Наступил крайний срок для соответствия требованиям NIS 2: что вам нужно знать

17 октября вступает в силу Директива о сетевой и информационной безопасности 2. Это означает, что соответствующие субъекты в таких отраслях, как энергетика, транспорт, водоснабжение, здравоохранение и цифровая инфраструктура, осуществляющие деятельность в пределах ЕС, должны соблюдать соответствующее законодательство.

Целью NIS 2, одобренной Европейским парламентом в ноябре 2022 года, является установление единообразного минимального базового уровня кибербезопасности во всех государствах-членах ЕС, включая обязательные меры безопасности и процедуры отчетности.

Организации, подпадающие под действие Директивы NIS 2, должны принять «меры по управлению рисками, связанными с безопасностью сетевых и информационных систем», которые они используют для предоставления своих услуг, и должны «предотвращать или минимизировать влияние инцидентов на получателей своих услуг и на другие услуги».

Однако, согласно опросу поставщика программного обеспечения для защиты данных Veeam, 66% компаний, работающих в ЕС, не уложатся в срок. Действительно, 90% столкнулись с инцидентами безопасности в прошлом году, которые можно было бы предотвратить, соблюдая директиву.

В связи с этим TechRepublic разработала следующее руководство, в котором подробно изложено, что необходимо знать ответственным субъектам о соблюдении NIS 2.

Что такое Директива NIS 2?

Директива NIS 2 — это законодательный акт, который применяется к средним и крупным предприятиям, предоставляющим услуги или инфраструктуру, которые считаются «критически важными для экономики и общества» в ЕС. Она призвана обеспечить высокий общий уровень кибербезопасности во всем блоке.

NIS 2 основывается на NIS 1, принятом в ЕС в 2016 году. NIS 1 применяется к «операторам основных услуг», которые были определены каждым государством-членом, а также ко всем основным «поставщикам цифровых услуг», таким как онлайн-рынки, поисковые системы и поставщики облачных услуг. Государства-члены также устанавливают собственные штрафы за несоблюдение.

NIS 1 требует, чтобы организации, имеющие право на получение помощи:

Обеспечьте безопасность своих сетей и информационных систем мерами, соответствующими их уровням риска. Обеспечьте непрерывность обслуживания, приняв меры по предотвращению и минимизации последствий инцидентов безопасности. Уведомите регулирующий орган о любом «значительном» или «существенном» инциденте в течение 72 часов с момента получения о нем информации.

Соблюдение операторами основных услуг требований NIS 1 контролируется проверками, проводимыми органами власти, в то время как поставщики цифровых услуг не проверяются, но могут быть подвергнуты расследованию в случае инцидента, свидетельствующего о несоблюдении требований.

Чем NIS 2 отличается от NIS 1?

Основываясь на первоначальной директиве, NIS 2 расширяет сферу своего действия на критические секторы, включая энергетику, здравоохранение, транспорт и цифровую инфраструктуру, и вводит более строгие требования к кибербезопасности. Она также охватывает организации с численностью сотрудников не менее 50 человек, что означает, что многие, кто был освобожден от NIS 1, теперь должны соблюдать NIS 2.

Кроме того, положения NIS 2 отличаются от NIS 1 по нескольким параметрам:

Риски цепочки поставок должны быть охвачены оценками рисков, поскольку атаки, которые их эксплуатируют, растут. Анализ первопричин теперь необходим после инцидентов, а не только ответные меры. Планы обеспечения непрерывности бизнеса и восстановления после сбоев, которые минимизируют сбои, являются основным направлением. Аудиты безопасности, включая тестирование на проникновение и оценку уязвимости, должны проводиться регулярно, чтобы гарантировать, что системы соответствуют обновленным стандартам безопасности. Регулирующие органы имеют более сильные полномочия по обеспечению соблюдения, такие как выборочные аудиты и проверки на местах.

Так называемые «органы управления» в «существенных» и «важных» организациях должны одобрять и контролировать меры по управлению рисками кибербезопасности, которые внедрили их компании, и теперь они могут нести личную ответственность за нарушения. Согласно статье 20, они также должны проходить регулярное обучение по кибербезопасности.

NIS 2 также обновил правила отчетности об инцидентах. Группа реагирования на инциденты компьютерной безопасности или другие отраслевые регуляторы должны быть уведомлены о любом инциденте, который имеет или может иметь «значительное влияние» на услуги бизнеса — например, вызывая серьезные сбои в работе, финансовые потери или значительный ущерб другим физическим или юридическим лицам. Это охватывает больше типов инцидентов, чем NIS 1.

Инциденты должны быть сначала сообщены посредством первоначального оповещения регулирующим органам в течение 24 часов, затем следует подробный отчет в течение 72 часов, а затем промежуточные и окончательные отчеты в течение месяца. Получатели услуг также должны быть уведомлены о любом воздействии на их услуги, и организация должна помочь смягчить его.

