Укр Рус
Техно Інтернет Кібербезпека європейського рівня: що потрібно знати про нові вимоги NIS2 для бізнесу
13 грудня, 16:02
4

Кібербезпека європейського рівня: що потрібно знати про нові вимоги NIS2 для бізнесу

Михайло Года
Основні тези
  • Директива NIS2 є важливим законодавчим документом ЄС для підвищення рівня кібербезпеки, обов'язковим для виконання з жовтня 2024 року.
  • NIS2 включає суворіші вимоги до кібербезпеки, розширюючи охоплення галузей і вводячи обов'язкову звітність та відповідальність за порушення.
  • Українським компаніям слід підготуватися до змін, оскільки вони можуть бути ідентифіковані як критично важливі партнери для компаній з ЄС.

Країни Європейського Союзу активно готуються до впровадження нових правил у сфері кібербезпеки, викладених у директиві про безпеку мережевих та інформаційних систем NIS2. На відміну від попередньої версії, оновлена директива охоплює ширший спектр галузей, які мають відповідати вимогам кібербезпеки.

Консультанта із кібербезпеки компанії Tet Райвіс Бідіньш, розповів 24 Каналу, що українським компаніям також варто підготуватися до цих змін, оскільки більшість бізнес-даних зберігається та обробляється за кордоном, а країна перебуває на шляху до вступу в ЄС. Отже, що важливо знати вже зараз та які вимоги стануть обов'язковими?

А тим часом ФБР закликає всіх негайно перейти на зашифровані месенджери

Що таке NIS2?

Директива NIS2 є важливим європейським законодавчим документом, розробленим для поліпшення рівня кібербезпеки і стійкості критичної інфраструктури та важливих послуг в ЄС. Вона була ухвалена ще наприкінці 2022 року, але обов'язковою для виконання компаніями стала із 17 жовтня 2024 року.

NIS2 передбачає посилення вимог до кібербезпеки, а також обов'язкове виконання низки дій, таких як: розробка та реалізація чіткого плану і заходів з управління ризиками, формування та навчання команд з цифрової безпеки тощо.

У чому відмінність NIS2 від попередньої версії?

У 2016 році Європейський Союз уже ухвалив директиву з кібербезпеки NIS1, проте вона мала рекомендаційний характер була менш досконалою. Нова версія NIS2 включає декілька важливих відмінностей, а саме:

  • вимоги директиви поширюються на ще більшу кількість галузей, включно з об'єктами критичної інфраструктури у сферах енергетики, транспорту, охорони здоров'я та фінансів;
  • нові заходи безпеки є обов'язковими до виконання і за їх недотримання передбачені санкції;
  • введено обов'язкову звітність (з установленими термінами) про серйозні кіберзагрози для органів державного управління з метою впровадження необхідних заходів безпеки на національному рівні;
  • відповідальність за порушення, як адміністративна, так і фінансова, покладається на керівництво підприємства.

Вимоги відповідності NIS2 для європейських компаній

Суворіші вимоги щодо ІТ-безпеки для європейських підприємств включають наявність у компанії менеджера з кібербезпеки (CISO) (у штаті або на аутсорсі), регулярне навчання співробітників, комплексні заходи з безпеки, такі як: контроль доступу, двофакторну (2FA) та багатофакторну (MFA) автентифікацію, управління мобільними пристроями (MDM), застосування захищених віртуальних приватних мереж (VPN), а також шифрування для захисту даних.

До того ж необхідно регулярно перевіряти рівень безпеки і проводити аудити. Для забезпечення ефективності всіх систем підприємства необхідно їх моніторити й оцінювати. Аудити можуть включати перевірки ІТ-безпеки, відповідність вимогам GDPR і технологічний аудит, що допоможе підтримувати високий рівень захисту.

Інструменти, такі як тестування на проникнення (пентести) та оцінка безпеки PCI DSS, є особливо важливими для організацій, які обробляють конфіденційну інформацію, включно з платіжними даними.

Що потрібно знати українському бізнесу про NIS2?

Компанії з ЄС, на які поширюються вимоги NIS2 та які є їхніми суб'єктами, під час оцінки безпеки своїх ланцюжків постачання можуть ідентифікувати компанії з України як критично важливих партнерів і таких, від яких залежить безперервність діяльності. Важливо знати про свій "статус" для партнерів з ЄС.

 

Райвіс Бідіньш

Консультанта із кібербезпеки компанії Tet

Річ у тім, що тоді для продовження співпраці компаніям з України потрібно виконувати додаткові вимоги щодо ІТ-безпеки. До прикладу, це може включати регулярні перевірки ІТ-безпеки, внесення змін до договорів, а також суворіший контроль над третіми сторонами, залученими до співпраці.

Дивіться також Де в квартирі кращий сигнал, чому "не ловить" в ліфті і як мобільний зв'язок працює в метро

Попри те, що безпосередньо українським компаніям не потрібно буде виконувати усі вимоги NIS2, все ж таки при критично важливій співпраці українському бізнесу потрібно бути готовим до додаткових вимог і підвищення рівня ІТ-безпеки за запитом європейських партнерів.