NIS 2
С 18 октября 2024 года новая директива ЕС по кибербезопасности - NIS 2 - станет обязательной к исполнению. Это обязательное постановление устанавливает стандарты кибербезопасности в Европейском союзе и заставляет компании из разных отраслей документировать свою стратегию безопасности.
Идет обратный отсчет, и компании призваны действовать.
Давайте готовиться вместе!
Что такое NIS 2?
С помощью NIS 2 (Network and Information Security - сетевая и информационная безопасность) ЕС ввел строгие правила кибербезопасности для своих стран-членов. NIS 2 является преемником Директивы NIS, которая вступила в силу в 2016 году. Поэтому реализация целостной стратегии безопасности уже не только является необходимой для защиты от кибератак, но и требуется по закону.
Государства-члены должны принять необходимые меры для соблюдения Директивы NIS 2 до 17 октября 2024 года и применять эти меры с 18 октября 2024 года.
Чем NIS 1 отличается от NIS 2?
NIS 2 - это улучшенная версия Директивы NIS 2016 года, которая уже была призвана обеспечить высокий уровень безопасности сетевых и информационных систем в Союзе, но имела ряд недостатков.
Наиболее важные различия между NIS 1 и NIS 2 следующие:
-
В новую версию включено больше секторов и компаний, имеющих важное значение для общества и экономики, таких как энергетика, здравоохранение, транспорт и цифровая инфраструктура.
-
NIS 2 требует, чтобы соответствующие компании и организации осуществляли эффективное управление рисками и сообщали о серьезных или значительных киберинцидентах компетентным национальным органам, которые в свою очередь могут принять необходимые меры. В NIS 1 содержатся лишь общие рекомендации по мерам безопасности и информированию об инцидентах.
-
Новая Директива по безопасности предусматривает более строгие санкции для государств-членов, которые могут достигать 20 миллионов евро или четырех процентов от глобального оборота, если соответствующие компании и организации не применяют необходимые меры безопасности или не сообщают о серьезных или значительных киберинцидентах компетентным национальным органам. NIS 1 оставила определение санкций на усмотрение государств-членов, что привело к непоследовательному их применению.
-
NIS 2 подчеркивает личную ответственность руководства за кибербезопасность и впервые предусматривает, что генеральные директора будут нести ответственность своим личным имуществом, если они не выполнят требования законодательства.
Кого это касается?
17 октября 2024 года - дата, к которой все 27 стран-членов ЕС должны без проблем включить правила кибербезопасности NIS 2 в свои национальные законы. Но насущный вопрос остается открытым: Какие компании обязаны выполнять директиву NIS 2?
Важнейшие организации: Это организации, активно работающие в области критических инфраструктур. К ним относятся, например, энергетика, транспорт, водоснабжение и канализация, здравоохранение и банковское дело.
Важные объекты: В эту категорию входят ведущие компании пищевой и химической промышленности, а также те, кто отвечает за производство электроприборов, машин и транспортных средств.
Кроме того, государства-члены сами могут расширить целевые группы, на которые распространяется действие NIS 2. Они могут добавлять в свои национальные списки дополнительные организации, обязывая местные власти, учебные заведения и другие организации выполнять рекомендации.
Каковы штрафные санкции?
Директива NIS 2 строго соблюдается, включая высокие штрафы за несоблюдение или невыполнение обязательств по отчетности. Высота штрафов зависит от категории отдельных компаний.
Компании, отнесенные к категории важных, должны выплатить штрафы в размере от 7 миллионов евро или максимум 1,4% от их общего глобального годового оборота за предыдущий финансовый год. Важнейшим организациям грозят штрафы до 10 миллионов евро или максимум 2% от их общего мирового годового оборота.
Должная осмотрительность в области кибербезопасности не подлежит обсуждению, и высшее руководство обязано руководить внедрением и мониторингом этих мер кибербезопасности.
Что это означает конкретно для Вас?
Директива NIS 2 - это директива ЕС, которая вступила в силу 16 января 2023 года и направлена на повышение кибербезопасности и устойчивости критически важных инфраструктур и поставщиков цифровых услуг. Директива обязывает соответствующие компании и организации придерживаться эффективного управления рисками и сообщать о серьезных или значительных киберинцидентах компетентным национальным органам, которые затем могут принять необходимые меры. Чтобы свести к минимуму потенциальный ущерб для пользователей, окружающей среды и общественного порядка, необходимо на ранних стадиях выявлять пробелы в системе безопасности и принимать превентивные меры по их устранению. Для того чтобы все участники процесса придерживались одинаково высоких стандартов, компании также несут ответственность за обеспечение безопасности всей цепочки поставок и передают требования своим деловым партнерам и поставщикам. Другие меры включают, в частности:
-
Применение надлежащих и соразмерных мер безопасности, соответствующих современным стандартам и передовому опыту, для обеспечения конфиденциальности, целостности, доступности и подлинности своих данных и услуг.
-
Создание и обновление плана обеспечения непрерывности бизнеса, позволяющего восстановить нормальные условия работы после киберинцидента.
-
Для предотвращения несанкционированного доступа вводится многофакторная аутентификация при доступе к своим сетям и информационным системам.
Агентство ЕС по кибербезопасности (ENISA) будет играть ключевую роль в мониторинге и поддержке применения этих правовых актов.
Расписание NIS 2
Директива NIS 2 вступила в силу 16 января 2023 года и должна быть перенесена в национальное законодательство до 17 октября 2024 года. Выполнение директивы будет впервые рассмотрено Комиссией до 17 октября 2027 года и в дальнейшем будет пересматриваться каждые 36 месяцев.
Пришло время активизироваться и подготовиться.
Безопасность 360° – бескомпромиссное комплексное предложение
В динамичном мире кибербезопасности изменения происходят постоянно, и введение Директивы NIS 2 подчеркивает этот факт. Пока мы ждем, когда директива будет перенесена в национальное законодательство и вступит в полную силу, необходимость принятия срочных мер не вызывает сомнений.
Чтобы соответствовать строгим требованиям NIS 2, мы должны опираться на европейские и международные стандарты, которые являются нашей основой. Эти стандарты не только определяют безопасные изделия, но и устанавливают принципы внедрения надежных систем безопасности. Одним из ярких примеров является МЭК 62443, всемирно признанная серия стандартов по безопасности в автоматизации. Наша концепция целостной 360° безопасности включает в себя как технические, так и организационные меры, которые подкреплены соответствующими сертификатами МЭК 62443.