Изучение NIS 2: изменения, требования и подготовка
Директива о безопасности сетевых и информационных систем (NIS) снова преобразовывает европейскую среду. Учитывая возможные жесткие санкции и еще более строгие требования, которые будут действовать в скором времени, соблюдать нормативно-правовые требования становится сложнее, чем когда-либо.
Давайте разберемся и объясним все, что вам нужно знать о Директиве NIS 2 и ее влиянии на вашу организацию.
Что такое NIS 2?
NIS 2 — это вторая версия Директивы о безопасности сетевых и информационных систем. Этот знаковый законодательный акт в области кибербезопасности направлен на повышение уровня киберустойчивости организаций по всему Европейскому союзу (ЕС), особенно операторов критической инфраструктуры и крайне важных услуг.
Примечательно, что правильное название законодательного акта — «NIS 2». Тем не менее в официальных документах могут упоминаться «соблюдение нормативно-правовых требований NIS 2» и «Директива NIS 2». Оба варианта приемлемы, но первое название публикуется в Официальном журнале Европейского Союза.
Поскольку Директива NIS представляет собой нормативный акт, действующий в масштабах всего ЕС, каждое государство-член должно перенести ее в свое национальное законодательство до 17 октября 2024 года. После этого все организации, подпадающие под действие Директивы, будут юридически обязаны соблюдать ее требования безопасности. Проще говоря, это означает, что все государства — члены ЕС должны будут придать этой Директиве обязательную юридическую силу в своих странах, чтобы можно было обеспечивать ее соблюдение.
На национальном уровне Директива NIS 2 направлена на повышение общей кибербезопасности путем:
- Предъявления к каждому государству — члену ЕС требования быть готовым к возможным киберугрозам: иметь группу реагирования на инциденты в сфере компьютерной безопасности (CSIRT) и компетентный национальный орган по сетевым и информационным системам.
- Расширения взаимодействия между государствами-членами посредством создания Группы сотрудничества для обмена информацией.
- Развития культуры кибербезопасности в секторах критической инфраструктуры, которые в значительной степени зависят от информационно-коммуникационных технологий (ИКТ).
Если вкратце, то Директива NIS 2 призвана обеспечить готовность соответствующих организаций по всему ЕС к противодействию угрозам благодаря использованию подходящих мер безопасности, информации об угрозах и передовых методов.
Решения для соблюдения нормативно-правовых требований NIS 2
Узнайте о законодательстве ЕС, которое распространяется на критически важную инфраструктуру и услуги, а также о том, как компания Entrust может помочь.
Почему Директива NIS 2 важна?
NIS 2 представляет собой заметное улучшение первоначальной Директивы NIS. Исторически сложилось так, что Директива NIS 1 была первым европейским законодательным актом в области кибербезопасности, а также была направлена на повышение киберустойчивости во всем регионе.
Несмотря на то что она способствовала изменению мышления и улучшению защиты данных, возникли проблемы с ее введением. Вскоре после внедрения в Европейском союзе были отмечены различные уровни ее принятия. Некоторые компании считались крайне важными в одних странах, но не в других. Результатом таких несоответствий стала запутанная и разрозненная среда соблюдения нормативно-правовых требований.
Одновременно с этим, начиная с 2016 года, среда рисков развивалась семимильными шагами. В глобальном масштабе киберпреступность растет настолько быстро, что если бы ее оценивали как страну, то у нее была бы третья по величине экономика в мире. Новые и все более изощренные векторы атак бросают организациям невиданные ранее вызовы, включая использование искусственного интеллекта (ИИ).
Например, мошенники, совершающие фишинговые аферы с использованием ИИ, учатся обманывать ничего не подозревающих пользователей и легко красть их учетные данные. Кроме того, после появления квантовых вычислений расшифровка хакерами многих криптографических алгоритмов, используемых сегодня, — это лишь вопрос времени.
Безусловно, геополитика только усложняет ситуацию. Война России в Украине привела к политически мотивированным и спонсируемым государством кибератакам. По данным Европейского агентства по сетевой и информационной безопасности (ENISA), в 2022 году подавляющее большинство этих атак было направлено на органы государственной власти и управления, поставщиков цифровых услуг и критическую инфраструктуру.
Учитывая эти проблемы, Европейская комиссия решила пересмотреть Директиву NIS. Вторая версия не только решает вопросы унифицированного внедрения, но и повышает планку киберустойчивости в соответствии с меняющимся ландшафтом киберугроз.
