Директива NIS2: що це і як впроваджувати?

Директива NIS2 встановлює нові вимоги з кібербезпеки для компаній, що працюють у країнах ЄС. Підприємства, на які поширюється ця законодавча зміна, повинні будуть забезпечити безперебійну роботу своїх ІТ-систем, повідомляти про інциденти, пов’язані з безпекою, та проводити навчання для своїх співробітників у сфері кібербезпеки.

Зміни в NIS2 відчутно вплинуть і на український бізнес, який працює з ринком ЄС. Оскільки за невиконання цих вимог можуть накладатися суттєві штрафи, важливо детально розібратися в питаннях, які регулює NIS2, та підготувати свою компанію до змін. Кого стосується ця директива? З якого часу вона починає діяти і як підготуватися до її впровадження? Відповідаємо та пояснюємо в цьому матеріалі.

Що таке NIS2?

NIS2 — це оновлена Директива Європейського Парламенту та Ради, що регулює заходи для забезпечення високого рівня кібербезпеки в межах ЄС. Вона є доповненням до попередньої директиви 2016 року (NIS) і розширює її сферу дії, запроваджуючи більш суворі вимоги.

Мета NIS2 — посилити захист ЄС від кіберзагроз, встановивши єдиний стандарт для безпеки мереж та інформаційних систем у країнах-членах. Це допоможе організаціям бути більш захищеними від кібератак, зменшуючи ризик порушення роботи ключових сервісів та інфраструктури.

Хоча директива визначає основні завдання та зобов’язання у сфері кібербезпеки, вона не пропонує чітких інструкцій щодо конкретних засобів або рішень для їх реалізації. Це дає компаніям свободу дій, але заходи мають бути пропорційними ризикам, з якими вони стикаються.

NIS2 – основні зміни

У порівнянні з попередньою директивою 2016 року, NIS2 приносить декілька важливих нововведень:

• Більше охопленя компаній. Якщо раніше дія поширювалася на 11 напрямків, то NIS2 охоплює 18 галузей і знижує пороги для входу до цієї категорії.
• Управління кібербезпекою у ланцюгах постачання. Тепер компанії мають забезпечувати безпеку не лише власних систем, а й всього ланцюга постачань.
• Навчання співробітників. Працівники компаній повинні бути проінформовані про ризики порушення кібербезпеки та навчитися їх уникати.
• Особиста відповідальність керівництва. Керівники та члени правління будуть нести особисту відповідальність за порушення вимог кібербезпеки.
• Звітування про інциденти. Компанії зобов’язані повідомляти відповідним державнти органам про інциденти, пов’язані з безпекою.
• Співпраця на рівні ЄС. Країни-члени мають створити національні групи реагування на інциденти (CSIRT – Computer Security Incident Response Team, Група реагування на інциденти комп’ютерної безпеки), які будуть тісно співпрацювати з іншими країнами в межах ЄС.

На що спрямовані законодавчі зміни?

Запроваджені NIS2 зміни стали відповіддю на зростання кількості цифрових загроз в Європі. Кібератаки стають все складнішими і частішими, тож директива спрямована на підвищення готовності організацій до протидії новим викликам. Це особливо важливо для забезпечення безперервності роботи критичної інфраструктури та послуг, важливих для функціонування держав.

Уніфікація законодавства в межах ЄС має на меті посилити співпрацю між країнами-членами та підвищити ефективність у сфері захисту даних. Це дозволить швидше реагувати на інциденти, обмінюватися інформацією про загрози та координувати зусилля на європейському рівні.

Кого стосується NIS2?

Нову директиву NIS2 зобов’язані виконувати всі організації, як приватні, так і державні, що діють на території Європейського Союзу та надають критично важливі послуги.

NIS2 розділяє організації на дві категорії: ключові та важливі. До них належать великі та середні компанії, що працюють у сферах  критично важливих для функціонування суспільства та економіки. Розмір компанії також визначає приналежність до однієї з категорій. 

Таким чином, під дію директиви підпадають фізичні, юридичні особи або організації, що класифікуються як великі або середні підприємства, якщо вони відповідають хоча б одній із цих умов:

• працевлаштовують від 50 до 250 осіб;
• мають річний оборот від 10 до 50 мільйонів євро або річний баланс від 10 до 43 мільйонів євро.

Важливо зазначити, що компанії, які відіграють критичну роль у певних ключових секторах, можуть підпадати під дію директиви незалежно від їх розміру.