Каковы минимальные требования к мерам управления рисками в NIS 2?

Конкретные правила NIS 2, которым должна соответствовать компания, зависят от таких факторов, как ее размер, подверженность риску, серьезность потенциальных инцидентов и стоимость внедрения технологий безопасности.

Однако в законодательстве как минимум рекомендуются следующие 10 мер по управлению рисками:

Политики анализа рисков и безопасности информационных систем. Планы реагирования на инциденты. Непрерывность бизнеса, например управление резервным копированием и аварийное восстановление. Безопасность цепочки поставок. Безопасность при приобретении, разработке и обслуживании сетей и информационных систем, включая обработку уязвимостей. Политики и процедуры оценки эффективности мер управления рисками кибербезопасности. Базовые практики кибергигиены и обучение безопасности. Политики использования криптографии и шифрования. Безопасность кадровых ресурсов, политики контроля доступа и управление активами. Решения многофакторной аутентификации или непрерывной аутентификации.

Кто должен соблюдать NIS 2?

NIS 2 применяется к организациям, классифицируемым как «существенные» или «важные» субъекты, которые действуют в пределах ЕС — им не обязательно иметь головной офис в блоке. К существенным субъектам предъявляются более строгие требования, чем к важным субъектам.

Основные субъекты — это крупные организации, относящиеся к одной из следующих отраслей:

Энергетика. Транспорт. Банковское дело. Инфраструктура финансового рынка. Здравоохранение. Питьевая и сточная вода. Цифровая инфраструктура. Менеджеры ИТ-услуг. Авиакосмическая промышленность. Государственные услуги.

Цифровая инфраструктура охватывает некоторых поставщиков цифровых услуг, которые имели более мягкие правила в соответствии с NIS 1, например, поставщиков облачных услуг, а также поставщиков услуг центров обработки данных.

Важными организациями являются средние организации в перечисленных выше отраслях, а также средние или крупные организации в одной из следующих отраслей:

Цифровые провайдеры. Почтовые и курьерские услуги. Управление отходами. Продукты питания. Химикаты. Исследования. Производство.

К цифровым провайдерам относятся поисковые системы, торговые площадки и социальные сети, которые могут быть обозначены как «поставщики цифровых услуг» в соответствии с NIS 1 или «контролеры» в соответствии с Законом о цифровых рынках.

Крупные организации будут иметь либо минимум 250 сотрудников, либо годовой оборот не менее €50 млн и валюту баланса не менее €43 млн. Средние организации будут иметь либо минимум 50 сотрудников, либо годовой оборот и валюту баланса €10 млн или более.

Каждое государство-член ЕС должно до 17 апреля 2025 года подготовить список основных и важных субъектов в пределах своей юрисдикции, которые должны соблюдать NIS 2.

Соблюдение требований основными субъектами будет проверяться как до, так и после инцидента, тогда как важные субъекты будут проверяться только после того, как инцидент произойдет.

Каковы штрафы за несоблюдение NIS 2?

По истечении крайнего срока соблюдения требований организации, имеющие на это право и не соблюдающие NIS 2, могут быть оштрафованы на следующие суммы:

Существенные субъекты: до €10 млн или 2% от годового мирового оборота, в зависимости от того, что больше Важные субъекты: до €7 млн ​​или 1,4% от годового мирового оборота, в зависимости от того, что больше.

Если инцидент безопасности, возникший в результате несоблюдения NIS 2, приведет к утечке персональных данных, организация не будет оштрафована ни в соответствии с режимами NIS 2, ни в соответствии с GDPR.

Как бизнес может соблюдать NIS 2?

Первое, что должны сделать руководители, работающие в ЕС, — это определить, относится ли бизнес к категории существенных или важных в соответствии с NIS2 2, поскольку не все государства-члены пока опубликовали список соответствующих субъектов в пределах своей юрисдикции. Существенные и важные субъекты должны будут зарегистрироваться в Агентстве ЕС по кибербезопасности.

Независимо от того, подпадает ли компания под действие директивы, проведение оценки риска является важнейшим шагом. NIS 2 предписывает компаниям применять подход, основанный на оценке риска, для управления защитой кибербезопасности. Тем не менее, учитывая растущую распространенность кибератак, такие оценки являются важным соображением даже для неприменимых субъектов.

СМ.: Контрольный список оценки рисков безопасности

Помимо внутренних уязвимостей, компании должны включать уязвимости в своих цепочках поставок в оценку рисков. Третьи лица являются популярными целями, поскольку многие компании полагаются на их услуги, предоставляя субъектам угроз несколько точек входа всего за одну атаку. Статья 21 требует, чтобы компании контролировали качество продуктов и методы кибербезопасности своих поставщиков и провайдеров услуг.

