NIS2 Directive Логотип

Вимоги NIS2

Комплексний огляд ключових заходів кібербезпеки, необхідних згідно з Директивою NIS2.

Розуміння вимог NIS2

Директива NIS2, створює комплексний фреймворк вимог з кібербезпеки для організацій, класифікованих як основні або важливі суб'єкти. Ці вимоги спрямовані на зміцнення безпеки критичної інфраструктури та ключових послуг у всьому Європейському Союзі.

Згідно з NIS2, організації повинні впроваджувати "відповідні та пропорційні" технічні, операційні та організаційні заходи кібербезпеки. Що вважається відповідним та пропорційним, залежатиме від таких факторів, як розмір організації, рівень ризику та критичність її послуг.

Наступний список окреслює ключові вимоги NIS2. Зауважте, що цей список не є вичерпним, і конкретні деталі впровадження будуть залежати від національного законодавства та галузевих вказівок.

10 ключових вимог NIS2

1

Аналіз ризиків та безпека інформаційних систем

Організації повинні впроваджувати заходи управління ризиками, що стосуються безпеки мережевих та інформаційних систем. Це включає регулярну оцінку ризиків та розробку політик безпеки.

Приклади впровадження:

  • Проведення комплексної оцінки ризиків усіх інформаційних систем
  • Впровадження політик оцінки та управління ризиками
  • Документування ризиків та впроваджених заходів безпеки
2

Обробка інцидентів та безперервність бізнесу

Заходи для запобігання та мінімізації впливу інцидентів, що впливають на мережеві та інформаційні системи, включаючи планування безперервності бізнесу та процедури аварійного відновлення.

Приклади впровадження:

  • Створення процедур виявлення, реагування та відновлення після інцидентів
  • Розробка планів безперервності бізнесу для критичних послуг
  • Тестування стійкості через вправи та симуляції
3

Безпека ланцюга поставок

Заходи безпеки для вирішення ризиків, пов'язаних із відносинами з постачальниками та безпекою постачальників послуг. NIS2 визнає, що багато кібератак націлені на найслабшу ланку в ланцюзі поставок організації.

Приклади впровадження:

  • Проведення оцінки безпеки критичних постачальників
  • Включення вимог кібербезпеки в контракти з постачальниками
  • Моніторинг доступу третіх сторін до інформаційних систем
4

Безпека мережевих та інформаційних систем

Заходи для забезпечення безпеки мережевих та інформаційних систем, включаючи принципи безпеки за дизайном у розробці систем та відповідне управління конфігурацією.

Приклади впровадження:

  • Впровадження сегментації мережі та засобів контролю безпеки
  • Налаштування безпечної конфігурації та управління оновленнями
  • Розгортання передових інструментів моніторингу безпеки
5

Багатофакторна автентифікація та захищені комунікації

Впровадження надійних механізмів автентифікації та захищених каналів зв'язку для захисту даних у процесі передачі та в стані спокою.

Приклади впровадження:

  • Розгортання MFA у всіх критичних системах
  • Шифрування чутливих даних під час передачі та зберігання
  • Створення безпечних рішень для віддаленого доступу
6

Навчання та обізнаність з кібербезпеки

Регулярні програми навчання та підвищення обізнаності для персоналу, щоб розуміти та управляти ризиками кібербезпеки та дотримуватися процедур безпеки.

Приклади впровадження:

  • Проведення регулярного навчання з обізнаності про безпеку для всього персоналу
  • Надання спеціалізованого навчання для ІТ-команд та команд безпеки
  • Проведення симульованих фішингових кампаній для перевірки обізнаності
7

Політики та процедури безпеки

Документовані політики безпеки, процеси та процедури для оцінки ефективності заходів управління ризиками кібербезпеки.

Приклади впровадження:

  • Розробка комплексної документації з політики безпеки
  • Створення операційних процедур безпеки
  • Регулярний перегляд та оновлення політик безпеки
8

Обробка вразливостей та їх розкриття

Політики та процедури щодо розкриття вразливостей, включаючи вимогу повідомляти про вразливості та своєчасне впровадження оновлень безпеки.

Приклади впровадження:

  • Створення програми управління вразливостями
  • Впровадження політики відповідального розкриття
  • Налаштування процесу своєчасного застосування патчів
9

Звітування про інциденти

Обов'язкове звітування про значні кіберінциденти компетентним органам у суворі терміни (24 години для раннього попередження, 72 години для повідомлень про інциденти).

Приклади впровадження:

  • Створення структури класифікації інцидентів
  • Встановлення процедур повідомлення та ролей
  • Тестування каналів та процесів звітування
10

Відповідність та нагляд

Співпраця з компетентними органами, включаючи аудити, інспекції та надання доказів відповідності вимогам кібербезпеки.

Приклади впровадження:

  • Документування відповідності вимогам NIS2
  • Підготовка до регуляторних інспекцій
  • Створення каналів зв'язку з органами влади

Міркування щодо відповідності

Основні та Важливі суб'єкти

Вимоги застосовуються як до основних, так і до важливих суб'єктів, але з різними рівнями регуляторного нагляду. Основні суб'єкти підлягають більш суворому нагляду, зазвичай ex-ante (до інцидентів), тоді як важливі суб'єкти стикаються з менш інтенсивним наглядом ex-post (після інцидентів).

Відповідальність керівництва

NIS2 чітко покладає відповідальність на керівні органи за затвердження та нагляд за заходами кібербезпеки. Керівництво може бути притягнуто до особистої відповідальності за порушення вимог, включаючи можливу тимчасову заборону виконувати управлінські функції.

Штрафи за недотримання

За недотримання можуть бути накладені значні штрафи: • Основні суб'єкти: до 10 мільйонів євро або 2% глобального річного обороту • Важливі суб'єкти: до 7 мільйонів євро або 1,4% глобального річного обороту

Графік впровадження

Держави-члени повинні транспонувати NIS2 у національне законодавство до 17 жовтня 2024 року. Організаціям слід почати підготовку негайно, оскільки відповідність, ймовірно, вимагатиме значних часових та ресурсних інвестицій.

Готові підготуватися до відповідності NIS2?

Завантажте нашу комплексну білу книгу з NIS2, щоб отримати детальні вказівки щодо виконання цих вимог.

Завантажити білу книгу