Основные изменения: сравнение NIS 2 с первоначальной Директивой NIS
Обновленная Директива NIS устраняет недостатки своей предшественницы и значительно расширяет сферу ее действия. В частности, по сравнению с NIS 1, она:
- имеет расширенную сферу действия, включающую больше секторов;
- предусматривает более жесткие санкции за несоблюдение нормативно-правовых требований;
- устанавливает более строгие требования к кибербезопасности.
Давайте рассмотрим ключевые различия между первой и второй Директивами NIS подробнее.
Расширенная область действия
Первоначальная Директива NIS применялась к «операторам крайне важных услуг» (OES) и «поставщикам цифровых услуг» (DSP). Теперь этого различия нет.
Вместо этого соответствующие организации классифицируются по размеру и типу. В целом Директива NIS 2 распространяется на все организации, которые предоставляют Европейскому союзу «крайне важные или важные услуги». Ввиду этого количество охватываемых секторов возросло с семи до 15. Таким образом, Директива защищает больше существенных аспектов общества ЕС.
Крайне важная организация классифицируется как крупная компания, которая работает в критическом секторе, например в одном из тех, которые приведены ниже. В этом случае крупная компания — это организация, в которой работает не менее 250 человек, годовой оборот которой составляет не менее 50 млн евро или годовой баланс которой составляет не менее 43 млн евро. Согласно NIS 2, предприятия, предоставляющие крайне важные услуги, работают в указанных далее секторах.
- Энергетика.
- Транспортное обеспечение.
- Финансы.
- Государственное управление.
- Здравоохранение.
- Космические исследования.
- Водоснабжение и водоотведение.
- Цифровая инфраструктура.
Напротив, важная организация — это среднее предприятие, работающее в секторах высокой степени критичности, которое не подпадает под категорию организации, предоставляющей крайне важные услуги. Как правило, в таких организациях работает не менее 50 сотрудников, годовой оборот составляет не менее 10 млн евро или баланс — не менее 10 млн евро. В соответствии с NIS 2 важные организации работают в секторах, перечисленных ниже.
- Почтовые услуги.
- Управление отходами.
- Химическая промышленность.
- Исследования.
- Пищевая промышленность.
- Производство.
- Поставщики цифровых услуг.
Может показаться, что некоторые из перечисленных выше секторов пересекаются, например «цифровая инфраструктура» и «поставщики цифровых услуг». Первый сектор относится к облачным услугам, телекоммуникационным операторам, центрам обработки данных, доверительным услугам и т. п. Если вкратце, то в него входит любая организация, предоставляющая наиболее важные цифровые услуги для основы общества.
Поставщики цифровых услуг включают в себя организации, предоставляющие более специфические услуги, такие как поисковые системы, электронные торговые площадки и социальные сети. Они играют существенную роль в коммуникации и совершении транзакций между людьми, но если в результате киберинцидента они станут неработоспособными, это не приведет к серьезным последствиям.
А что насчет операторов, которые находятся за пределами ЕС? В соответствии со статьей 26 NIS 2 крайне важные и важные организации считаются находящимися под юрисдикцией государства — члена ЕС, в котором они предоставляют свои услуги. Если организация предоставляет услуги более чем в одном государстве-члене, она подпадает под юрисдикцию каждого из них соответственно.
Более строгое соблюдение нормативно-правовых требований
NIS 2 устанавливает гораздо более суровые наказания за несоблюдение нормативно-правовых требований, в том числе перечисленные далее.
1. Неденежные санкции
NIS 2 предоставляет национальным надзорным органам следующие полномочия:
- издавать распоряжения о соблюдении нормативно-правовых требований;
- издавать обязательные для исполнения предписания;
- проводить аудиты безопасности;
- издавать распоряжения относительно уведомления об угрозах.
2. Административные штрафы
Точные размеры штрафов отличаются в зависимости от государства-члена, но Директива NIS устанавливает минимальный список санкций.
- Для крайне важных организаций государство-член должно предусмотреть максимальный штраф в размере не менее 10 000 000 евро или 2 % от мирового годового дохода (в зависимости от того, какая сумма больше).
- Если важная организация нарушит Директиву, государство-член должно наложить штраф в размере не менее 7 000 000 евро или 1,4 % от мирового годового дохода (в зависимости от того, какая сумма больше).
