Консультант по кибербезопасности компании Tet Райвис Бидиньш, рассказал 24 Каналу, что украинским компаниям также стоит подготовиться к этим изменениям, поскольку большинство бизнес-данных хранится и обрабатывается за рубежом, а страна находится на пути к вступлению в ЕС. Итак, что важно знать уже сейчас и какие требования станут обязательными?
А тем временем ФБР призывает всех немедленно перейти на зашифрованные мессенджеры
Что такое NIS2?
Директива NIS2 является важным европейским законодательным документом, разработанным для улучшения уровня кибербезопасности и устойчивости критической инфраструктуры и важных услуг в ЕС. Она была принята еще в конце 2022 года, но обязательной для выполнения компаниями стала с 17 октября 2024 года.
NIS2 предусматривает ужесточение требований к кибербезопасности, а также обязательное выполнение ряда действий, таких как: разработка и реализация четкого плана и мероприятий по управлению рисками, формирование и обучение команд по цифровой безопасности и тому подобное.
В чем отличие NIS2 от предыдущей версии?
В 2016 году Европейский Союз уже принял директиву по кибербезопасности NIS1, однако она имела рекомендательный характер и была менее совершенной. Новая версия NIS2 включает несколько важных отличий, а именно:
- требования директивы распространяются на еще большее количество отраслей, включая объекты критической инфраструктуры в сферах энергетики, транспорта, здравоохранения и финансов;
- новые меры безопасности являются обязательными к исполнению и за их несоблюдение предусмотрены санкции;
- введена обязательная отчетность (с установленными сроками) о серьезных киберугрозах для органов государственного управления с целью внедрения необходимых мер безопасности на национальном уровне;
- ответственность за нарушение, как административная, так и финансовая, возлагается на руководство предприятия.
Требования соответствия NIS2 для европейских компаний
Более строгие требования по ИТ-безопасности для европейских предприятий включают наличие в компании менеджера по кибербезопасности (CISO) (в штате или на аутсорсе), регулярное обучение сотрудников, комплексные меры по безопасности, такие как: контроль доступа, двухфакторную (2FA) и многофакторную (MFA) аутентификацию, управление мобильными устройствами (MDM), применение защищенных виртуальных частных сетей (VPN), а также шифрование для защиты данных.
К тому же необходимо регулярно проверять уровень безопасности и проводить аудиты. Для обеспечения эффективности всех систем предприятия необходимо их мониторить и оценивать. Аудиты могут включать проверки ИТ-безопасности, соответствие требованиям GDPR и технологический аудит, что поможет поддерживать высокий уровень защиты.
Инструменты, такие как тестирование на проникновение (пентесты) и оценка безопасности PCI DSS, особенно важны для организаций, которые обрабатывают конфиденциальную информацию, включая платежные данные.
Что нужно знать украинскому бизнесу о NIS2?
Компании из ЕС, на которые распространяются требования NIS2 и которые являются их субъектами, при оценке безопасности своих цепочек поставок могут идентифицировать компании из Украины как критически важных партнеров и таких, от которых зависит непрерывность деятельности. Важно знать о своем "статусе" для партнеров из ЕС.
Райвис Бидиньш
Консультанта по кибербезопасности компании Tet
Дело в том, что тогда для продолжения сотрудничества компаниям из Украины нужно выполнять дополнительные требования по ИТ-безопасности. К примеру, это может включать регулярные проверки ИТ-безопасности, внесение изменений в договоры, а также строгий контроль над третьими сторонами, привлеченными к сотрудничеству.
Смотрите также Где в квартире лучший сигнал, почему "не ловит" в лифте и как мобильная связь работает в метро
Несмотря на то, что непосредственно украинским компаниям не нужно будет выполнять все требования NIS2, все же при критически важном сотрудничестве украинскому бизнесу нужно быть готовым к дополнительным требованиям и повышению уровня ИТ-безопасности по запросу европейских партнеров.