньої версії, яка регулювала лише операторів критично важливих послуг та постачальників цифрових послуг, NIS2 охоплює значно ширше коло компаній.

При цьому, варто враховувати, що директива поширюється не лише на компанії, що зареєстровані в ЄС, а й на іноземні підприємства, якщо вони надають послуги або здійснюють діяльність на території Європейського Союзу. Іноземні компанії, які відповідають критеріям суттєвих або важливих суб’єктів, повинні дотримуватися вимог директиви, навіть якщо їхній головний офіс знаходиться за межами ЄС. Це означає, що вони зобов’язані забезпечити належний рівень кібербезпеки та відповідати вимогам щодо управління ризиками, звітування про інциденти та аудиту.

NIS2 розділяє компанії на дві категорії:

  • Суттєві суб’єкти (Essential entities) – великі компанії у критичних галузях, таких як енергетика, транспорт, фінансовий сектор, охорона здоров’я, питна вода, цифрова інфраструктура тощо.
  • Важливі суб’єкти (Important entities) – середні компанії, які надають важливі послуги, включаючи управління ІТ-сервісами, виробництво ІКТ-обладнання, поштові послуги та багато інших.

Ключові вимоги та обов’язки

Враховуючи той факт, що нова директива спрямована на вдосконалення кібербезпеки, є логічним, що в ній передбачені наступні вимоги:

1. Компанії повинні розробити та впровадити ефективні заходи кібербезпеки для розширеного управління ризиками та захисту своїх мереж та інформаційних систем.
2. Компаніії мають повідомляти про серйозні кіберінциденти національні компетентні органи (NCA – National Competent Authorities) або національні команди реагування на кіберінциденти (CSIRT – Computer Security Incident Response Teams) протягом 24 годин після їх виявлення.
3. Компанії повинні враховувати кіберризики у всіх своїх ділових відносинах та забезпечувати безпечність співпраці з постачальниками та всіма іншими особами, які залучаються в ланцюжок постачання. Мається на увазі, що компанії повинні проводити аналіз та оцінку ризиків залучення постачальників з точки зору кібербезпеки.

Аудити та перевірки

Директива NIS2 значно розширює можливості національних компетентних органів щодо контролю дотримання вимог кібербезпеки компаніями. Відповідно до нових правил, регулятори отримують можливість проводити як планові, так і позапланові аудити компаній, які підпадають під дію NIS2. Окрім цього, аудити можуть включати перевірку політик безпеки, заходів захисту інформаційних систем, процедур реагування на кіберінциденти та відповідності вимогам щодо управління ризиками.

Національні компетентні органи нагляду можуть вимагати у компаній надання детальної інформації про їхні заходи кібербезпеки, звіти про проведені внутрішні аудити, а також документи щодо управління ризиками та інцидентами.

Важливо також наголосити, що перевірки та аудити можуть проводитися на місці, що означає, що регулятори можуть здійснювати фізичні перевірки інформаційних систем, дата-центрів та інших об’єктів, пов’язаних із забезпеченням кібербезпеки, що може включати penetration testing або симуляції кіберінцидентів для оцінки рівня захисту.

Відповідальність та санкції

У разі невиконання вимог NIS2 або недотримання встановлених стандартів компанії можуть піддаватися фінансовим санкціям. Наразі встановлені наступні ліміти відповідальності:

  • для суттєвих суб’єктів – до 10 млн євро або 2% річного обороту.
  • для важливих суб’єктів – до 7 млн євро або 1,4% річного обороту.

Окрім цього, згідно з директивою, топ-менеджери будуть нести персональну відповідальність за недотримання вимог кібербезпеки, включаючи можливість штрафних санкцій.

Забезпечення відповідності NIS2

За для можливості відповідати новим вимогам директиви NIS2, ми рекомендуємо компаніям вжити наступні заходи:

  • Провести аудит кібербезпеки, щоб оцінити поточний рівень захисту інформаційних систем.
  • Оновити політики безпеки та впровадити механізми моніторингу кіберзагроз.
  • Розробити плани реагування на інциденти та процедури звітування відповідно до нових вимог.
  • Підвищити рівень обізнаності персоналу щодо загроз та найкращих практик кібербезпеки.
  • Забезпечити безпеку ланцюгів постачання, перевіряючи контрагентів на відповідність стандартам NIS2.

Висновок

NIS2 суттєво підвищує вимоги до кібербезпеки у країнах ЄС та розширює коло суб’єктів, які підлягають регулюванню. Компанії, що вчасно адаптуються до нових правил, зможуть не лише уникнути штрафів, але й зміцнити свій захист від кіберзагроз, підвищити довіру клієнтів та зміцнити свою конкурентну позицію. У сучасному цифровому світі кібербезпека – це не тільки вимога законодавства, а й необхідність для сталого розвитку бізнесу.