Консультанта із кібербезпеки компанії Tet Райвіс Бідіньш, розповів 24 Каналу, що українським компаніям також варто підготуватися до цих змін, оскільки більшість бізнес-даних зберігається та обробляється за кордоном, а країна перебуває на шляху до вступу в ЄС. Отже, що важливо знати вже зараз та які вимоги стануть обов'язковими?
А тим часом ФБР закликає всіх негайно перейти на зашифровані месенджери
Що таке NIS2?
Директива NIS2 є важливим європейським законодавчим документом, розробленим для поліпшення рівня кібербезпеки і стійкості критичної інфраструктури та важливих послуг в ЄС. Вона була ухвалена ще наприкінці 2022 року, але обов'язковою для виконання компаніями стала із 17 жовтня 2024 року.
NIS2 передбачає посилення вимог до кібербезпеки, а також обов'язкове виконання низки дій, таких як: розробка та реалізація чіткого плану і заходів з управління ризиками, формування та навчання команд з цифрової безпеки тощо.
У чому відмінність NIS2 від попередньої версії?
У 2016 році Європейський Союз уже ухвалив директиву з кібербезпеки NIS1, проте вона мала рекомендаційний характер була менш досконалою. Нова версія NIS2 включає декілька важливих відмінностей, а саме:
- вимоги директиви поширюються на ще більшу кількість галузей, включно з об'єктами критичної інфраструктури у сферах енергетики, транспорту, охорони здоров'я та фінансів;
- нові заходи безпеки є обов'язковими до виконання і за їх недотримання передбачені санкції;
- введено обов'язкову звітність (з установленими термінами) про серйозні кіберзагрози для органів державного управління з метою впровадження необхідних заходів безпеки на національному рівні;
- відповідальність за порушення, як адміністративна, так і фінансова, покладається на керівництво підприємства.
Вимоги відповідності NIS2 для європейських компаній
Суворіші вимоги щодо ІТ-безпеки для європейських підприємств включають наявність у компанії менеджера з кібербезпеки (CISO) (у штаті або на аутсорсі), регулярне навчання співробітників, комплексні заходи з безпеки, такі як: контроль доступу, двофакторну (2FA) та багатофакторну (MFA) автентифікацію, управління мобільними пристроями (MDM), застосування захищених віртуальних приватних мереж (VPN), а також шифрування для захисту даних.
До того ж необхідно регулярно перевіряти рівень безпеки і проводити аудити. Для забезпечення ефективності всіх систем підприємства необхідно їх моніторити й оцінювати. Аудити можуть включати перевірки ІТ-безпеки, відповідність вимогам GDPR і технологічний аудит, що допоможе підтримувати високий рівень захисту.
Інструменти, такі як тестування на проникнення (пентести) та оцінка безпеки PCI DSS, є особливо важливими для організацій, які обробляють конфіденційну інформацію, включно з платіжними даними.
Що потрібно знати українському бізнесу про NIS2?
Компанії з ЄС, на які поширюються вимоги NIS2 та які є їхніми суб'єктами, під час оцінки безпеки своїх ланцюжків постачання можуть ідентифікувати компанії з України як критично важливих партнерів і таких, від яких залежить безперервність діяльності. Важливо знати про свій "статус" для партнерів з ЄС.
Райвіс Бідіньш
Консультанта із кібербезпеки компанії Tet
Річ у тім, що тоді для продовження співпраці компаніям з України потрібно виконувати додаткові вимоги щодо ІТ-безпеки. До прикладу, це може включати регулярні перевірки ІТ-безпеки, внесення змін до договорів, а також суворіший контроль над третіми сторонами, залученими до співпраці.
Дивіться також Де в квартирі кращий сигнал, чому "не ловить" в ліфті і як мобільний зв'язок працює в метро
Попри те, що безпосередньо українським компаніям не потрібно буде виконувати усі вимоги NIS2, все ж таки при критично важливій співпраці українському бізнесу потрібно бути готовим до додаткових вимог і підвищення рівня ІТ-безпеки за запитом європейських партнерів.