Директива NIS 2

Директива NIS 2 — это директива ЕС, направленная на обеспечение высокого общего уровня кибербезопасности в Европейском союзе. Она заменяет первоначальную Директиву NIS от 2016 года и ужесточает требования по информационной безопасности, решает вопросы информационной безопасности цепочек поставок и вводит гармонизированные штрафные санкции. Директива NIS 2 была принята Европейским парламентом и Советом ЕС в конце 2022 года и применяется в ЕС с 18.10.2024. Государства-члены должны включить директиву в свое внутреннее законодательство.

NIS 2 в первую очередь касается требований к компаниям:

В то время как Директива NIS 1 в основном применялась к критически важным инфраструктурам и поставщикам соответствующих цифровых услуг, Директива NIS 2 расширяет затонутые секторы, включая производственную торговлю, среди прочего: машиностроение, производство устройств обработки данных, электронных и оптических изделий, электрооборудования, автомобилей и автомобильных деталей, а также любое другое производство транспортных средств. В этих отраслях затронуты компании с численностью сотрудников более 50 человек или годовым оборотом или годовым балансом более 10 миллионов евро.

Для обеспечения соответствия NIS 2 затронутым организациям необходимо принять ряд мер, в том числе:

• Управление рисками: Внедрение процессов выявления и оценки рисков.
• Меры информационной безопасности: Внедрение технических и организационных мер по снижению риска.
• Сообщение об инцидентах: Установление процедур сообщения об инцидентах, связанных с информационной безопасностью, в компетентные органы.
• Мониторинг и аудиты: Регулярный обзор и оценка мер информационной безопасности.

Соответствие NIS 2 обеспечивается национальными органами власти в государствах-членах ЕС, которые отвечают за мониторинг и обеспечение соблюдения директивы. В Германии компетентным органом является Федеральное управление по информационной безопасности (BSI).

Меры принудительного характера:

1. Обязанности по предоставлению отчетов: Компании должны сообщать об инцидентах, связанных с информационной безопасностью. NIS 2 вводит трехуровневую систему отчетности для повышения прозрачности и оперативности реагирования.
2. Меры надзора: Федеральное управление по информационной безопасности Германии (BSI) расширило полномочия по проведению аудитов и инспекций для проверки соблюдения требований информационной безопасности.
3. Штрафы: Несоблюдение директивы может повлечь за собой штрафы, которые различаются в зависимости от серьезности нарушения.

Поддержка и консультации:
BSI предлагает затронутым компаниям поддержку и консультации для содействия внедрению директивы NIS 2. Компаниям следует принять упреждающие меры по повышению своей информационной безопасности и подготовиться к введению новых требований. Европейское агентство по сетевой и информационной безопасности (ENISA) предлагает организациям обилие полезной информации на тему кибербезопасности.

NIS 2, Закон о киберустойчивости и Регламент по машинному оборудованию являются частью комплексной нормативно-правовой базы ЕС по укреплению кибербезопасности и устойчивости. В то время как NIS 2 фокусируется на безопасности сетей, информационных систем и требованиях корпоративного уровня, Закон о киберустойчивости направлен на повышение кибербезопасности продуктов с цифровыми элементами. Регламент по машинному оборудованию дополняет эти меры, определяя требования информационной безопасности к машинному оборудованию и промышленным изделиям.

• Дополнительные технические требования в сфере информационной безопасности в промышленности (включая стандарт МЭК 62443)
• Европейское агентство по сетевой и информационной безопасности (ENISA)