3. Уголовные санкции в отношении органов управления
Вместо того чтобы возложить всю нагрузку по соблюдению нормативно-правовых требований NIS 2 на ИТ-отделы, Директива включает новые санкции, предусматривающие персональную ответственность органов управления за грубую халатность в случае инцидента кибербезопасности. Например, компетентный орган может временно запрещать руководителям занимать управленческие должности. Он также может приказывать организациям раскрывать сведения о нарушении нормативно-правовых требований и делать публичные заявления с указанием лиц, ответственных за инциденты.
Более строгие требования
Наконец, Директива NIS 2 значительно повысила требования к кибербезопасности для соответствующих организаций. В целом она предписывает раннее информирование об инцидентах, расширенное управление рисками и ряд минимальных мер безопасности.
Что все это значит? Давайте рассмотрим точные требования NIS 2 более подробно.
Требования NIS 2 к безопасности
Новая Директива повышает киберустойчивость, вводя обязательства в четырех приведенных далее областях.
Управление рисками
Организации должны принимать меры по управлению рисками кибербезопасности, чтобы минимизировать вероятность и влияние различных векторов киберугроз. В частности, они должны принимать технические, эксплуатационные и организационные меры предосторожности для снижения рисков, влияющих на их сетевые и информационные системы, тем самым повышая уровень защиты данных. Такие меры могут включать в себя процедуры управления инцидентами, повышение безопасности цепочки поставок, системы контроля доступа и шифрование.
Корпоративное управление
Органы управления несут ответственность за контроль и утверждение протоколов управления рисками кибербезопасности в своих соответствующих организациях и должны обеспечивать их эффективное внедрение.
Согласно статье 20, государства-члены должны «обеспечивать то, чтобы члены органов управления крайне важных и важных организаций были обязаны проходить обучение», и должны поощрять их к тому, чтобы они последовательно предлагали подобные программы обучения своим сотрудникам. Цель — предоставить каждому сотруднику организации возможность выявлять риски и минимизировать их в меру своих способностей.
Информирование об инцидентах
Критически важные организации должны установить процедуры для оперативного информирования об инцидентах безопасности, которые значительно влияют на пользователей и (или) предоставление такими организациями услуг. NIS 2 классифицирует «значительный» инцидент безопасности как такой, который:
- привел или может привести к серьезным нарушениям в работе критически важного сектора;
- оказал или может оказать влияние на других физических или юридических лиц, причинив значительный ущерб.
Организации обязаны уведомлять компетентный орган своего государства-члена (включая CSIRT) путем раннего предупреждения не позднее чем через 24 часа после получения информации о киберинциденте. Кроме того, они должны составить полный отчет не позднее чем через 72 часа, а окончательный отчет — не позднее чем через месяц после предоставления первоначального документа.
Непрерывность бизнеса
Пересмотренная Директива NIS 2 призвана гарантировать непрерывность бизнеса после атак. Организации обязаны разработать надежную стратегию, подробно описывающую их реагирование на такие инциденты и восстановление после них в целях быстрой минимизации нарушений в работе. Следовательно, в Директиве NIS 2 подчеркивается необходимость внедрения облачных решений для резервного копирования.
Десять базовых мер кибербезопасности
В статье 21 определены 10 базовых мер безопасности, которые организации должны применять для поддержки четырех основных областей. Они основаны на «подходе с учетом всех опасностей», который направлен на уменьшение наиболее вероятных векторов угроз. К базовым мерам безопасности относятся:
- Политики в отношении анализа рисков и безопасности информационных систем.
- Планы реагирования на инциденты для борьбы с активными угрозами.
- Планы обеспечения непрерывности бизнеса, такие как процедуры резервного копирования, аварийного восстановления и управления в кризисных ситуациях.
- Безопасность цепочки поставок, включая меры, направленные на регулирование отношений между компаниями и их прямыми поставщиками или поставщиками услуг.
- Безопасность при приобретении, разработке и обслуживании сетевых и информационных систем, включая работу с уязвимостями и раскрытие информации о них.
- Политики и процедуры для оценки эффективности мер по управлению рисками кибербезопасности.
- Обучение для осведомленности о кибербезопасности, гигиене и передовых методах в области кибербезопасности.
- Политики использования криптографии и шифрования.
