icon

Що таке Директива NIS2? Пояснення відповідності та політики

What is NIS2 Directive?

 

Директива про мережеві та інформаційні системи 2 (NIS2) — це важливий законодавчий акт Європейського Союзу, спрямований на посилення кібербезпеки в державах-членах. Її було введено для подолання зростаючих викликів цифрової трансформації та розвитку кіберзагроз. Директива NIS2 розширює сферу дії свого попередника, вводить суворіші вимоги та зміцнює заходи примусового виконання.

Цей всебічний посібник розгляне ключові аспекти NIS2, зокрема її цілі, вимоги та вплив на організації. Ми розглянемо стратегії дотримання, необхідні політики та суттєві зміни у порівнянні з початковою Директивою NIS.

Розуміння Директиви NIS2: Ключові Пункти та Завдання

Директива NIS2 — це набір правил та вимог щодо кібербезпеки, які застосовуються до широкого кола організацій та установ по всій Європейській Союзу. Вона охоплює операторів основних послуг, постачальників цифрових послуг, постачальників критичних технологій та установи державного управління. Основні завдання NIS2 включають:

  • Встановлення стандартного набору вимог до кібербезпеки для всіх держав-членів ЄС.
  • Розширення сфери дії директиви для охоплення більшої кількості секторів та організацій.
  • Запровадження більш суворих зобов'язань щодо звітування про інциденти та заходів примусового виконання.
  • Сприяння кращій співпраці та обміну інформацією між державами-членами.
  • Забезпечення високого рівня стійкості кібербезпеки як стандарту по всій ЄС.

Директива NIS2 замінює попередню Директиву NIS і має на меті усунути недоліки та фрагментацію, виявлені під час її впровадження в ЄС. Вона вводить більш комплексний та гармонізований підхід до кібербезпеки, щоб захистити критичну інфраструктуру ЄС, цифрові послуги та громадян від зростаючої загрози кібератак та інцидентів.

NIS2 vs. NIS: Основні Відмінності та Поліпшення

NIS2 представляє суттєву еволюцію порівняно з початковою Директивою NIS. Основні відмінності включають:

  1. Розширена сфера дії: NIS2 охоплює набагато ширший спектр секторів та установ порівняно з NIS.
  2. Суворіші вимоги: NIS2 вводить більш детальні та гармонізовані вимоги до безпеки, включаючи оцінку ризиків, плани реагування на інциденти та заходи безпеки ланцюга постачання.
  3. Посилене виконання: NIS2 надає національним органам влади повноваження застосовувати набагато жорсткіші санкції за недотримання, включаючи штрафи або відсотки від світового річного обігу.
  4. Поліпшена співпраця: NIS2 прагне покращити транскордонну співпрацю та обмін інформацією між державами-членами шляхом створення нової групи співпраці.
  5. Переглянуті категорії організацій: NIS2 замінює категорії "оператори основних послуг" та "постачальники цифрових послуг" категоріями "основні" та "важливі" установи.

Сфера Дії та Застосування: Хто Підпадає Під Дію NIS2?

NIS2 розширює свою сферу дії, охоплюючи набагато ширший спектр "основних" та "важливих" установ у різних секторах. Серед них:

Основні Установи (EE):

  • Енергетика (електроенергія, централізоване теплопостачання та охолодження, нафта, газ, водень)
  • Транспорт (авіаційний, залізничний, водний, автомобільний)
  • Банківська система та інфраструктура фінансового ринку
  • Охорона здоров'я та постачальники медичних послуг
  • Питна вода та стічні води
  • Цифрова інфраструктура та управління ІТ-послугами
  • Державне управління
  • Космос

Пороговий розмір для основних установ залежить від сектора, але загалом до цієї класифікації належать установи, у яких 250 і більше співробітників, річний обіг у 50 мільйонів євро або загальний баланс у 43 мільйони євро і більше. Для деяких секторів можуть існувати різні критерії залежно від важливості наданих послуг.

    Важливі Установи (IE):

    • Поштові та кур'єрські послуги
    • Управління відходами
    • Хімічне виробництво, виробництво та розподіл
    • Виробництво, переробка та розподіл продуктів харчування
    • Виробництво (медичні пристрої, комп'ютери, електроніка тощо)
    • Постачальники цифрових послуг (онлайн-ринкові майданчики, пошукові системи, платформи соціальних мереж)
    • Дослідницькі установи

    Для важливих установ пороговий розмір, як правило, нижчий і охоплює установи з 50 або більше працівниками, річним обігом у 10 мільйонів євро або загальним балансом у 10 мільйонів євро. Знову ж таки, точні порогові значення можуть варіюватися залежно від конкретного сектора та його важливості для економіки або безпеки.

    NIS2 Affected Entities

     

    Важливо зазначити, що NIS2 може також застосовуватися до установ за межами ЄС, які надають основні або важливі послуги європейському ринку, навіть якщо вони фізично не розташовані в межах ЄС. Більше того, установа може бути класифікована як "основна" або "важлива", навіть якщо вона не відповідає загальним критеріям розміру, наприклад, у випадках, коли вона є єдиним постачальником критичної послуги, важливої для суспільної або економічної діяльності в державі-члені. Це гарантує, що директива охоплює не тільки великі організації, але й менші установи, які відіграють ключову роль у підтримці критичної інфраструктури або послуг у межах ЄС.

    Вимоги До Дотримання NIS2: Всеосяжний Огляд

    NIS2 вводить комплексний набір вимог до кібербезпеки та зобов'язань, яких організації повинні дотримуватися до 17 жовтня 2024 року. Серед них:

    1.  Оцінка та Управління Ризиками Кібербезпеки

    NIS2 визначає обов'язкові заходи з кібербезпеки, які організації повинні впровадити. Організації повинні регулярно проводити оцінки ризиків своїх мереж та інформаційних систем і впроваджувати відповідні технічні та організаційні заходи безпеки для управління цими ризиками. Серед них:

    • Аналіз ризиків та політики інформаційної безпеки: Створення політик і процедур для проведення регулярних оцінок ризиків, ідентифікації вразливостей та впровадження відповідних заходів контролю безпеки.
    • Захист даних та шифрування: Забезпечення конфіденційності, цілісності та доступності даних шляхом використання технологій шифрування та інших методів захисту даних.
    • Аутентифікація Zero-Trust та контроль доступу: NIS2 вимагає від організацій вийти за межі традиційної багатофакторної аутентифікації (MFA) та впроваджувати принципи Zero-Trust. Це гарантує, що жоден користувач або пристрій не є довіреним за замовчуванням. Зокрема, рекомендовано впровадження стійкої до фішингу MFA із використанням стандартів FIDO2, що забезпечують сильну безпеку без паролів через криптографію з відкритим ключем.
    • Управління вразливостями: Впровадження процесів обробки та розкриття вразливостей, включаючи регулярні оцінки вразливостей та своєчасне виправлення відомих вразливостей.
    • Моніторинг безпеки та ведення журналів: Створення комплексних механізмів моніторингу та ведення журналів безпеки для виявлення, аналізу та реагування на події безпеки.
    • Підвищення обізнаності з кібербезпеки та навчання: Надання регулярних програм підвищення обізнаності з питань безпеки для персоналу, щоб забезпечити їх готовність ідентифікувати та реагувати на кіберзагрози, такі як фішинг або спуфінг атаки.

    Hideez Banner


    Організації також відповідають за управління ризиками кібербезпеки в своїх ланцюгах постачання, впроваджуючи відповідні заходи безпеки для відносин з прямими постачальниками та постачальниками послуг.

    2. Звітування про Інциденти та Реагування

    NIS2 вводить багатоступеневий процес звітування про інциденти, який є обов'язковим у разі кібербезпеки. Організації повинні мати надійні процедури управління інцидентами та кризовими ситуаціями, що включають виявлення інцидентів, аналіз, класифікацію та повідомлення відповідним органам влади в установлені терміни:

    • Первісне повідомлення (протягом 24 годин): Початковий звіт має бути надісланий до компетентного органу або відповідної національної CSIRT. У ньому має бути зазначено, чи був інцидент спричинений протиправними або зловмисними діями.
    • Подальше повідомлення (протягом 72 годин): Більш детальний звіт має бути наданий, із оцінкою інциденту, включаючи його серйозність, вплив та показники компрометації.
    • Заключний звіт (протягом одного місяця): Має бути подано повний звіт із детальним описом інциденту, його серйозності та наслідків, типу загрози або причини, а також усіма застосованими та поточними заходами пом'якшення.

