Компании усердно работают над изменением своей внутренней культуры, чтобы серьезно относиться к угрозе кибер-взломов и сбоев в работе.
Эндрю Брукс | Источник изображения | Гетти Изображения
Согласно исследованиям, отслеживающим ход реализации директивы, новые правила Европейского Союза, требующие от предприятий усилить свою киберзащиту, начинаются медленно, поскольку многие государства-члены не смогли принять правила вовремя, чтобы уложиться в ключевые сроки исполнения.
Директива ЕС по кибербезопасности NIS 2 устанавливает для компаний высокий стандарт в отношении их внутренних систем и методов кибербезопасности. Он налагает более жесткие требования в отношении управления рисками, обязательств по обеспечению прозрачности и планирования непрерывности бизнеса в случае кибер-взлома.
В четверг новая директива официально вступила в силу государствами-членами. Это означает, что теперь компании должны обеспечить соответствие своей деятельности правилам. Однако большинству стран-членов ЕС еще предстоит внедрить NIS 2 в свои национальные законы, а это означает, что правоприменение, вероятно, будет неравномерным.
По данным инструмента отслеживания интернет-исследовательской организации DNS Research Federation, две страны — Португалия и Болгария — не начали процесс переноса в NIS 2, где директивы включены в национальные законы государств-членов ЕС. Правительства Португалии и Болгарии не были немедленно доступны для комментариев, когда с ними связался CNBC в среду.
«Статус реализации существенно различается в разных странах блока», — сообщил CNBC по электронной почте Тим Райт, партнер и технологический юрист Fladgate.
Что такое НИШ 2?
NIS 2 — или Директива о сетевой и информационной безопасности 2 — это директива ЕС, направленная на повышение безопасности ИТ-систем и сетей во всем блоке. Закон, впервые предложенный в 2020 году, представляет собой обновление предыдущей директивы, называвшейся просто NIS.
NIS 2 расширяет возможности своего предшественника и позволяет решать более свежие проблемы и угрозы кибербезопасности, поскольку преступники нашли новые способы взлома компаний и компрометации их конфиденциальных данных.
Директива применяется к организациям, которые работают на территории ЕС и предоставляют основные услуги потребителям, включая банки, поставщиков энергии, учреждения здравоохранения, интернет-провайдеров, транспортные компании и переработчиков отходов.
Согласно новым правилам, предприятия будут обязаны сообщать и делиться информацией о кибер-уязвимостях и взломах с другими компаниями, даже если это означает признание того, что они стали жертвой кибер-взлома.
Если компания станет жертвой кибер-взлома, у нее будет 24 часа на то, чтобы подать властям раннее предупреждение — более строгий срок, чем 72-часовой срок, который компании должны уведомлять власти об утечке данных в соответствии с Общим регламентом защиты данных. отдельный закон о конфиденциальности данных в ЕС.
Фирмы также должны будут по одному проверять своих поставщиков технологий на предмет киберугроз и уязвимостей.
Будет ли это эффективно?
Райт из Fladgate заявил, что эффективность NIS 2 как нормативного акта во многом будет зависеть от последовательного внедрения и обеспечения соблюдения требований в государствах-членах ЕС.
«Злоумышленники могут нацеливаться на страны, отстающие в переходе на NIS2, или искать слабые места в цепочках поставок, нацеливаясь на более мелких, менее защищенных продавцов и поставщиков, чтобы получить доступ к более крупным и лучше защищенным организациям», — сказал он CNBC.
Компании работали над тем, чтобы привести в порядок свои внутренние процессы, средства контроля и более широкую культуру кибербезопасности в течение многих лет до крайнего срока, установленного в четверг.
Крис Гоу, руководитель государственной политики Cisco в сфере корпоративных технологий в ЕС, сказал, что неравномерность реализации NIS 2 также «усугубляется местной адаптацией закона».
Это, в свою очередь, «создает несоответствия, в которых может оказаться трудно разобраться, особенно для небольших организаций с ограниченными ресурсами», — сказал Гоу CNBC в комментариях по электронной почте.
Он рекомендовал, чтобы организации не были «ошеломлены» несоответствиями в местных адаптациях NIS 2 и «определили общее ядро мер безопасности и процессов, которые помогут им как обеспечить соответствие, так и продемонстрировать соответствие в масштабе».
Что делать, если компания не выполняет требования?
Для «жизненно важных» предприятий, таких как транспортные, финансовые и водные компании, несоблюдение требований NIS 2 может привести к штрафам в размере до 10 миллионов евро (10,9 миллионов долларов США) или 2% от мировой годовой выручки — в зависимости от того, какая сумма окажется выше.
Между тем, «важным» предприятиям, таким как пищевые компании, химические компании и службы по управлению отходами, грозят штрафы в размере до 7 миллионов евро или 1,4% их глобальных годовых доходов за нарушения.
Фирмы также могут столкнуться с возможной приостановкой оказания услуг, если они не соблюдают требования NIS 2, а также с более строгим надзором.
«NIS 2 ясно дает понять: крупные штрафы, возможное приостановление обслуживания и контроль за соблюдением требований используются в качестве рычагов, побуждающих организации, ответственные за критически важные услуги, обращать внимание на угрозы кибербезопасности и реагировать на них», — Карл Леонард, стратег по кибербезопасности в регионе EMEA, компания Доказательство, рассказал CNBC.
«Базовый уровень был установлен с точки зрения мер по управлению рисками и их смягчению, включая обработку инцидентов, обучение персонала, подотчетность руководства и многое другое», — добавил Леонард.