- Процедуры контроля доступа, особенно для сотрудников, имеющих доступ к конфиденциальным данным.
- Многофакторная аутентификация, непрерывный мониторинг и системы защищенного обмена данными.
Сравнение Директивы NIS 2 с другими нормативными актами в области кибербезопасности
Помимо NIS 2, операторам ЕС придется столкнуться с множеством других нормативных актов, в том числе со следующими:
- Закон о цифровой операционной устойчивости (DORA);
- Директива об устойчивости критически важных объектов (CER);
- Закон о киберустойчивости (CRA).
Как эти законодательные акты пересекаются? Давайте разберемся подробнее.
Сравнение NIS 2 с Законом DORA
И NIS 2, и DORA представляют собой нормативные акты в области кибербезопасности, но их цели немного отличаются. Закон DORA ориентирован в первую очередь на финансовый сектор, тогда как Директива NIS 2 охватывает более широкий круг организаций.
В соответствии с пунктами 1 и 2 статьи 4 Директивы NIS, положения Закона DORA об управлении рисками и информировании в области ИКТ, тестировании цифровой операционной устойчивости, обмене информацией и рисках, связанных с третьими сторонами, применяются вместо положений, изложенных в NIS 2. Другими словами, в этих областях финансовые организации должны следовать требованиям Закона DORA, а во всех остальных — Директивы NIS 2.
Вывод: Для финансовых организаций Закон DORA заменяет собой Директиву NIS 2, если речь идет о перечисленных выше мерах безопасности.
Сравнение NIS 2 с Директивой CER
Директива CER применяется к критически важным организациям, таким как поставщики электроэнергии и транспортных услуг, и направлена на их защиту от рисков, не связанных с кибербезопасностью. Несмотря на то что в Директиве NIS 2 основное внимание уделяется кибербезопасности, эти две директивы могут совпадать по охватываемым организациям. В таких случаях организациям необходимо будет обеспечить соблюдение нормативно-правовых требований обеих директив, относящихся как к кибер-, так и к физической устойчивости.
Критически важные организации должны соблюдать Директиву NIS 2, когда речь идет о кибербезопасности, и Директиву CER в случае инцидентов, не связанных с кибербезопасностью.
Сравнение NIS 2 с Законом CRA
Закон о киберустойчивости — это законопроект, направленный на обеспечение кибербезопасности аппаратных и программных продуктов с цифровыми элементами, таких как устройства интернета вещей (IoT). В то время как Директива NIS 2 направлена на повышение уровня безопасности самих компаний, Закон CRA требует от компаний уделять первостепенное внимание безопасности продуктов, которые они производят или продают.
Как правило, Закон CRA дополняет Директиву NIS 2, но не обязательно совпадает с ней или заменяет ее. Следовательно, организации могут подпадать под действие обоих нормативных актов.
Соблюдайте нормативно-правовые требования NIS 2, используя решения Entrust
Беспокоитесь о соблюдении нормативно-правовых требований NIS 2? Не стоит: мы вам поможем.
Компания Entrust берет на себя все проблемы, связанные с кибербезопасностью и защитой данных. В целом мы предлагаем полный набор инструментов, которые помогают организациям укреплять кибербезопасность, защищать их от угроз и соблюдать требования Директивы NIS 2.
Наше портфолио включает в себя все необходимые решения для соблюдения нормативно-правовых требований, в том числе перечисленные ниже.
Entrust KeyControl
KeyControl упрощает управление зашифрованными рабочими нагрузками путем автоматизации жизненного цикла ключей шифрования, включая хранение, резервное копирование, распространение, ротацию и отзыв ключей.
Certificate Hub
Осуществляйте поиск, контроль и автоматизацию управления собственными сертификатами. Центр сертификатов Entrust обеспечивает комплексное управление собственными цифровыми сертификатами в пределах одного мощного портала управления сертификатами.
Криптографический центр передового опыта
Наши специалисты предлагают опыт, инструменты и лучшие практики в области шифрования данных, необходимые для визуализации среды и разработки сильной криптостратегии для ваших систем криптографии и PKI.
Идентификация как услуга (Identity as a Service — IDaaS)
Используйте одну платформу для управления доступом и идентификационными данными, многофакторной аутентификации (MFA), беспарольного доступа на основе учетных данных, биометрической проверки на основе ИИ и единого входа (SSO) в облаке.