Что такое Директива NIS2?
Директива о сетевой и информационной безопасности 2 (NIS2), формально Директива (ЕС) 2022/2555, — это обновлённая законодательная база Европейского союза в области кибербезопасности. Она заменяет оригинальную Директиву NIS (2016/1148) и была принята Европейским парламентом и Советом в декабре 2022 года. Государства-члены были обязаны транспонировать NIS2 в национальное законодательство к 17 октября 2024 года, и правоприменение сейчас активно ведётся по всему ЕС.
NIS2 была введена потому, что оригинальная директива привела к фрагментированной реализации в государствах-членах, ограниченному секторальному охвату и недостаточным механизмам правоприменения. Обновлённая директива устраняет эти пробелы путём расширения области действия, гармонизации требований и введения существенно более высоких штрафов за несоблюдение.
На кого распространяется NIS2?
NIS2 радикально увеличивает число организаций, попадающих в сферу действия. Вместо опоры исключительно на национальное назначение, она вводит правило порога размера: любое среднее или крупное предприятие, работающее в охваченном секторе, автоматически подпадает под действие директивы. Директива классифицирует субъекты на два уровня:
Существенные субъекты включают организации в секторах высокой критичности:
- Энергетика (электричество, нефть, газ, водород, централизованное теплоснабжение)
- Транспорт (воздушный, железнодорожный, водный, автомобильный)
- Банковское дело и инфраструктуры финансовых рынков
- Здравоохранение (больницы, лаборатории, фармацевтическое производство)
- Питьевое водоснабжение и водоотведение
- Цифровая инфраструктура (DNS, реестры TLD, облачные вычисления, дата-центры, CDN, поставщики доверительных услуг)
- Управление ИКТ-услугами (B2B поставщики управляемых и безопасных сервисов)
- Государственное управление (органы центральной власти)
- Космос
Важные субъекты охватывают дополнительные критические сектора:
- Почтовые и курьерские услуги
- Управление отходами
- Химическое производство и дистрибуция
- Производство, переработка и дистрибуция продуктов питания
- Производство (медицинские изделия, электроника, машиностроение, автомобили)
- Цифровые провайдеры (онлайн-маркетплейсы, поисковые системы, социальные сети)
- Исследовательские организации
Это различие важно прежде всего для надзора и штрафов: существенные субъекты подвергаются проактивному надзору, а важные субъекты — реактивному, постфактум надзору.
Ключевые требования соответствия
Статья 21 NIS2 обязывает организации принимать соответствующие и пропорциональные технические, операционные и организационные меры для управления рисками кибербезопасности. Они должны следовать подходу «все риски» и охватывать как минимум следующие области:
Управление рисками и корпоративное управление
Руководящие органы должны утверждать меры управления рисками кибербезопасности и контролировать их реализацию. Важно, что NIS2 вводит персональную ответственность: члены руководства могут быть привлечены к ответственности за несоблюдение. Обязательное обучение руководства в области кибербезопасности также требуется в соответствии со Статьёй 20.
Уведомление об инцидентах
NIS2 устанавливает многоэтапную систему отчётности об инцидентах со строгими сроками:
- Раннее предупреждение — в течение 24 часов после обнаружения значительного инцидента
- Уведомление об инциденте — в течение 72 часов, включая первоначальную оценку серьёзности и последствий
- Итоговый отчёт — в течение одного месяца, с подробным описанием инцидента, анализом причин и принятыми мерами по устранению
Безопасность цепочки поставок
Организации должны оценивать и устранять риски кибербезопасности в своей цепочке поставок, включая прямых поставщиков и сервис-провайдеров. Это требует должной осмотрительности при закупках, договорных требований к безопасности и постоянного мониторинга уровня безопасности третьих сторон.
Непрерывность бизнеса
Меры должны включать управление резервным копированием, аварийное восстановление и процедуры кризисного управления для обеспечения непрерывности основных услуг во время инцидента и после него.
