Кибербезопасность европейского уровня: что нужно знать о новых требованиях NIS2 для бизнеса

Консультант по кибербезопасности компании Tet Райвис Бидиньш, рассказал 24 Каналу, что украинским компаниям также стоит подготовиться к этим изменениям, поскольку большинство бизнес-данных хранится и обрабатывается за рубежом, а страна находится на пути к вступлению в ЕС. Итак, что важно знать уже сейчас и какие требования станут обязательными?

А тем временем ФБР призывает всех немедленно перейти на зашифрованные мессенджеры

Что такое NIS2?

Директива NIS2 является важным европейским законодательным документом, разработанным для улучшения уровня кибербезопасности и устойчивости критической инфраструктуры и важных услуг в ЕС. Она была принята еще в конце 2022 года, но обязательной для выполнения компаниями стала с 17 октября 2024 года.

NIS2 предусматривает ужесточение требований к кибербезопасности, а также обязательное выполнение ряда действий, таких как: разработка и реализация четкого плана и мероприятий по управлению рисками, формирование и обучение команд по цифровой безопасности и тому подобное.

В чем отличие NIS2 от предыдущей версии?

В 2016 году Европейский Союз уже принял директиву по кибербезопасности NIS1, однако она имела рекомендательный характер и была менее совершенной. Новая версия NIS2 включает несколько важных отличий, а именно:

• требования директивы распространяются на еще большее количество отраслей, включая объекты критической инфраструктуры в сферах энергетики, транспорта, здравоохранения и финансов;
• новые меры безопасности являются обязательными к исполнению и за их несоблюдение предусмотрены санкции;
• введена обязательная отчетность (с установленными сроками) о серьезных киберугрозах для органов государственного управления с целью внедрения необходимых мер безопасности на национальном уровне;
• ответственность за нарушение, как административная, так и финансовая, возлагается на руководство предприятия.

Требования соответствия NIS2 для европейских компаний

Более строгие требования по ИТ-безопасности для европейских предприятий включают наличие в компании менеджера по кибербезопасности (CISO) (в штате или на аутсорсе), регулярное обучение сотрудников, комплексные меры по безопасности, такие как: контроль доступа, двухфакторную (2FA) и многофакторную (MFA) аутентификацию, управление мобильными устройствами (MDM), применение защищенных виртуальных частных сетей (VPN), а также шифрование для защиты данных.

К тому же необходимо регулярно проверять уровень безопасности и проводить аудиты. Для обеспечения эффективности всех систем предприятия необходимо их мониторить и оценивать. Аудиты могут включать проверки ИТ-безопасности, соответствие требованиям GDPR и технологический аудит, что поможет поддерживать высокий уровень защиты.

Инструменты, такие как тестирование на проникновение (пентесты) и оценка безопасности PCI DSS, особенно важны для организаций, которые обрабатывают конфиденциальную информацию, включая платежные данные.

Что нужно знать украинскому бизнесу о NIS2?

Компании из ЕС, на которые распространяются требования NIS2 и которые являются их субъектами, при оценке безопасности своих цепочек поставок могут идентифицировать компании из Украины как критически важных партнеров и таких, от которых зависит непрерывность деятельности. Важно знать о своем "статусе" для партнеров из ЕС.

Смотрите также Где в квартире лучший сигнал, почему "не ловит" в лифте и как мобильная связь работает в метро

Несмотря на то, что непосредственно украинским компаниям не нужно будет выполнять все требования NIS2, все же при критически важном сотрудничестве украинскому бизнесу нужно быть готовым к дополнительным требованиям и повышению уровня ИТ-безопасности по запросу европейских партнеров.