Що таке Директива NIS2? Пояснення правил відповідност

Директива про мережеві та інформаційні системи 2 (NIS2) — це важливий законодавчий акт Європейського Союзу, спрямований на посилення кібербезпеки в державах-членах. Її було введено для подолання зростаючих викликів цифрової трансформації та розвитку кіберзагроз. Директива NIS2 розширює сферу дії свого попередника, вводить суворіші вимоги та зміцнює заходи примусового виконання.

У цій статті ми розглянемо ключові аспекти NIS2, зокрема її цілі, вимоги та вплив на організації. А також подивимось на стратегії дотримання, необхідні політики та суттєві зміни у порівнянні з початковою директивою NIS.

Пояснення директиви NIS2: ключові пункти та завдання

Директива NIS2 — це набір правил та вимог щодо кібербезпеки, які застосовуються до широкого кола організацій та установ у всьому Європейському Союзі. Вона охоплює постачальників основних послуг, цифрових послуг та критичних технологій, а також установи державного управління. Основні завдання NIS2 включають:

• Встановлення стандартного набору вимог до кібербезпеки для всіх держав-членів ЄС.
• Розширення сфери дії директиви для охоплення більшої кількості секторів та організацій.
• Запровадження більш суворих зобов'язань щодо звітування про інциденти та заходів примусового виконання.
• Сприяння кращій співпраці та обміну інформацією між державами-членами.
• Забезпечення високого рівня стійкості кібербезпеки як універсального стандарту в ЄС.

Директива NIS2 замінює попередню Директиву NIS і має на меті усунути недоліки та фрагментацію, виявлені під час її впровадження в ЄС. Вона вводить більш комплексний та гармонізований підхід до кібербезпеки, щоб захистити критичну інфраструктуру ЄС, цифрові послуги та громадян від зростаючої загрози кібератак та інцидентів.

NIS2 vs. NIS: Основні відмінності та вдосконалення

NIS2 являє собою суттєву еволюцію порівняно з початковою Директивою NIS. Основні відмінності включають в себе наступне:

1. Розширена сфера дії: NIS2 охоплює набагато ширший спектр секторів та установ порівняно з NIS.
2. Суворіші вимоги: NIS2 вводить більш детальні та гармонізовані вимоги до безпеки, включаючи оцінку ризиків, плани реагування на інциденти та заходи безпеки щодо ланцюгів постачання.
3. Посилене виконання: NIS2 надає національним органам влади повноваження застосовувати набагато жорсткіші санкції за недотримання, включаючи штрафи або відсотки від світового річного обігу.
4. Поліпшена співпраця: NIS2 прагне покращити транскордонну співпрацю та обмін інформацією між державами-членами шляхом створення нової групи співпраці.
5. Переглянуті категорії організацій: NIS2 замінює категорії "оператори основних послуг" та "постачальники цифрових послуг" категоріями "основні" та "важливі" установи.

Сфера дії та застосування: Хто підпадає під дію NIS2?

NIS2 розширює свою сферу дії, охоплюючи набагато ширший спектр "основних" та "важливих" установ у різних секторах. Серед них:

Основні Установи (Essential Entities):

• Енергетика (електроенергія, централізоване теплопостачання та охолодження, нафта, газ, водень)
• Транспорт (авіаційний, залізничний, водний, автомобільний)
• Банківська система та інфраструктура фінансового ринку
• Охорона здоров'я та постачальники медичних послуг
• Питна вода та стічні води
• Цифрова інфраструктура та управління ІТ-послугами
• Державне управління
• Космос

Пороговий розмір для основних установ залежить від сектора, але загалом до цієї класифікації належать установи, у яких 250 і більше співробітників, річний обіг у 50 млн євро або загальний баланс у 43 мільйони євро і більше. Для деяких секторів можуть існувати різні критерії залежно від важливості наданих послуг.

Важливі Установи (Important Entities):

• Поштові та кур'єрські послуги
• Управління відходами
• Хімічне виробництво, виробництво та розподіл
• Виробництво, переробка та розподіл продуктів харчування
• Виробництво (медичні пристрої, комп'ютери, електроніка тощо)
• Постачальники цифрових послуг (онлайн-ринкові майданчики, пошукові системи, платформи соціальних мереж)
• Дослідницькі установи

Для важливих установ пороговий розмір, як правило, нижчий і охоплює установи з 50 або більше працівниками, річним обігом у 10 мільйонів євро або загальним балансом у 10 млн євро. Знову ж таки, точні порогові значення можуть варіюватися залежно від конкретного сектора та його важливості для економіки або безпеки.

Важливо зазначити, що NIS2 може також застосовуватися до установ за межами ЄС, які надають основні або важливі послуги європейському ринку, навіть якщо вони фізично не розташовані в межах ЄС. Більше того, установа може бути класифікована як "основна" або "важлива", навіть якщо вона не відповідає загальним критеріям розміру, наприклад, у випадках, коли вона є єдиним постачальником критичної послуги, важливої для суспільної або економічної діяльності в державі-члені. Це гарантує, що директива охоплює не тільки великі організації, але й менші установи, які відіграють ключову роль у підтримці критичної інфраструктури або послуг у межах ЄС.

Вимоги до дотримання NIS2: Базовий огляд

NIS2 вводить комплексний набір вимог до кібербезпеки та зобов'язань, яких організації повинні дотримуватися до 17 жовтня 2024 року. Серед них:

1.  Оцінка та управління ризиками кібербезпеки

NIS2 визначає обов'язкові заходи з кібербезпеки, які організації повинні впровадити. Організації повинні регулярно проводити оцінки ризиків своїх мереж та інформаційних систем і впроваджувати відповідні технічні та організаційні заходи безпеки для управління цими ризиками. Серед них:

• Аналіз ризиків та політики інформаційної безпеки: Створення політик і процедур для проведення регулярних оцінок ризиків, ідентифікації вразливостей та впровадження відповідних заходів контролю безпеки.
• Захист даних та шифрування: Забезпечення конфіденційності, цілісності та доступності даних шляхом використання технологій шифрування та інших методів захисту даних.
• Аутентифікація Zero-Trust та контроль доступу: NIS2 вимагає від організацій вийти за межі традиційної багатофакторної аутентифікації (MFA) та впроваджувати принципи Zero-Trust. Це гарантує, що жоден користувач або пристрій не є довіреним за замовчуванням. Зокрема, рекомендовано впровадження двофакторної автентифікації, стійкої до фішингу. Це можливо завдяки впровадженню рішень, сертифікованих за стандартом FIDO2. Вони забезпечують надійну безпеку, замінюючи паролі на криптографічні методи входу.
• Управління вразливостями: Впровадження процесів обробки та розкриття вразливостей, включаючи регулярні оцінки вразливостей та своєчасне виправлення відомих вразливостей.
• Моніторинг безпеки та ведення журналів: Створення комплексних механізмів моніторингу та ведення журналів безпеки для виявлення, аналізу та реагування на події безпеки.
• Підвищення обізнаності з кібербезпеки та навчання: Проведення регулярних програм підвищення обізнаності з питань безпеки для персоналу, щоб забезпечити їх готовність ідентифікувати та реагувати на кіберзагрози, такі як фішинг або спуфінг атаки.
  
  

Організації також відповідають за управління ризиками кібербезпеки в своїх ланцюгах постачання, впроваджуючи відповідні заходи безпеки для відносин з підрядниками та постачальниками послуг.

2. Звітування про інциденти та реагування

NIS2 вводить багаторівневий процес звітування про інциденти, який є обов'язковим у разі кіберінциденту. Організації повинні мати надійні процедури управління інцидентами та кризовими ситуаціями, що включають виявлення загроз, аналіз, класифікацію та повідомлення відповідним органам влади у встановлені терміни:

• Первинне повідомлення (протягом 24 годин): Початковий звіт має бути надісланий до компетентного органу або відповідної національної CSIRT. У ньому має бути зазначено, чи був інцидент спричинений протиправними або зловмисними діями.
• Подальше повідомлення (протягом 72 годин): Більш детальний звіт має бути наданий разом із оцінкою інциденту, включаючи його серйозність, вплив та показники компрометації.
• Заключний звіт (протягом одного місяця): Має бути подано повний звіт із детальним описом інциденту, його серйозності та наслідків, типу загрози або причини, а також усіма застосованими та поточними заходами протиборства.

Крім звітування про інциденти, установи повинні повідомляти про будь-яку значну кіберзагрозу, яку вони виявили і яка може призвести до суттєвого інциденту. Вони повинні розробляти та підтримувати плани безперервності бізнесу та відновлення після аварій для забезпечення безперервності діяльності у разі руйнівного інциденту. Цей проактивний підхід спрямований на допомогу органам влади у вдосконаленні реакції на потенційні загрози.

3. Управління та відповідальність

NIS2 надає великого значення управлінню та відповідальності, особливо на рівні керівництва. Керівництво повинно активно брати участь у затвердженні політик безпеки, забезпечувати ефективність заходів з кібербезпеки та надавати навчання з кібербезпеки для персоналу. Ключові аспекти включають:

• Затвердження керівництвом: Органи управління основних та важливих установ повинні затверджувати заходи управління ризиками кібербезпеки, які приймаються цими установами.
• Відповідальність за нагляд: Керівництво зобов'язане здійснювати нагляд за впровадженням заходів кібербезпеки та може бути притягнуто до відповідальності за порушення.
• Обов'язкове навчання: Члени керівних органів зобов'язані пройти навчання з кібербезпеки, щоб отримати достатні знання та навички для виявлення ризиків і оцінки практик управління ризиками кібербезпеки.
• Персональна відповідальність: У разі виявлення грубої недбалості після кіберінциденту, органи влади можуть притягнути керівників установ до особистої відповідальності, що може призвести до тимчасових заборон на зайняття керівних посад у разі повторних порушень.

Ризики недотримання NIS2

Недотримання директиви NIS2 може призвести до значних фінансових штрафів, включаючи штрафи до 10 млн євро або 2% від загального обороту установи. Крім того, регуляторні органи можуть призупинити дозволи, що призведе до припинення бізнес-діяльності і спричинить довгострокові операційні збої. Репутаційні збитки також є критичним ризиком, оскільки публічне розкриття порушень може підірвати довіру клієнтів, особливо в таких секторах, як охорона здоров'я, фінанси​, та виробництво. 

Керівництво несе пряму відповідальність за забезпечення відповідності NIS2, а її недотримання може призвести до особистих юридичних наслідків. Більше того, недотримання збільшує ризик кібератак, оскільки організації без адекватних заходів є більш вразливими до порушень безпеки та операційних збоїв. Ці ризики роблять дотримання критично важливим для підтримки як безперервності бізнесу, так і сильної позиції в сфері кібербезпеки.

Підготовка до NIS2: Безкоштовні інструменти для відповідності вимогам безпеки

Виконання вимог безпеки NIS2 не обов'язково має бути складним або дорогим процесом. За допомогою системи Hideez Workforce Identity, ви можете спростити управління паролями, впровадити стійку до фішингу автентифікацію та двофакторну перевірку, а також забезпечити безпечний доступ до критично важливих систем, одночасно дотримуючись принципів Zero-Trust. Hideez допомагає організаціям будь-якого розміру та галузі вирішувати більше половини вимог NIS2 без необхідності впровадження складних систем безпеки.

Наша платформа пропонує повноцінне рішення для безпарольного цифрового та фізичного доступу, що підвищує рівень кібербезпеки, зменшує ризики кібератак та узгоджується з акцентом NIS2 на безпечне управління доступом та ідентифікацією. Контролюючи системи безпеки, шифруючи дані та підтримуючи повну видимість доступу ІТ-ресурсів, Hideez допомагає вам легко контролювати ваш шлях до відповідності.

Дізнайтеся про переваги переходу на безпарольний доступ, зареєструвавшись на нашому хмарному порталі, який підтримує безкоштовне утримання до 50 активних користувачів на компанію.

Бажаєте дізнатися, як Hideez може допомогти з відповідністю NIS2? Забронюйте персоналізовану демо-сесію та дізнайтеся, як захистити свою організацію та відповідати регуляторним вимогам вже сьогодні.