Организации, которые должны соответствовать NIS 2, должны разрабатывать и применять комплексные политики кибербезопасности. Они должны охватывать меры по обнаружению инцидентов, реагированию и восстановлению, а также регулярные аудиты безопасности для обеспечения соответствия статье 21. В директиве упоминается ряд конкретных мер, которые могут быть применены, например, многофакторная аутентификация, обучение кибербезопасности и контроль доступа к конфиденциальным данным.

Необходимо внедрить процедуры для соблюдения строгих требований круглосуточной отчетности о существенных инцидентах, а также назначить органы управления, которым поручено контролировать соблюдение требований. NIS 2 возлагает особую юридическую ответственность на руководителей за несоблюдение требований.

Государства-члены также могут вводить собственные требования по кибербезопасности и отчетности за пределами NIS 2, поэтому важно тщательно их изучить. На данный момент они были опубликованы Бельгией, Хорватией, Грецией, Венгрией, Латвией и Литвой.

Чтобы разобраться в сложностях NIS 2, компании могут привлекать внешние компании по кибербезопасности или использовать специализированные инструменты обеспечения соответствия, такие как PwC, WithSecure, Advisera, Wavestone и Bureau Veritas.

Что думают эксперты о НИС 2?

Хотя NIS 2 направлена ​​на повышение кибербезопасности предприятий ЕС, позволяя им предотвращать и смягчать последствия кибератак, не все эксперты в области политики считают, что эта стратегия реализуется правильно.

Компаниям не было предоставлено достаточно времени для выполнения требований

Крис Гоу, глава отдела государственной политики ЕС в Cisco, считает, что у предприятий не было достаточно времени для соблюдения NIS 2 с момента его первого анонса в 2020 году. «Чтобы быть эффективными и реалистичными, отчетность об инцидентах и ​​меры безопасности для NIS 2 должны быть практичными и достижимыми», — сказал он TechRepublic в электронном письме.

«Охваченным организациям необходимо предоставить срок до 18 апреля 2027 года для внедрения мер кибербезопасности. В течение этого времени регулирующие органы не будут применять эти меры, но смогут взаимодействовать с организациями, чтобы понять их дорожную карту для выполнения мер контроля».

Действительно, Тим Райт, партнер и юрист по технологиям юридической фирмы Fladgate, заявил, что, несмотря на приближающийся крайний срок, статус внедрения в разных государствах-членах блока различается.

Исследование Veeam выявило ряд причин, по которым компании могут не полностью соответствовать NIS 2 на данном этапе. Почти четверть ИТ-менеджеров сталкиваются с технической задолженностью, 23% ссылаются на отсутствие понимания со стороны руководства, а 21% заявили, что их сдерживает недостаточный бюджет. Фактически, 40% сообщили о сокращении ИТ-бюджетов с тех пор, как NIS2 был объявлен вступившим в силу в январе 2023 года.

Респонденты также оценивают соответствие требованиям NIS 2 как менее срочную проблему, чем десять других проблем, включая дефицит навыков, прибыльность и цифровую трансформацию.

Райт сообщил TechRepublic в электронном письме: «На одном конце шкалы такие страны, как Бельгия, Хорватия, Венгрия и Латвия, уже приняли законодательство, соответствующее NIS2, в то время как на другом конце такие страны, как Болгария, Эстония и Португалия, по-видимому, не добились существенного прогресса в процессе транспонирования».

Он добавил, что Директива будет эффективной только в том случае, если она будет последовательно реализована во всех государствах-членах. Райт сказал: «NIS2 должна сделать ЕС более сложной целью, но решительные противники будут продолжать искать слабые места. Успех директивы зависит от того, насколько хорошо она будет реализована и сможет ли она способствовать формированию настоящей культуры кибербезопасности, а не просто соблюдения».

Низкие пороговые значения для оповещений об инцидентах могут привести к завышенным сообщениям

Гоу также подчеркнул, что пороговые значения для сообщения о киберинцидентах являются низкими, например, приведя в пример требование раскрытия информации о сбоях в работе облачных сервисов, длящихся чуть более 10 минут. «Если пороговые значения установлены неправильно, компании могут переоценивать незначительные инциденты, отвлекая часто скудные ресурсы от фактического реагирования на инциденты и перегружая регуляторов некритическими отчетами», — сказал он.

NIS 2 не соответствует другим международным стандартам безопасности

Эксперт по политике ЕС добавил, что NIS 2 не очень хорошо согласуется с другими международными стандартами безопасности, что делает соблюдение требований особенно сложным для транснациональных корпораций. Гоу сказал: «Для такой крупной компании, как Cisco, адаптация к нескольким стандартам является сложной и ресурсоемкой; но для более мелких предприятий это может быть чрезмерно обременительным, потенциально сдерживая инновации и конкурентоспособность.

«Различные стандарты или национальные схемы ограничивают их возможности вести трансграничный бизнес в ЕС, создавая барьеры, которые могут помешать их росту».