Директива NIS2: усиление кибербезопасности в борьбе с киберпреступностью

В 2024 году киберпреступность достигла рекордного уровня, затронув правительства и различные отрасли во всем мире и угрожая безопасности критически важных данных и инфраструктуры. Согласно отчету Cybersecurity Ventures, ожидается, что к 2025 году затраты на борьбу с киберпреступностью достигнут 10,5 триллионов долларов в год, по сравнению с 3 триллионами долларов, потраченными в 2015 году{{Footnote.A74148}}.

Этот всплеск несанкционированного доступа обусловлен все более изощренными попытками кибератак, инцидентами с вирусами-вымогателями и утечками данных, причем частота и серьезность таких атак растут с каждым годом. В Докладе о глобальных рисках Всемирного экономического форума за 2023 год{{Footnote.A74149}} подчеркивается, что киберугрозы являются одними из главных глобальных рисков, и делается акцент на необходимости принятия надежных мер по кибербезопасности.

Для борьбы с этой растущей угрозой Европейский союз принял Директиву NIS2, которая представляет собой существенное обновление первоначальной Директивы NIS (Директива о безопасности сетевых и информационных систем) 2016 года, с расширением сферы действия, охватывая более критически важную инфраструктуру и поставщиков основных услуг.

Директива NIS2 направлена на укрепление кибербезопасности критически важной инфраструктуры в ЕС, обеспечение большей устойчивости и более надежной защиты от утечек данных и сбоев, спровоцированных злоумышленниками.

Эксперт по безопасности Дэвид Кларк объясняет ключевые различия между NIS и NIS2

Сфера действия и охват: первоначальная Директива NIS в основном ориентирована на операторов важнейших услуг и поставщиков цифровых услуг. Директива NIS2 расширяет сферу охвата, включая средние и крупные предприятия из более широкого спектра секторов, таких как здравоохранение, транспорт, энергетика, банковское дело и правительство. Это означает, что все больше организаций и государственных учреждений теперь обязаны соблюдать строгие стандарты кибербезопасности.

Требования безопасности: Директива NIS2 вводит более подробные требования к безопасности. Организации должны внедрять меры по управлению рисками, проводить регулярные оценки безопасности и принимать стратегии реагирования на инциденты. Директива предписывает использование шифрования и контроля доступа для защиты конфиденциальных данных.

Отчетность об инцидентах: первоначальная Директива NIS требовала от организаций сообщать о серьезных инцидентах, связанных с безопасностью, исключая неоправданные задержки. Директива NIS2 ужесточает это требование, предписывая сообщать об инцидентах в течение 24 часов с момента обнаружения, обеспечивая более быстрое реагирование на атаки и связанные с ними сбои.

Контроль и обеспечение соблюдения законодательства: Директива NIS2 укрепляет роль национальных властей в надзоре и обеспечении соблюдения законодательных требований. Штрафы за несоблюдение требований теперь также более серьезные, при этом они потенциально могут достигать 10 миллионов евро или 2% от глобального годового оборота компании, в зависимости от того, какой из показателей является более высоким.

Безопасность цепочки поставок: Директива NIS2 подчеркивает важность обеспечения безопасности критически важной цепочки поставок, требуя от компаний и правительств оценки и управления рисками кибербезопасности, создаваемыми поставщиками товаров и услуг.

Кого это затронет?

Расширенный охват NIS2 означает, что будет затронут широкий спектр областей. К ним относятся энергетика, транспорт, банковское дело, инфраструктура финансового рынка, здравоохранение, снабжение и распределение питьевой воды, цифровая инфраструктура, правительства и аэрокосмический сектор. Средние и крупные предприятия в этих областях должны обеспечить соблюдение новой директивы с 17 октября 2024 года.

Возможные штрафы и меры ответственности

Несоблюдение Директивы NIS2 может привести к значительным штрафам. Организациям, которые не соответствуют требуемым стандартам или своевременно не сообщают об инцидентах, связанных с безопасностью, могут грозить штрафы в размере до 10 миллионов евро или 2% от их глобального годового оборота. Эти строгие меры подчеркивают важность соблюдения директивы во избежание финансового ущерба и нанесения урона репутации компании.

А если компании находятся не в ЕС?

Директива NIS2 касается даже тех, кто не находится в ЕС. Если ваша организация работает как дочерняя организация или сотрудничает с какой-либо организацией из ЕС – вы подпадаете под действие этих правил, и будете обязаны уплатить любые последующие штрафы за ее несоблюдение.