NIS2 и пакет упрощения правил: где соответствие станет менее бумажным

В начале 2026 года Европейская комиссия анонсировала пакет мер, направленных на снижение административной нагрузки в рамках ряда регуляторных актов, включая NIS2. Это не отмена требований и не снижение стандартов безопасности - это попытка убрать избыточную бюрократию, которая накопилась в процессе имплементации.

Для компаний, которые либо напрямую подпадают под NIS2, либо работают с европейскими клиентами или партнёрами в цепочках поставок, это стоит разобрать внимательно. Потому что "упрощение" в регуляторном контексте может означать разные вещи в зависимости от того, где именно вы стоите.

Что изменилось и что осталось

NIS2 как директива не отменяется. Требования к управлению рисками кибербезопасности, уведомлению об инцидентах, управлению цепочками поставок и ответственности руководства - всё это остаётся. Пакет упрощения касается другого: отчётных форм, частоты некоторых проверок, порогов для малого и среднего бизнеса и унификации требований между государствами-членами ЕС.

Это важный нюанс. Компания, которая строила соответствие NIS2 содержательно - занималась реальным управлением рисками, а не заполнением форм - практически ничего не почувствует. Компания, которая строила compliance формально, обнаружит, что некоторые формы упростились, но суть не изменилась.

Что реально означает "менее бумажное" соответствие

Есть несколько конкретных направлений, где административная нагрузка должна снизиться.

Отчётность об инцидентах. Предполагается упрощение требований к промежуточным уведомлениям - сейчас организации обязаны направлять несколько отчётов в жёстких временных рамках (24 часа, 72 часа, финальный отчёт). Логика движется в сторону более гибкого режима без потери содержательного контроля.

Пороги для малого и среднего бизнеса. Ряд требований был явно написан с расчётом на крупные организации. Пакет предполагает более чёткое разграничение обязательств в зависимости от размера и критичности компании.

Межстрановое выравнивание. Одна из главных проблем NIS2 - различная имплементация в разных странах ЕС, что создавало двойную нагрузку для компаний, работающих в нескольких юрисдикциях. Пакет направлен на сближение требований.

На что это не влияет

Есть вещи, которые упрощение не затрагивает и не должно затрагивать.

Ответственность руководства. Директора и топ-менеджмент несут персональную ответственность за управление рисками кибербезопасности. Это остаётся.

Требования к цепочкам поставок. Если ваша компания является поставщиком для организаций, подпадающих под NIS2, требования к вам остаются. Ваши европейские клиенты по-прежнему обязаны управлять рисками у поставщиков.

Технические стандарты. Шифрование, управление уязвимостями, реагирование на инциденты - содержательные требования никуда не делись.

Практические вопросы для проверки

Если ваша компания работает с европейским рынком или является частью европейских цепочек поставок, имеет смысл проверить несколько вещей:

1. Под какую категорию NIS2 подпадают ваши европейские контрагенты - "важные" или "существенные" организации?
2. Какие требования к поставщикам они уже предъявляют или планируют предъявлять?
3. Ваши внутренние процессы управления инцидентами соответствуют требованиям уведомления, или это только формальные документы?
4. Есть ли у вас реальная карта зависимостей в цепочке поставок, или это тоже существует только на бумаге?

Пакет упрощения - хорошая новость для тех, кто тратил слишком много времени на бюрократию. Но он не меняет главного: соответствие NIS2 - это рабочая система управления рисками, а не архив заполненных форм.