NIS 2

Для того чтобы установить стандарт кибербезопасности в Европейском союзе, компании из различных отраслей должны предоставить доказательства своей стратегии безопасности. Обратный отсчет пошел, и пора готовиться вместе!
Объединенный в сеть земной шар с замком безопасности

С 18 октября 2024 года новая директива ЕС по кибербезопасности - NIS 2 - станет обязательной к исполнению. Это обязательное постановление устанавливает стандарты кибербезопасности в Европейском союзе и заставляет компании из разных отраслей документировать свою стратегию безопасности.

Идет обратный отсчет, и компании призваны действовать.
Давайте готовиться вместе!

Что такое NIS 2?

С помощью NIS 2 (Network and Information Security - сетевая и информационная безопасность) ЕС ввел строгие правила кибербезопасности для своих стран-членов. NIS 2 является преемником Директивы NIS, которая вступила в силу в 2016 году. Поэтому реализация целостной стратегии безопасности уже не только является необходимой для защиты от кибератак, но и требуется по закону.

Государства-члены должны принять необходимые меры для соблюдения Директивы NIS 2 до 17 октября 2024 года и применять эти меры с 18 октября 2024 года.

Различия между NIS 1 и NIS 2

Чем NIS 1 отличается от NIS 2?

NIS 2 - это улучшенная версия Директивы NIS 2016 года, которая уже была призвана обеспечить высокий уровень безопасности сетевых и информационных систем в Союзе, но имела ряд недостатков.

Наиболее важные различия между NIS 1 и NIS 2 следующие:

  • В новую версию включено больше секторов и компаний, имеющих важное значение для общества и экономики, таких как энергетика, здравоохранение, транспорт и цифровая инфраструктура.

  • NIS 2 требует, чтобы соответствующие компании и организации осуществляли эффективное управление рисками и сообщали о серьезных или значительных киберинцидентах компетентным национальным органам, которые в свою очередь могут принять необходимые меры. В NIS 1 содержатся лишь общие рекомендации по мерам безопасности и информированию об инцидентах.

  • Новая Директива по безопасности предусматривает более строгие санкции для государств-членов, которые могут достигать 20 миллионов евро или четырех процентов от глобального оборота, если соответствующие компании и организации не применяют необходимые меры безопасности или не сообщают о серьезных или значительных киберинцидентах компетентным национальным органам. NIS 1 оставила определение санкций на усмотрение государств-членов, что привело к непоследовательному их применению.

  • NIS 2 подчеркивает личную ответственность руководства за кибербезопасность и впервые предусматривает, что генеральные директора будут нести ответственность своим личным имуществом, если они не выполнят требования законодательства.

Целевая группа NIS 2

Кого это касается?

17 октября 2024 года - дата, к которой все 27 стран-членов ЕС должны без проблем включить правила кибербезопасности NIS 2 в свои национальные законы. Но насущный вопрос остается открытым: Какие компании обязаны выполнять директиву NIS 2?

Важнейшие организации: Это организации, активно работающие в области критических инфраструктур. К ним относятся, например, энергетика, транспорт, водоснабжение и канализация, здравоохранение и банковское дело.

Важные объекты: В эту категорию входят ведущие компании пищевой и химической промышленности, а также те, кто отвечает за производство электроприборов, машин и транспортных средств.

Кроме того, государства-члены сами могут расширить целевые группы, на которые распространяется действие NIS 2. Они могут добавлять в свои национальные списки дополнительные организации, обязывая местные власти, учебные заведения и другие организации выполнять рекомендации.

Напоминание для NIS 2

Каковы штрафные санкции?

Директива NIS 2 строго соблюдается, включая высокие штрафы за несоблюдение или невыполнение обязательств по отчетности. Высота штрафов зависит от категории отдельных компаний.

Компании, отнесенные к категории важных, должны выплатить штрафы в размере от 7 миллионов евро или максимум 1,4% от их общего глобального годового оборота за предыдущий финансовый год. Важнейшим организациям грозят штрафы до 10 миллионов евро или максимум 2% от их общего мирового годового оборота.

Должная осмотрительность в области кибербезопасности не подлежит обсуждению, и высшее руководство обязано руководить внедрением и мониторингом этих мер кибербезопасности.

Что это означает конкретно для Вас?

Директива NIS 2 - это директива ЕС, которая вступила в силу 16 января 2023 года и направлена на повышение кибербезопасности и устойчивости критически важных инфраструктур и поставщиков цифровых услуг. Директива обязывает соответствующие компании и организации придерживаться эффективного управления рисками и сообщать о серьезных или значительных киберинцидентах компетентным национальным органам, которые затем могут принять необходимые меры. Чтобы свести к минимуму потенциальный ущерб для пользователей, окружающей среды и общественного порядка, необходимо на ранних стадиях выявлять пробелы в системе безопасности и принимать превентивные меры по их устранению. Для того чтобы все участники процесса придерживались одинаково высоких стандартов, компании также несут ответственность за обеспечение безопасности всей цепочки поставок и передают требования своим деловым партнерам и поставщикам. Другие меры включают, в частности:

  • Применение надлежащих и соразмерных мер безопасности, соответствующих современным стандартам и передовому опыту, для обеспечения конфиденциальности, целостности, доступности и подлинности своих данных и услуг.

  • Создание и обновление плана обеспечения непрерывности бизнеса, позволяющего восстановить нормальные условия работы после киберинцидента.

  • Для предотвращения несанкционированного доступа вводится многофакторная аутентификация при доступе к своим сетям и информационным системам.

Агентство ЕС по кибербезопасности (ENISA) будет играть ключевую роль в мониторинге и поддержке применения этих правовых актов.

NIS 2 - Обязательства производителя
МЭК 62443 как фактор успеха для целостных концепций безопасности
Защита от кибер-атак и выполнения требований законодательства
Могут ли компоненты и системы, сертифицированные по стандарту МЭК 62443, обеспечить комплексную защиту от кибератак и в то же время соответствовать новым законодательным требованиям ЕС, таким как NIS 2, Закон о киберустойчивости (CRA) и новое Положение о машинах? Узнайте все о новой директиве, внедрении кибербезопасности в автоматизации и важности МЭК 62443 из нашего white paper.
Загрузить white paper сейчас
Объединенный в сеть мир с замком безопасности

Расписание NIS 2

Директива NIS 2 вступила в силу 16 января 2023 года и должна быть перенесена в национальное законодательство до 17 октября 2024 года. Выполнение директивы будет впервые рассмотрено Комиссией до 17 октября 2027 года и в дальнейшем будет пересматриваться каждые 36 месяцев.

Пришло время активизироваться и подготовиться.

Временная шкала NIS 2

NIS 2 уже вступил в силу 16 января 2023 года

Цикл безопасности 360°

Наша концепция полной безопасности 360°

Безопасность 360° – бескомпромиссное комплексное предложение

В динамичном мире кибербезопасности изменения происходят постоянно, и введение Директивы NIS 2 подчеркивает этот факт. Пока мы ждем, когда директива будет перенесена в национальное законодательство и вступит в полную силу, необходимость принятия срочных мер не вызывает сомнений.

Чтобы соответствовать строгим требованиям NIS 2, мы должны опираться на европейские и международные стандарты, которые являются нашей основой. Эти стандарты не только определяют безопасные изделия, но и устанавливают принципы внедрения надежных систем безопасности. Одним из ярких примеров является МЭК 62443, всемирно признанная серия стандартов по безопасности в автоматизации. Наша концепция целостной 360° безопасности включает в себя как технические, так и организационные меры, которые подкреплены соответствующими сертификатами МЭК 62443.