Ключові категорії NIS2

До ключових категорій NIS2 належать організації, які мають критичне значення для стабільного функціонування країни. Серед них:

• Енергетика — виробництво, передача та розподіл електроенергії, природного газу, нафти, тепла та води.
• Транспорт — авіаційний, залізничний, водний та автомобільний транспорт, а також оператори транспортної інфраструктури.
• Банківська сфера — кредитні та інвестиційні установи.
• Інфраструктура фінансового ринку — фондові біржі, депозитарії, розрахункові палати, платіжні системи.
• Охорона здоров’я — лікарні, постачальники медичних послуг, виробники та дистриб’ютори медичного обладнання, лабораторії.
• Постачальники питної води.
• Цифрова інфраструктура — хмарні сервіси, пошукові системи, електронна комерція, послуги реєстру доменів, публічні електронні комунікації.
• Державна адміністрація — центральні та регіональні органи влади.
• Космічна галузь — оператори супутників, виробники космічного обладнання.
• Харчова промисловість — виробники, переробники та дистриб’ютори продуктів харчування.
• Поштові послуги — оператори поштових послуг.
• Управління відходами — компанії, що займаються збором, утилізацією та переробкою відходів.

Важливі категорії NIS2

Важливі категорії – це такі, які також мають життєвоважливе значення для функціонування суспільства та економіки, але перебої в їх роботі матимуть менш критичний вплив, ніж у ключових галузях. До цієї категорії належать:

• Поштова та кур’єрська служби — оператори, що надають послуги за межами універсальних поштових послуг.
• Виробництво критично важливих продуктів — виробництво хімічних речовин, медичних виробів, електронного та оптичного обладнання, машин, транспортних засобів.
• Цифрові послуги — платформи соціальних мереж, сервіси обміну відео, інтернет-провайдери, центри обробки даних.
• Дослідження та розробка — організації, що займаються науково-дослідною діяльністю у сферах, які мають значення для державної або економічної безпеки.

Чи відпадає ваша компанія під дію NIS2?

Компанії, які можуть бути підпорядковані новому закону, повинні пройти самоідентифікацію. Це означає, що підприємства самостійно оцінюють, чи підпадають вони під дію директиви NIS2.

Щоб допомогти вам у цьому процесі, ми підготували коротку анкету, яка враховує ключові аспекти для визначення: 

Що зміниться для українських компаній?

Якщо діяльність вашої компанії здійснюється на території Європейського Союзу або ви надаєте послуги його громадянам, то вам необхідно буде дотримуватися всіх вимог NIS2. Це стосується навіть тих випадків, коли ви не маєте зареєстрованої юридичної особи в ЄС — у такій ситуації необхідно призначити представника, так званого EU Representative. Цей представник повинен бути зареєстрований у тій країні ЄС, де надаються ваші послуги. В іншому випадку вам загрожують значні штравні санкції.

Навіть якщо ваша компанія не відповідає вимогам NIS2 через свій розмір або вид діяльності, але співпрацює з партнерами, які підпадають під дію директиви, вас також торкнуться ці правила кібербезпеки. Це пов’язано з тим, що обов’язковим є моніторинг ланцюгів постачання. Якщо ви прагнете зміцнити свої позиції на ринку ЄС, вам необхідно стати надійним партнером, адже ваша недбалість може коштувати вашим партнерам значних штрафів.

NIS2 – вимоги до кібербезпеки

Компанії, на які поширюється дія NIS2, зобов’язані впровадити низку «технічних, операційних та організаційних» заходів, спрямованих на підвищення кібербезпеки та оперативне реагування на інциденти.

Заходи повинні бути відповідними та пропорційними

Ці заходи повинні відповідати рівню ризиків і загроз для конкретної компанії. Це означає, що кожна організація повинна самостійно оцінювати, який рівень захисту є адекватним з урахуванням наявних кіберзагроз. У самій директиві зазначено, що при визначенні пропорційності заходів необхідно враховувати рівень ризиків, розмір підприємства та ймовірні наслідки інцидентів, зокрема їх соціальний і економічний вплив.

NIS2 – обов’язкові елементи

Директива NIS2 встановлює перелік мінімальних заходів, які компанії зобов’язані впровадити для відповідності новим вимогам. Серед них:

• Розробка політики управління ризиками та захисту інформаційних систем.
• Обробка інцидентів безпеки.
• Забезпечення безперервності діяльності, включаючи управління резервними копіями та відновлення після аварій, а також управління кризовими ситуаціями.
• Контроль безпеки ланцюга постачання, що передбачає заходи безпеки у взаємодії з постачальниками та партнерами.
• Захист мереж та інформаційних систем під час придбання, розробки й обслуговування, а також виявлення та усунення недоліків.
• Регулярна оцінка ефективності заходів з управління кіберризиками.
• Дотримання основних правил кібергігієни та навчання працівників щодо безпеки.
• Використання криптографії та шифрування, де це можливо.
• Забезпечення безпеки персоналу, контроль доступу та управління активами.
• Використання багатофакторної автентифікації та захищених каналів комунікації для екстрених ситуацій.

NIS2 – коли набуває чинності?

Директива запрацює в країнах ЕС до 17 жовтня 2024 року. Компанії повинні самостійно оцінити, чи впливають на них нові норми, і якщо так, то повідомити про це національний реєстр суб’єктів, на яких поширюється дія директиви. Компанії, що надають цифрові послуги, мають зробити це до 17 січня 2025 року, а решта – до 17 квітня 2025 року. 

Яка покарання за недотримання NIS2?

Залежно від класифікації даної компанії, за невиконання зобов’язань, накладених NIS2, компаніям загрожують адміністративні штрафи в розмірі 10 млн. євро або 2% від загального річного обороту (для ключових суб’єктів) і 7 млн. євро або 1,4% від загального річного обороту (для важливих суб’єктів). 

Окрім фінансових покарань, на компанії можуть бути накладені й інші, наприклад:

• вимога виконати певні дії для виправлення порушень і дотримання директиви;
• надання обов’язкових інструкцій щодо впровадження певних заходів кібербезпеки;
• наказ про проведення аудиту безпеки;
• розпорядження повідомити клієнтів про загрозу їхнім персональним даним у разі витоку;
• тимчасове призупинення діяльності організації;
• заборона на участь у державних тендерах.

Санкції будуть залежати від серйозності порушень і мають бути пропорційними розміру та фінансовій спроможності компанії. Важливо, щоб санкції були дієвими, але не надмірно руйнівними для бізнесу.

NIS2 – на що звернути увагу та з чого розпочати підготовку?

Найкраще почати з визначення початкового положення компанії. Для цього проаналізуйте, які ІТ-системи наразі використовуються, а потім визначте їхню важливість для безперервності функціонування бізнесу та проаналізуйте слабкі місця і потенційні загрози, на які вони наражаються. 

На основі аналізу свого поточного стану ви зможете визначитися, чи потрібні вам додаткові засоби безпеки і чи потрібно змінювати існуючі безпекові процеси. 

Нове законодавство акцентує увагу на тому, що безпека ІТ-систем можлива лише за умови постійного моніторингу процесів. Це означає, що одноразове налаштування систем недостатнє — необхідно регулярно оцінювати їхню роботу, виявляти загрози й оптимізувати заходи для підвищення ефективності захисту.

Наступним важливим етапом є створення плану дій на випадок виникнення інцидентів безпеки, що можуть загрожувати безперервності роботи систем і компанії загалом. Ці інциденти можуть бути різного рівня серйозності, і тому заходи реагування повинні відповідати масштабам загрози. Відповідно до вимог NIS2, компанії зобов’язані повідомляти державним органам про подібні інциденти, тож варто щоразу оцінювати, чи підпадає випадок під обов’язок інформування.

Спеціалісти FOTC допоможуть вам відповідати вимогам NIS2

Якщо ваша компанія підпадає під дію NIS2, але тема здається вам надто складною та ви не впевнені, з чого почати, звертайтеся до наших експертів. Інженери FOTC допоможуть перенести вашу інфраструктуру в Google Cloud, де забезпечується висока надійність та безпека систем, що повністю відповідають стандартам NIS2.

Наші послуги для відповідності вимогам NIS2, включають:

• Міграція на Google Workspace – ця платформа відповідає всім вимогам кібербезпеки для компаній, що працюють з чутливою інформацією. Дані шифруються як під час зберігання, так і під час передачі, а стабільність роботи систем забезпечується SLA на рівні 99,9999%.
• Моніторинг безпеки Google Workspace – завдяки цьому сервісу ви завжди будете знати про потенційні загрози в системі Google Workspace вашої компанії. Наші спеціалісти стежать за безпекою 24/7, а оперативні сповіщення дозволяють швидко вживати необхідних заходів.
• Навчання для користувачів та адміністраторів – ми ділимося своїм досвідом у сфері безпеки хмарної інфраструктури, проводячи навчання для адміністраторів та користувачів Google Workspace.
• Аудит безпеки Google Workspace – наші інженери проводять повноцінний аудит системи, який дозволяє оцінити початковий стан налаштувань безпеки вашої версії Google Workspace, захистити її від витоків даних, кібератак та недобросовісних дій співробітників. Перевірка охоплює аналіз 237 критичних точок ризику в 11 основних сферах.