Директива кібербезпеки NIS 2
Нові правила посиленої кібербезпеки в Євросоюзі
Нова директива з кібербезпеки NIS 2 із січня 2023 року запроваджує обов’язкові заходи інформаційної безпеки та вимоги до звітності про інциденти інформаційної безпеки. За невиконання цих вимог багато компаній у певних секторах будуть піддаватися значним штрафам.
Що таке директиви NIS і NIS 2?
NIS (the security of network and information systems) означає безпеку мережевих та інформаційних систем. Директива NIS діє від 2016 року. Раніше правила насамперед стосувалися компаній критичної інфраструктури та постачальників цифрових послуг (онлайн-ринків, онлайн-пошуковиків і сервісів хмарних обчислень).
Попереднє секторальне охоплення Директиви NIS розширено за допомогою NIS2 на значно більшу частину економіки, щоб забезпечити всебічне охоплення секторів і послуг, які мають вирішальне значення для основних соціальних та економічних видів діяльності на внутрішньому ринку.
Директива з кібербезпеки спрямована на підвищення кібер-стійкості та поліпшення реагування на інциденти безпеки в державному та приватному секторах у ЄС.
Коли набув чинності NIS 2?
Директива NIS є першим законодавчим актом з кібербезпеки в масштабах ЄС. До 9 травня 2018 року всі країни-члени ЄС повинні були внести цей акт у своє національне законодавство. NIS2 набула чинності 16 січня 2023 року та повністю замінила попередню Директиву про безпеку мереж та інформаційних систем (NIS) 17 жовтня 2024 року.
Кого стосується NIS 2?
Директива NIS2 стосується організацій із таких секторів:
Критичні галузі | Важливі галузі |
Енергетика | Поштові та кур’єрські служби |
Транспорт | Управління відходами |
Банківська сфера | Хімічна промисловість |
Інфраструктури фінансового ринку | Харчова промисловість |
Охорона здоров’я | Промислове виробництво |
Забезпечення питною водою | Постачальники цифрових послуг |
Каналізаційні системи | Дослідження (опціонально) |
Цифрова інфраструктура | |
Управління B2B-сервісами інформаційних технологій | |
Державне управління | |
Космічні дослідження |
Таким чином, директива встановлює вимоги до організацій, що надають найважливіші послуги у сфері енергетики, логістики, фінансів, охорони здоров’я, комунальних служб, цифрової інфраструктури, промисловості, державного управління та досліджень.
Чи стосується директива NIS 2 малого бізнесу?
Компанії, в яких працюють менше ніж 50 осіб, і річний оборот яких не перевищує 10 мільйонів євро, або річний підсумковий баланс не перевищує 10 мільйонів євро, вважаються невеликими, і тому не підпадають під дію директиви NIS2.
Однак є винятки – під дію директиви потрапляють такі компанії, незалежно від їхнього розміру:
- Провайдери трастових послуг;
- Оператори загальнодоступних мереж електронного зв’язку або постачальники загальнодоступних послуг електронного зв’язку;
- Реєстри імен TLD і постачальники послуг DNS, за винятком операторів кореневих серверів імен;
- Компанії, які є єдиним постачальником послуг у державі-члені ЄС, необхідних для підтримки критично важливої соціальної або економічної діяльності.
Таким чином, NIS 2 поширюється не тільки на великі організації, а й на деякі підприємства малого бізнесу, які у свою чергу, повинні дотримуватися вимог директиви для забезпечення високого загального рівня кібербезпеки на всій території ЄС і уникнути штрафів за недотримання вимог.
ЗАПРОСИТИ ЦІНУВимоги NIS 2
Заходи та сфера впливу
Директива NIS 2, яка набрала чинності 16 січня 2023 року та повністю замінила NIS 17 жовтня 2024 року, спрямована на поліпшення наявного стану кібербезпеки в ЄС шляхом створення необхідної структури управління кібер-кризами, підвищення рівня гармонізації вимог безпеки та зобов’язань зі звітування, а також установлення базового рівня заходів з управління ризиками кібербезпеки та зобов’язань зі звітування в усіх секторах, на які поширюється дія директиви.
Стратегія та управління кібербезпекою
Директива NIS 2 вимагає від організацій наявності стратегії та управління кібербезпекою для протидії кіберзагрозам, що виникають. Це охоплює такі заходи, як управління ризиками, управління інцидентами та співробітництво.
Управління інформаційною безпекою
Директива NIS 2 вимагає від організацій наявності системи управління інформаційною безпекою для забезпечення конфіденційності, цілісності та доступності інформації. Сюди входять такі заходи, як контроль доступу, шифрування та реагування на інциденти.
Зобов’язання щодо звітності
Директива NIS 2 вимагає від організацій повідомляти про інциденти кібербезпеки компетентному національному органу протягом 24 годин з моменту отримання інформації про інцидент. Після закінчення 72 годин треба передати державному органу повний звіт про інцидент, що містить оцінку інциденту, ступінь серйозності, наслідки й індикатори.
Навчання та інформованість
Директива NIS 2 вимагає від організацій проводити навчання керівництва і співробітників для отримання глибших знань у сфері кібербезпеки. Це охоплює такі заходи, як інформаційні кампанії, програми навчання і симуляції.
Штрафи за невиконання вимог NIS 2
Директива NIS 2 передбачає штрафні санкції за недотримання вимог. Міра відповідальності залежить від тяжкості порушення та розміру організації.
Штрафи
Для великих організацій держави-члени повинні передбачити максимальний штраф у розмірі щонайменше 7 000 000 євро або щонайменше 1,4% від загального світового річного обороту.
Санкції
Держави-члени можуть накладати санкції на організації, які не виконують вимоги Директиви NIS 2. Ці санкції можуть включати призупинення або відкликання ліцензій, дозволів і допусків.
Репутаційний збиток
Недотримання Директиви NIS 2 може призвести до репутаційного збитку для організації. Це може призвести до втрати клієнтів, партнерів та інвесторів.
Важливо зазначити, що санкції за недотримання можуть варіюватися залежно від країни та конкретних обставин порушення. Крім того, важливо переконатися в тому, що організація дотримується вимог Директиви NIS 2, для уникнення репутаційного збитку, який може бути навіть вищим за штрафи.
Впровадження Директиви NIS 2
Ми прагнемо приділяти першочергову увагу безпеці систем, захисту конфіденційних даних і збереженню довіри наших клієнтів. Впровадження відповідності Директиві NIS 2 підвищить рівень вашої безпеки та продемонструє прихильність підтримці високого загального рівня кібербезпеки. У результаті ви отримаєте:
Не чекайте останнього моменту або судового позову, а займіться забезпеченням відповідності заздалегідь. Сумний досвід впровадження GDPR показує, що компанії, які проявили безпечність, дорого заплатили за це. Водночас, компанії, які звернулися до нас заздалегідь, змогли швидко і безшовно забезпечити впровадження відповідності директивам ЄС.
Наші експерти компетентні не тільки в технічних та організаційних питаннях кібербезпеки, а й у нюансах законодавства ЄС. Бажаєте відповідати всім вимогам NIS 2 і знизити ризики високих штрафів уже сьогодні? Тоді замовте безкоштовну консультацію тут!