NIS2: директива начинает работать на практике, а не только в PDF

Директива NIS2 была принята в конце 2022 года. Государства - члены ЕС должны были перенести её в национальное законодательство до октября 2024 года. Дата прошла. Ряд стран принял законы, другие ещё завершают этот процесс, но режим применения начался - это уже не будущая угроза, а текущее требование для тех, кто попадает под действие.

Для компаний, работающих в Европе или имеющих цепочку поставок с европейскими партнёрами, это не абстрактный вопрос соответствия. Это операционный вопрос с конкретными сроками и конкретными последствиями.

Кто попадает под действие NIS2

NIS2 значительно расширяет круг организаций по сравнению с предыдущей версией директивы. Под неё теперь попадают организации из 18 секторов - включая энергетику, транспорт, финансовую инфраструктуру, здравоохранение, цифровую инфраструктуру, производство, продовольствие, химическую промышленность и другие.

Разграничение идёт по двум категориям: "существенные" и "важные" субъекты. Первые - крупные организации в наиболее критических секторах. Вторые - организации меньшего размера или из менее критических секторов. Требования схожи, но режим надзора и санкции различаются.

Пороговые критерии: более 50 сотрудников или годовой оборот свыше 10 миллионов евро для большинства секторов. Размер компании не освобождает от NIS2, если она работает в попадающем под действие секторе.

Что требует директива

Ключевые обязательства делятся на два блока.

Управление рисками: организации должны принимать технические и организационные меры для управления рисками кибербезопасности. Это включает политики безопасности, управление инцидентами, непрерывность бизнеса, безопасность цепочки поставок, управление доступом, шифрование, безопасность в разработке.

Уведомление об инцидентах: требования стали строже и конкретнее. При значительном инциденте - первичное уведомление регулятора в течение 24 часов, подробный отчёт в течение 72 часов, финальный отчёт в течение месяца. Это не "когда разберёмся", это жёсткие временные рамки.

Ответственность руководства: NIS2 явно устанавливает ответственность топ-менеджмента за кибербезопасность. Руководители должны проходить обучение и одобрять меры по управлению рисками. Это не делегируется полностью в IT-департамент.

Почему цепочка поставок важна

Если ваша компания не является европейской, но является поставщиком для европейских организаций, попадающих под NIS2, - это вас касается. Директива требует от "существенных" и "важных" субъектов управлять кибербезопасностью в своей цепочке поставок. Это означает, что ваши контрагенты будут задавать вопросы о вашей безопасности и могут требовать подтверждения.

Это изменение в рыночной динамике, а не только в законодательстве.

С чего начать

Первый шаг - определить, попадаете ли вы под действие NIS2 в тех юрисдикциях, где работаете. Это вопрос к юристам с пониманием национального законодательства конкретных стран.

Второй шаг - оценить текущий уровень соответствия требованиям. NIS2 не изобретает ничего принципиально нового - это в значительной мере то, что описывают ISO 27001 и аналогичные стандарты. Если у вас есть зрелая программа информационной безопасности, разрыв может быть небольшим. Если нет - он может быть значительным.

Третий шаг - убедиться, что процесс уведомления об инцидентах существует и что 24-часовой лимит достижим. Это требует готовности заранее, а не импровизации в момент инцидента.

Четыре вопроса для самодиагностики:

1. Работаете ли вы в секторе или с контрагентами, попадающими под NIS2?
2. Есть ли у вас документированный процесс реагирования на инциденты с четкими временными рамками?
3. Управляете ли вы кибербезопасностью в цепочке поставок - или только внутри периметра?
4. Участвует ли топ-менеджмент в вопросах кибербезопасности явно, а не только через делегирование?