Дополнительные требования
- Политики использования криптографии и, при необходимости, шифрования
- Безопасность человеческих ресурсов, контроль доступа и управление активами
- Многофакторная аутентификация (MFA) и решения непрерывной аутентификации
- Защищённые голосовые, видео и текстовые коммуникации
- Политики обработки и раскрытия уязвимостей
Штрафы за несоблюдение
NIS2 вводит многоуровневую структуру штрафов, аналогичную прецеденту GDPR:
- Существенные субъекты: административные штрафы до 10 миллионов евро или 2% глобального годового оборота, в зависимости от того, что выше
- Важные субъекты: административные штрафы до 7 миллионов евро или 1,4% глобального годового оборота, в зависимости от того, что выше
Помимо финансовых санкций, национальные компетентные органы могут налагать временные приостановления сертификатов или разрешений и запрещать физическим лицам исполнять управленческие функции. Это положение о персональной ответственности — один из наиболее значимых рычагов правоприменения в NIS2.
NIS2 и ISO 27001 — Естественное соответствие
Организации, имеющие или работающие над сертификацией ISO/IEC 27001:2022, хорошо позиционированы для соответствия NIS2. Пересечение значительно: оба стандарта требуют подхода на основе оценки рисков, документированных политик, управления инцидентами, контроля доступа, планирования непрерывности бизнеса и управления безопасностью поставщиков.
Однако ISO 27001 сам по себе не гарантирует полного соответствия NIS2. Ключевые пробелы могут включать:
- Конкретные сроки уведомления об инцидентах, установленные NIS2 (24ч / 72ч / 1 месяц)
- Ответственность руководящих органов и обязательное обучение
- Секторальные требования, установленные национальными законами о транспозиции
- Участие в координированных схемах раскрытия уязвимостей
Использование ISO 27001 в качестве базовой структуры с наложением контролей, специфичных для NIS2, — эффективная и широко рекомендуемая стратегия соответствия.
Сроки реализации
Директива вступила в силу 16 января 2023 года со сроком транспозиции 17 октября 2024 года. По состоянию на начало 2026 года большинство государств-членов ЕС приняли национальное имплементирующее законодательство, хотя некоторые юрисдикции всё ещё дорабатывают конкретные механизмы правоприменения.
Организации, ещё не начавшие работу по обеспечению соответствия, должны рассматривать это как срочный приоритет. Национальные органы проводят аудиты и правоприменительные действия, и регуляторный ландшафт будет продолжать ужесточаться в течение 2026 года.
Практическая дорожная карта внедрения включает:
- Фаза 1: Определите, попадает ли ваша организация в сферу действия (сектор, размер, критичность)
- Фаза 2: Проведите GAP-анализ по требованиям Статьи 21 и существующим контролям
- Фаза 3: Создайте структуры управления, включая обязанности руководящих органов
- Фаза 4: Внедрите технические и организационные меры (управление рисками, реагирование на инциденты, контроли цепочки поставок)
- Фаза 5: Протестируйте процедуры уведомления об инцидентах и интегрируйте их в существующие процессы СУИБ
- Фаза 6: Проведите внутренние аудиты и анализ со стороны руководства для проверки постоянного соответствия
Как BALTUM может поддержать ваше соответствие NIS2
BALTUM обеспечивает комплексную поддержку организациям в достижении соответствия NIS2. Наши услуги включают оценку области применения для определения применимости, GAP-анализ, сопоставленный с NIS2 и ISO 27001, разработку необходимых политик и процедур, планирование реагирования на инциденты, структуры оценки рисков цепочки поставок и программы обучения руководства.
Независимо от того, строите ли вы на существующей СУИБ по ISO 27001 или начинаете с нуля, консультанты BALTUM разработают программу соответствия, которая будет пропорциональной, эффективной и согласованной с вашими бизнес-целями. Свяжитесь с нами для назначения первичной консультации.