NIS 2: Європейський стандарт кібербезпеки 2025

05.05.2025

У сучасному цифровому світі кібербезпека стала критично важливим складником для забезпечення безперервності бізнесу, захисту особистих даних і функціонування об’єктів критичних інфраструктур. Кількість кіберзагроз і атак, що зростає ставить під сумнів стабільність економік та безпеку суспільства в цілому. У цьому контексті директива NIS 2 виступає важливим інструментом для підвищення рівня кіберстійкості в Європейському Союзі. Вона створює чітку правову базу для забезпечення єдиного стандарту кібербезпеки серед країн-членів, визначає вимоги до організацій, сприяє координації та оперативному реагуванню на інциденти, що робить її необхідним кроком для забезпечення безпеки на європейському рівні.
Дана стаття присвячена NIS 2 (Network and Information Security 2), та законодавству Європейського Союзу. ЄС складається з 27 окремих країн-учасниць з власним законодавством, тому важливо розрізняти національне законодавство (затверджується кожною країною окремо) та загальноєвропейське (затверджується Єврокомісією та Європарламентом). В ЄС розрізняється чотири основні типи законодавчих актів, але нас цікавить розглянути лише два наступні:
● Директива (directive) – документ, що вводиться у дію національним законодавством (ЄС видає директиву й за певний, визначений строк країни учасниці мають імплементувати директиву ЄС у своє національне законодавство). У випадку відсутності необхідного національного законодавства на момент завершення періоду трансформації - на країну починає діяти загальноєвропейська директива.● Регламент (regulation) – документ, що має пряму силу та стає частиною законодавства з моменту затвердження Європарламентом або Єврокомісією.
NIS 2 – це директива ЄС 2022/2555, яку до певного строку мають імплементувати до національного законодавства, або вона буде застосована у загальному вигляді. Кінцевою датою імплементації було визначено 17 жовтня 2024 року, але й досі певні країни не мають своєї національної адаптації NIS 2, тобто застосування NIS 2 може бути неоднорідним і необхідно брати до уваги реалізацію директиви в конкретній країні.
Дія NIS 2 поширюється на широкий спектр галузей економіки та типів установ/організацій. На відміну від NIS (директива 2016/1148, втратила чинність 17 жовтня 2024, після набуття чинності директиви 2022/2555) де перелік охоплених суб’єктів визначався кожною країною, NIS 2 уніфікує підхід: директива автоматично охоплює всі середні та великі організації у визначених секторах. Сфери поділені на дві групи (Annex I та Annex II директиви) – «сектори високої критичності» та «інші критичні сектори», відповідно до яких організації класифікуються як «основні» (essential) або «важливі» (important) суб’єкти.

Критичні галузі (Essential)	Важливі галузі (Important)
Енергетика (електроенергія, тепло, газ, нафта, тощо)	Поштові та кур’єрські служби
Транспорт (авіа-, залізничний, водний, автомобільний)	Управління відходами
Банківська сфера	Хімічна промисловість
Інфраструктури фінансового ринку (біржі, розрахункові установи)	Харчова промисловість
Охорона здоров’я (лікарні, медичні лабораторії, виробництво медикаментів)	Промислове виробництво (переробні підприємства)
Забезпечення питною водою	Постачальники цифрових послуг (онлайн-платформи, пошукові системи, соцмережі)
Каналізаційні системи (відведення стічних вод)	Дослідження (наукові установи) (опціонально)
Цифрова інфраструктура (інтернет-обмінники, хмари і дата-центри, CDN, DNS тощо)	–
Управління IT-сервісами (B2B)	–
Державне управління (центральні та великі регіональні органи влади)	–
Космічні дослідження (наземна інфраструктура космічних систем)	–

За порушення вимог NIS 2 значно посилюється режим санкцій, порівняно з попередньою NIS. Директива зобов’язує держави-члени встановити механізми контролю та притягнення до відповідальності за невиконання її вимог. NIS 2 гармонізує підхід до санкцій по всьому ЄС, визначаючи мінімальні міри впливу, які мають передбачити національні закони, зокрема:
● Настанови та коректувальні заходи. Компетентні органи отримують право видавати обов’язкові розпорядження компаніям-порушникам. Це можуть бути накази усунути виявлені недоліки, виконати рекомендації аудиту безпеки, запровадити додаткові захисні заходи чи повідомити клієнтів про наявні загрози.● Адміністративні штрафи. NIS 2 встановлює дві градації штрафів: для «основних» та «важливих» суб’єктів. Для основних (essential) підприємств держави повинні запровадити максимальний штраф не менше €10 млн або 2% від загального світового річного обороту (береться більша величина). Для важливих (important) – не менше €7 млн або 1,4% від обороту (береться більша величина). Це мінімальні вимоги: країни можуть встановити та вищі максимальні межі.● Відповідальність керівництва (включаючи кримінальну відповідальність). Вперше на рівні ЄС закріплено принцип особистої відповідальності керівників за кібербезпеку. Директива зобов’язує країни передбачити норми про відповідальність посадових осіб вищої ланки за порушення вимог NIS 2. У разі грубої недбалості, яка призвела до критичних інцидентів, керівники можуть бути притягнуті до адміністративної чи кримінальної відповідальності за національним законодавством. Наприклад, деякі країни розглядають можливість тимчасового відсторонення директорів від посад за систематичні порушення.

