Біз туралыСтандарттарБлог ✦ ЖИ бағалауБаға алу →

NIS2 директивасы — ЕО ұйымдарына арналған практикалық сәйкестік нұсқаулығы

NIS2 директивасы ЕО киберқауіпсіздік реттеуінің ауқымын айтарлықтай кеңейтеді. Бұл нұсқаулық кімге әсер ететінін, нені талап ететінін және прагматикалық сәйкестік жол картасын қалай құру керектігін бөлшектейді.

РЕТТЕУ 9 мин оқу

NIS2 директивасы дегеніміз не?

Желі және ақпараттық қауіпсіздік директивасы 2 (NIS2), ресми түрде Директива (ЕО) 2022/2555, Еуропалық Одақтың киберқауіпсіздік бойынша жаңартылған заңнамалық шеңбері. Ол түпнұсқа NIS директиваны (2016/1148) алмастырады және 2022 жылдың желтоқсанында Еуропалық Парламент пен Кеңес қабылдаған. Мүше мемлекеттер NIS2-ді 2024 жылдың 17 қазанына дейін ұлттық заңнамаға ауыстыруы талап етілді, және қолданыс қазір ЕО-да белсенді жүруде.

NIS2 кімге қолданылады?

NIS2 ауқымдағы ұйымдар санын күрт кеңейтеді. Ол тек ұлттық белгілеуге сенудің орнына, көлем шегі ережесін енгізеді: қамтылған секторда жұмыс істейтін кез келген орта немесе ірі кәсіпорын автоматты түрде директиваға бағынады.

Маңызды субъектілерге жоғары маңыздылықтағы секторлардағы ұйымдар кіреді: энергетика, көлік, банктік қызметтер, денсаулық сақтау, ауыз су және ағынды суларды басқару, цифрлық инфрақұрылым, АКТ қызметін басқару, мемлекеттік басқару, ғарыш.

Маңызды субъектілерге қосымша маңызды секторлар кіреді: пошта және курьерлік қызметтер, қалдықтарды басқару, химиялық өндіріс, тағам өндірісі, өндіріс, цифрлық провайдерлер, зерттеу ұйымдары.

Негізгі сәйкестік талаптары

NIS2-нің 21-бабы ұйымдардан киберқауіпсіздік тәуекелдерін басқару үшін тиісті және пропорционалды техникалық, операциялық және ұйымдық шараларды қабылдауды міндеттейді.

Тәуекелдерді басқару және басқару: Басқару органдары киберқауіпсіздік тәуекелдерін басқару шараларын бекітуі және олардың іске асырылуын қадағалауы тиіс. NIS2 жеке есеп берушілікті енгізеді: басқару мүшелері сәйкессіздік үшін жауапты болуы мүмкін.

Оқиғалар туралы есеп беру: NIS2 қатаң мерзімдері бар көп кезеңді оқиғалар туралы есеп беру шеңберін белгілейді:

  • Алдын ала ескерту — маңызды оқиғадан хабар алғаннан кейін 24 сағат ішінде
  • Оқиға хабарламасы — 72 сағат ішінде, ауырлық пен әсерді бастапқы бағалаумен
  • Қорытынды есеп — бір ай ішінде, оқиғаның толық сипаттамасымен, себептерін талдаумен және қолданылған шаралармен

Жеткізу тізбегі қауіпсіздігі: Ұйымдар жеткізу тізбегіндегі киберқауіпсіздік тәуекелдерін бағалауы және қарастыруы тиіс.

Бизнес үздіксіздігі: Шаралар сақтық көшірме басқару, апатты қалпына келтіру және дағдарысты басқару процедураларын қамтуы тиіс.

Сәйкессіздік үшін айыппұлдар

  • Маңызды субъектілер: 10 миллион евроға дейін немесе жылдық жаһандық айналымның 2%-на дейін әкімшілік айыппұлдар
  • Маңызды субъектілер: 7 миллион евроға дейін немесе жылдық жаһандық айналымның 1,4%-на дейін әкімшілік айыппұлдар

NIS2 және ISO 27001 — табиғи сәйкестік

ISO/IEC 27001:2022 сертификатын алған немесе алу жолындағы ұйымдар NIS2 сәйкестігі үшін жақсы позицияда. Қабаттасу елеулі: екі шеңбер де тәуекелге негізделген тәсілді, құжатталған саясаттарды, оқиғаларды басқаруды, қол жеткізуді бақылауды, бизнес үздіксіздігін жоспарлауды және жеткізуші қауіпсіздігін басқаруды талап етеді.

Дегенмен, ISO 27001 ғана толық NIS2 сәйкестігіне кепілдік бермейді. Негізгі олқылықтарға NIS2 міндеттейтін нақты оқиғалар туралы есеп беру мерзімдері (24с / 72с / 1 ай), басқару органдарының жауапкершілігі мен міндетті оқыту ережелері, секторлық талаптар кіруі мүмкін.

BALTUM NIS2 сәйкестігіңізді қалай қолдай алады

BALTUM NIS2 сәйкестігін басқаратын ұйымдарға түпкілікті қолдау ұсынады. Біздің қызметтерімізге қолданылуды анықтау үшін ауқымды бағалау, NIS2 мен ISO 27001-ге сәйкестендірілген олқылықтарды талдау, қажетті саясаттар мен процедураларды әзірлеу, оқиғаларға жауап беруді жоспарлау, жеткізу тізбегі тәуекелін бағалау шеңберлері және басшылықты оқыту бағдарламалары кіреді.