      Крім звітування про інциденти, установи повинні повідомляти про будь-яку значну кіберзагрозу, яку вони виявили і яка може призвести до суттєвого інциденту. Вони повинні розробляти та підтримувати плани безперервності бізнесу та відновлення після аварій для забезпечення безперервності основних послуг у разі руйнівного інциденту. Цей проактивний підхід спрямований на допомогу органам влади в поліпшенні реакції на потенційні загрози.

      3. Управління та Відповідальність

      NIS2 надає великого значення управлінню та відповідальності, особливо на рівні керівництва. Керівництво повинно активно брати участь у затвердженні політик безпеки, забезпечувати ефективність заходів з кібербезпеки та надавати навчання з кібербезпеки для персоналу. Ключові аспекти включають:

      • Затвердження керівництвом: Органи управління основних та важливих установ повинні затверджувати заходи управління ризиками кібербезпеки, які приймаються цими установами.
      • Відповідальність за нагляд: Керівництво зобов'язане здійснювати нагляд за впровадженням заходів кібербезпеки та може бути притягнуто до відповідальності за порушення.
      • Обов'язкове навчання: Члени органів управління зобов'язані пройти навчання з кібербезпеки, щоб отримати достатні знання та навички для виявлення ризиків і оцінки практик управління ризиками кібербезпеки.
      • Персональна відповідальність: У разі виявлення грубої недбалості після кіберінциденту, органи влади можуть притягнути керівників установ до особистої відповідальності, що може призвести до тимчасових заборон на зайняття керівних посад у разі повторних порушень.

      Ризики недотримання NIS2

      Недотримання директиви NIS2 може призвести до значних фінансових штрафів, включаючи штрафи до 10 мільйонів євро або 2% від світового обороту. Крім того, регуляторні органи можуть призупинити дозволи, що призведе до припинення операцій бізнесу, що може спричинити довгострокові операційні збої. Репутаційні збитки також є критичним ризиком, оскільки публічне розкриття порушень може підірвати довіру клієнтів, особливо в таких секторах, як охорона здоров'яфінанси​, та виробництво

      Керівництво несе пряму відповідальність за забезпечення дотримання, а його невиконання може призвести до особистих юридичних наслідків. Більше того, недотримання збільшує ризик кібератак, оскільки організації без адекватних заходів є більш вразливими до порушень безпеки та операційних збоїв. Ці ризики роблять дотримання критично важливим для підтримки як безперервності бізнесу, так і сильної позиції в сфері кібербезпеки

        Підготовка до NIS2: Безкоштовні Інструменти для Відповідності Вимогам Безпеки

        Виконання вимог безпеки NIS2 не обов'язково має бути складним або дорогим процесом. За допомогою системи управління ідентичністю Hideez Workforce, ви можете спростити управління паролями, впровадити стійку до фішингу аутентифікацію та багатофакторну аутентифікацію (MFA), а також забезпечити безпечний доступ до критично важливих систем, одночасно дотримуючись принципів Zero-Trust. Hideez допомагає організаціям будь-якого розміру та галузі вирішувати більше половини вимог NIS2 без необхідності впровадження складних систем безпеки.

        Наша платформа пропонує повне рішення для цифрового та фізичного доступу без паролів, що підвищує рівень кібербезпеки, зменшує ризики кібератак та узгоджується з акцентом NIS2 на безпечне управління доступом та ідентифікацією. Контролюючи системи безпеки, шифруючи дані та підтримуючи повну видимість ІТ-активів, Hideez допомагає вам легко контролювати ваш шлях до відповідності.

        Вивчіть переваги переходу на доступ без паролів, зареєструвавшись безкоштовно на нашому Cloud порталі, який підтримує до 50 активних користувачів на компанію безкоштовно.

        Бажаєте дізнатися, як Hideez може допомогти з відповідністю NIS2? Забронюйте персоналізовану демо сьогодні та дізнайтеся, як захистити свою організацію, одночасно відповідаючи важливим регуляторним вимогам.

        Повернутися до Блог і новини Hideez