.

nis2 - grafika - 1

Дата:
1.07.2025
Автор:
Команда Inventia

БЛОГ

Как управлять информационной безопасностью сети в соответствии с директивой NIS2?

За несоблюдение Директивы NIS2 предусмотрены серьёзные штрафы, которые могут достигать 10 млн € или 2 % от общего годового оборота компании.

 

В эпоху цифровизации, когда информационные технологии играют ключевую роль в функционировании экономики и общества, кибербезопасность становится одним из важнейших вызовов современности. Рост числа кибератак, их сложность и потенциальные последствия для критической инфраструктуры требуют скоординированных действий. В ответ на эти вызовы Европейский союз принял Директиву NIS2 (Директива 2022/2555), направленную на повышение уровня безопасности в пределах сообщества.

Узнайте: 
• Что такое директива NIS2? 
• Крайний срок выполнения Директивы NIS2 
• Критерии, которые должны быть соблюдены для реализации Директивы NIS2 
• Что изменилось в Директиве NIS2 по сравнению с первой версией? 
• Полномочия надзорных органов 
• Штрафы за несоблюдение Директивы NIS2 

Что такое Директива NIS2?

Директива NIS2 (Network and Information Security Directive 2) является обновлением Директивы NIS от 2016 года и направлена на повышение устойчивости к киберугрозам в странах-членах ЕС. Её цель — обеспечить высокий и единый уровень безопасности сетей и ИТ-систем на всей территории Союза, охватывая как государственный, так и частный сектор. Она вводит более строгие требования к управлению киберрисками и межгосударственному взаимодействию в случае киберинцидентов. В центре внимания находятся защита критической инфраструктуры и ключевых услуг, необходимых для функционирования экономики и обеспечения общественной безопасности. Укрепление защиты должно минимизировать риск перебоев в предоставлении этих услуг и снизить уязвимость перед киберугрозами. 

Хотя NIS2 ассоциируется в первую очередь с кибербезопасностью, её охват значительно шире — в том числе управление рисками, безопасность цепочек поставок, ответственность управленческих структур и взаимодействие внутри ЕС. Такой системный подход может способствовать повышению общей операционной надёжности.

Срок внедрения Директивы NIS2

Государства-члены ЕС обязаны транспонировать положения директивы в национальное законодательство до 17 октября 2024 года. К этому сроку все страны должны принять и опубликовать соответствующие правовые акты. До 17 апреля 2025 года каждое государство должно подготовить перечень «ключевых» и «важных» субъектов, на которые распространяется действие директивы. 

В Польше директива NIS2 ещё не была внедрена, работа над соответствующим законом продолжается. Национальная реализация может существенно повлиять на конкретные требования и подходы к их выполнению. 

Критерии, которые необходимо выполнить для реализации Директивы NIS2

Субъекты, обязанные к выполнению положений директивы NIS2, должны соответствовать определённым критериям (некоторые из приведённых ниже аспектов могут зависеть от реализации в отдельных государствах-членах): 

  • Сферы, охваченные директивой: Директива NIS2 распространяется на предприятия и учреждения, действующие в секторах, признанных «ключевыми» или «важными» для функционирования экономики и обеспечения общественной безопасности. К таким секторам относятся, в частности: энергетика, транспорт, банковская сфера, здравоохранение, водоснабжение и очистка сточных вод. Эти субъекты обязаны выполнять ряд требований в области информационной безопасности, включая внедрение соответствующих мер управления рисками и систем отчётности по инцидентам.
     
  • Размер организации: Директива устанавливает различия между крупными, средними и малыми организациями. Новые положения охватывают как средние предприятия (с численностью персонала не менее 50 человек и годовыми оборотами или годовыми балансовыми суммами не менее 10 млн евро), так и крупные (с численностью персонала не менее 250 человек, годовыми оборотами свыше 50 млн евро или годовыми балансовыми суммами более 43 млн евро).
    В первую очередь это касается средних и крупных субъектов, работающих в вышеуказанных секторах. Малые организации подлежат регулированию только в исключительных случаях — если они предоставляют услуги, имеющие особое значение для функционирования внутреннего рынка ЕС.
     
  • Значение для внутреннего рынка ЕС: Субъекты должны подтвердить свою значимость для функционирования внутреннего рынка Европейского союза, что может включать предоставление ключевых услуг, наличие критической инфраструктуры или важность для общественной безопасности.
     
  • Способность к управлению рисками: Организации должны быть способны внедрять соответствующие меры управления рисками — включая регулярную оценку угроз, реализацию стратегии управления рисками, а также применение адекватных технических и организационных средств для обеспечения безопасности своих систем и данных. 

Что изменяет Директива NIS2 по сравнению с первой версией?

Директива NIS2 вводит ряд существенных изменений по сравнению с Директивой NIS от 2016 года: 

  • Расширение сферы регулирования: В директиве NIS2 увеличено количество секторов, признанных критически важными и значимыми для внутренней безопасности Европейского союза.
     
  • Ужесточение требований к обеспечению безопасности: директива требует от регулируемых субъектов внедрения более строгих технических и организационных мер.
     
  • Усиление надзора и применения санкций: директива расширяет полномочия надзорных органов, включая право налагать финансовые штрафы и другие санкции за несоблюдение требований директивы (вплоть до 10 миллионов евро). Надзорные органы также могут требовать подробной отчётности по инцидентам и проводить проверки на месте.
     
  • Углублённое международное сотрудничество: директива NIS2 направлена на укрепление сотрудничества и обмена информацией между государствами-членами с целью более эффективного управления киберугрозами. Новые положения также поддерживают координацию действий в рамках системы реагирования ЕС на киберинциденты. Следовательно, её следует рассматривать как гармонизированную норму обеспечения безопасности, особенно в части, касающейся кибербезопасности. 

Полномочия надзорных органов

В рамках директивы NIS2 надзорные органы обладают расширенными полномочиями, которые включают: 

  1. Требование предоставления регулируемыми субъектами информации о состоянии мер защиты и принимаемых профилактических действиях. 
  2. Возможность проведения аудитов и проверок как на месте, так и удалённо с целью проверки соблюдения требований. 
  3. Применение санкций, включая финансовые штрафы, за несоблюдение, непредоставление уведомлений об инцидентах или нарушение установленных процедур. 
  4. Тесное сотрудничество с другими органами на национальном и европейском уровне для координации профилактических мероприятий и реагирования на инциденты. 

Штрафы за несоблюдение Директивы NIS2

Нарушение положений NIS2 может повлечь штрафы до 10 млн евро или 2% от годового оборота в зависимости от того, какая сумма выше. Также возможны предписания о прекращении деятельности на рынке или обязанность внедрить дополнительные меры защиты. 

Реализация NIS2 с её современными механизмами безопасности формирует надёжную основу устойчивости ЕС к киберугрозам и обеспечивает защиту критической инфраструктуры и бесперебойность ключевых услуг, важных для экономики и общества.

Поделитесь этой записью:

Смотрите также:

Antena telekomunikacyjna new
Отключение технологий 2G и 3G!
Codesys
CODESYS® — Современная среда программирования ПЛК
Projekt bez nazwy (9)
Как Интернет вещей (IoT) революционизирует такие отрасли, как промышленность, энергетика, сельское хозяйство?
Читать дальше
Читать дальше
Читать дальше