Знаменитый законопроект Европейского Союза (ЕС) о кибербезопасности NIS2 вступил в полную силу, а это означает, что компании теперь должны соблюдать его требования, иначе им грозят огромные штрафы.
В соответствии с директивой, целью которой является гармонизация правил и процедур кибербезопасности во всем блоке, базирующиеся в ЕС предприятия, работающие в критически важных секторах, включая энергетику, транспорт, водоснабжение, финансовые услуги и здравоохранение, теперь должны внедрять строгие меры защиты кибербезопасности и сообщать о серьезных киберугрозах. в соответствующие органы.
Учитывая их важность в ряде цепочек поставок, поставщики ИТ, такие как поисковые системы, компании облачных вычислений и интернет-магазины, также должны будут следовать этим правилам, в то время как сами государства-члены ЕС должны будут создать свою собственную группу реагирования на инциденты компьютерной безопасности ( CSIRT), а также орган национальной сети и информационных систем, если они еще этого не сделали.
Британские предприятия, поставляющие свою продукцию и услуги клиентам из ЕС, также должны соблюдать требования NIS2 для поддержания операций и доступа к рынкам ЕС, поскольку это применимо к любым существенным или важным организациям, предоставляющим услуги или осуществляющим свою деятельность на территории ЕС, независимо от имеет ли организация предприятие в пределах своих границ.
Несоблюдение нормативных требований по управлению рисками кибербезопасности и обязательствам по отчетности может привести к тому, что организации будут оштрафованы на сумму минимум 7 000 000 евро (или 1,4% мирового годового дохода) или максимум 10 000 000 евро (или 2% мирового годового дохода). . В любом случае компания будет оштрафована в зависимости от того, какая сумма окажется выше.
Барт Салаец, технический директор F5 по региону EMEA, сказал, что NIS2 будет применяться к гораздо более широкому кругу организаций, которые, возможно, ранее не уделяли приоритетное внимание кибербезопасности: «Одной из самых больших проблем усиленного внимания со стороны регулирующих органов к безопасности является дополнительная сложность как в обеспечении безопасности, так и в мониторинге цифровых инфраструктур, которые все чаще охватывают несколько облаков и собственных центров обработки данных.
«Чтобы ориентироваться в законодательстве, организациям следует создать централизованную видимость и унифицированную отчетность на всех платформах безопасности. Потребность в интегрированных решениях и сложных инструментах отчетности (возможно, на базе искусственного интеллекта) будет иметь решающее значение для оказания помощи организациям в выполнении своих обязательств по отчетности в рамках NIS2».
Майк Смит, директор по проектированию и безопасности Qodea, добавил, что компаниям необходимо будет осознавать, что NIS2 включает гораздо более детальное определение того, кто должен нести ответственность в соответствии с правилами, учитывая новые классификации для различных компаний.
«Даже если организация не подпадала под действие NIS1, теперь она может подпадать под действие NIS2. Для некоторых организаций это может оказаться непростой задачей», — сказал он. «Тем, кто уже вложил значительные средства в современную инфраструктуру безопасности, будет относительно легко адаптироваться, но те, кто этого не сделал, быстро окажутся еще более отсталыми».
По словам Дэвида Хиггинса, старшего директора полевого технологического офиса CyberArk, статья 21 NIS2, в частности, означает, что компаниям придется принять «надежные меры кибербезопасности для защиты своих цепочек поставок и обеспечения доступа с нулевым доверием», что означает, что безопасность личных данных следование принципам нулевого доверия будет занимать центральное место с точки зрения соблюдения требований.
«Это особенно важно, поскольку организациям приходится защищать огромную сеть угроз в рамках NIS2, включая субподрядчиков и поставщиков услуг. Компаниям также необходимо отметить важные требования статьи 21 NIS2, касающиеся обработки инцидентов и сообщения о них», — сказал он.
«Здесь важно иметь надежную стратегию безопасности личных данных, чтобы не только защитить жизненно важную инфраструктуру от неизбежных будущих атак, но также отслеживать и управлять обработкой критической информации в режиме реального времени».
Комментируя сроки реализации NIS2, Тим Райт, партнер и технологический юрист Fladgate, сказал, что «статус реализации существенно различается в разных странах блока», и лишь несколько стран перенесли его в свои национальные законы.
Хотя ожидается, что государства-члены опубликуют национальные законы, соответствующие директиве, до истечения крайнего срока соблюдения директивы, 17 октября 2024 года, на данный момент только шесть государств-членов интегрировали NIS2 в свои национальные законы. Это Бельгия, Хорватия, Греция, Венгрия, Латвия и Литва.
Хотя большинство других стран ЕС уже начали законодательный процесс по переносу NIS2, три – Болгария, Эстония и Португалия – еще не начали этот процесс.
Райт добавил, что эффективность NIS2 в конечном итоге будет зависеть от его «последовательной реализации и соблюдения требований во всех государствах-членах» и что, хотя он должен привести к значительным улучшениям в общей киберпозиции блока, кибербезопасность — это гонка вооружений.
«ННГ-2 должна сделать ЕС более сложной мишенью, но решительные противники будут продолжать искать слабые места», — сказал он. «Успех директивы зависит от того, насколько хорошо она реализуется и сможет ли она способствовать формированию истинной культуры кибербезопасности, а не просто соблюдения требований».