Директива кибербезопасности NIS 2

Домашняя / Сервисы / Cоответствие требованиям безопасности / Директива кибербезопасности NIS 2

Новые правила усиленной кибербезопасности в Евросоюзе

Новая директива по кибербезопасности NIS 2 с января 2023 года вводит обязательные меры информационной безопасности и требования к отчетности об инцидентах информационной безопасности. За невыполнение этих требований многие компании в определенных секторах будут подвергаться крупным штрафам.

Что такое директивы NIS и NIS 2?

NIS (the security of network and information systems) означает безопасность сетевых и информационных систем. В настоящее время действует директива NIS от 2016 года. Действующие правила в первую очередь касаются компаний критической инфраструктуры и поставщиков цифровых услуг (онлайн-рынков, онлайн-поисковиков и сервисов облачных вычислений).

Предыдущий секторальный охват Директивы NIS расширен с помощью NIS2 на гораздо большую часть экономики, чтобы обеспечить всесторонний охват секторов и услуг, которые имеют решающее значение для основных социальных и экономических видов деятельности на внутреннем рынке.

Директива по кибербезопасности направлена на повышение кибер-устойчивости и улучшение реагирования на инциденты безопасности в государственном и частном секторах в ЕС.

Когда вступает в силу NIS 2?

Директива NIS является первым законодательным актом по кибербезопасности в масштабах ЕС. К 9 мая 2018 года все страны-члены ЕС должны были внести этот акт в своё национальное законодательство. NIS2 вступила в силу 16 января 2023 года и полностью заменит действующую Директиву о безопасности сетей и информационных систем (NIS) 17 октября 2024 года.

Кого касается NIS 2?

Директива NIS2 касается организаций из следующих секторов:

Критические отрасли	Важные отрасли
Энергетика	Почтовые и курьерские службы
Транспорт	Управление отходами
Банковская сфера	Химическая промышленность
Инфраструктуры финансового рынка	Пищевая промышленность
Здравоохранение	Промышленное производство
Обеспечение питьевой водой	Поставщики цифровых услуг
Канализационные системы	Исследования (опционально)
Цифровая инфраструктура
Управление B2B-сервисами информационных технологий
Государственное управление
Космические исследования

Таким образом, директива устанавливает требования к организациям, предоставляющим важнейшие услуги в сфере энергетики, логистики, финансов, здравоохранения, коммунальных служб, цифровой инфраструктуры, промышленности, государственного управления и исследований.

Касается ли директива NIS 2 малого бизнеса?

Компании, в которых работают менее 50 человек, и годовой оборот которых не превышает 10 миллионов евро, или годовой итоговый баланс не превышает 10 миллионов евро, считаются небольшими, и поэтому не подпадают под действие директивы NIS2.

Однако есть исключения – под действие директивы попадают следующие компании, независимо от их размера:

Провайдеры трастовых услуг;
Операторы общедоступных сетей электронной связи или поставщики общедоступных услуг электронной связи;
Реестры имен TLD и поставщики услуг DNS, за исключением операторов корневых серверов имен;
Компании, которые являются единственным поставщиком услуг в государстве-члене ЕС, необходимых для поддержания критически важной социальной или экономической деятельности.

Таким образом, NIS 2 распространяется не только на крупные организации, но и на некоторые предприятия малого бизнеса, которые, в свою очередь, должны соблюдать требования директивы, чтобы обеспечить высокий общий уровень кибербезопасности на всей территории ЕС и избежать штрафов за несоблюдение требований.

ЗАПРОСИТЬ ЦЕНУ

Требования NIS 2

Меры и область охвата

Директива NIS 2, вступившая в силу 16 января 2023 года, направлена на улучшение существующего состояния кибербезопасности в ЕС путем создания необходимой структуры управления кибер-кризисами, повышения уровня гармонизации требований безопасности и обязательств по отчетности, а также установления базового уровня мер по управлению рисками кибербезопасности и обязательств по отчетности во всех секторах, на которые распространяется действие директивы.

Стратегия и управление кибербезопасностью

Директива NIS 2 требует от организаций наличия стратегии и управления кибербезопасностью для противодействия возникающим киберугрозам. Это включает в себя такие меры, как управление рисками, управление инцидентами и сотрудничество.

Управление информационной безопасностью

Директива NIS 2 требует от организаций наличия системы управления информационной безопасностью для обеспечения конфиденциальности, целостности и доступности информации. Сюда входят такие меры, как контроль доступа, шифрование и реагирование на инциденты.

Обязательства по отчетности

Директива NIS 2 требует от организаций сообщать об инцидентах кибербезопасности компетентному национальному органу в течение 24 часов с момента получения информации об инциденте. По истечении 72 часов должен быть передан полный отчет об инциденте, содержащий оценку инцидента, степень серьезности, последствия и индикаторы.

Обучение и информированность

Директива NIS 2 требует от организаций проводить обучение руководства и сотрудников для получения более глубоких знаний в области кибербезопасности. Это включает в себя такие меры, как информационные кампании, программы обучения и симуляции.

Штрафы за невыполнение требований NIS 2

Директива NIS 2 предусматривает штрафные санкции за несоблюдение требований. Мера ответственности зависит от тяжести нарушения и размера организации.

Штрафы

Для крупных организаций государства-члены должны предусмотреть максимальный штраф в размере не менее 7 000 000 евро или не менее 1,4% от общего мирового годового оборота.

Санкции

Государства-члены могут накладывать санкции на организации, не выполняющие требования Директивы NIS 2. Эти санкции могут включать приостановку или отзыв лицензий, разрешений и допусков.

Репутационный ущерб

Несоблюдение Директивы NIS 2 может привести к репутационному ущербу для организации. Это может привести к потере клиентов, партнеров и инвесторов.

Важно отметить, что санкции за несоблюдение могут варьироваться в зависимости от страны и конкретных обстоятельств нарушения. Кроме того, важно убедиться в том, что организация соблюдает требования Директивы NIS 2, чтобы избежать репутационного ущерба, который может быть даже выше штрафов.

Внедрение Директивы NIS 2

Мы стремимся уделять первостепенное внимание безопасности систем, защите конфиденциальных данных и сохранению доверия наших клиентов. Внедрение соответствия Директиве NIS 2 повысит уровень вашей безопасности и продемонстрирует приверженность поддержанию высокого общего уровня кибербезопасности. В результате вы получите:

Повышение уровня кибербезопасности

NIS 2 предусматривает правовые меры, направленные на повышение общего уровня кибербезопасности в ЕС. Выполнение этих требований повысит уровень кибербезопасности и защитит ваши системы и данные от потенциальных угроз.

Устойчивость и реагирование на инциденты

Внедрение NIS 2 повысит вашу устойчивость к внешним воздействиям и способность реагировать на инциденты. Также это повысит вашу способность обнаруживать и реагировать на инциденты, сводя к минимуму возможный ущерб и сбои в работе.

Соответствие требованиям и юридическим обязательствам

Соблюдение NIS 2 позволит избежать штрафов, репутационного ущерба и юридических последствий, связанных с несоблюдением требований директивы.

Не ждите последнего момента или судебного иска, а займитесь обеспечением соответствия заранее. Печальный опыт внедрения GDPR показывает, что компании, проявившие беспечность, дорого заплатили за это. В то же время, компании, которые обратились к нам заранее, смогли быстро и бесшовно обеспечить внедрение соответствия директивам ЕС.

Наши эксперты компетентны не только в технических и организационных вопросах кибербезопасности, но и в нюансах законодательства ЕС. Хотите соответствовать всем требованиям NIS 2 и снизить риски высоких штрафов уже сегодня? Тогда закажите бесплатную консультацию здесь!