Директива NIS 2 висуває ряд конкретних зобов’язань до організацій, які підпадають під її дію. Загалом, ці вимоги можна згрупувати так: впровадження заходів керування кіберризиками та звітування про інциденти. Кожна охоплена директивою організація повинна провести оцінку ризиків для мереж та інформаційних систем, що використовуються у її діяльності, і впровадити «адекватні та пропорційні технічні, експлуатаційні та організаційні заходи» для управління цими ризиками. NIS 2 не нав’язує конкретних технологічних рішень, але визначає мінімальні напрями, за якими мають бути впроваджені контролі. Вибір конкретних рішень залежить від розміру компанії, сфери її діяльності та потенційних наслідків інцидентів (враховується суспільний і економічний вплив). Директива встановлює базовий набір напрямів, а реалізація може базуватися на галузевих стандартах (наприклад, ISO/IEC 27001), тому компанії повинні забезпечити наявність таких процесів та практик:
● Аналіз ризиків ІБ та безпеки ІС;● Управління інцидентами ІБ;● Безперервність бізнесу;● Безпека ланцюга постачання;● Впровадження заходів безпеки протягом усього життєвого циклу інформаційних систем;● Базові практики кібергігієни та навчання з кібербезпеки;● Політика та процедури щодо використання криптографії;● Безпека персоналу, політики контролю доступу та управління активами;● Захищені мережеві та електронні комунікації;● Безпечні процедури розробки.

Висновок

Директива NIS 2 є важливим кроком вперед у зміцненні кібербезпеки в Європейському Союзі. Розширюючи сферу дії попередньої директиви NIS, посилюючи вимоги до кібербезпеки та управління ризиками, а також запроваджуючи дієві механізми нагляду та примусового виконання, NIS 2 має потенціал значно підвищити рівень захищеності критичної інфраструктури та важливих сервісів від кіберзагроз. Однак, процес реалізації NIS 2 в країнах-членах ЄС стикається з певними викликами, включаючи затримки в імплементації та необхідність узгодження національних законодавств.
Для суб'єктів, що підпадають під дію NIS 2, вкрай важливо розпочати підготовку до виконання її вимог якомога раніше. Це включає проведення ретельного аналізу існуючих систем інформаційної безпеки, розробку та впровадження нових політик і процедур, а також навчання персоналу. Своєчасне та повне виконання вимог NIS 2 не лише допоможе уникнути значних штрафів, але й підвищить загальний рівень кіберстійкості організації, зміцнить довіру клієнтів та партнерів, а також покращить її конкурентоздатність на ринку ЄС.
Компанія IT Specialist має багаторічний досвід у сфері кібербезпеки та допомагає організаціям адаптуватися до нових вимог, зокрема директиви NIS 2. Ми надаємо комплексні рішення, які включають аудит кібербезпеки, розробку політик і процедур, впровадження технологій для захисту від кіберзагроз, а також навчання персоналу. Завдяки нашій експертизі ми можемо допомогти вам не лише впровадити відповідні заходи відповідно до вимог NIS 2, а й створити стійку та ефективну систему кіберзахисту, що забезпечить безпеку вашої компанії в умовах постійно змінюваного кіберсередовища.
N.B. Також хочемо звернути вашу увагу на те, що 27 березня 2025 Верховною Радою України прийнято законопроєкт 11290, який дасть можливість протистояти новим викликам та загрозам у кіберпросторі, а також забезпечить посилення захисту державних інформаційних ресурсів та об’єктів критичної інформаційної інфраструктури. Детальні відомості будуть видані окремо, відповідальними органами виконавчої влади.

IT Specialist – безпечна інтеграція в майбутнє!

Автор: Дмитро Чуб, Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів.

Безпечна інтеграція в майбутнє

Безпечна інтеграція в майбутнє

Оновлений погляд на інформаційну безпеку від ЄС, або як NIS 2 протистоїть сучасним загрозам.

Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву