NIS2 Directive Логотип

Хто підпадає під дію NIS2?

Розуміння того, які організації підпадають під сферу дії Директиви NIS2.

Сфера дії Директиви NIS2

Директива NIS2 значно розширює сферу дії оригінальної Директиви NIS, охоплюючи більше секторів та організацій. Вона застосовується до організацій, які класифікуються як "основні" або "важливі" у певних секторах, на основі їх важливості для суспільства та економіки.

Ключові критерії охоплення

NIS2 застосовується до середніх та великих організацій, що працюють у визначених секторах. Критерії розміру такі:

  • Організації, що налічують 50 або більше працівників; АБО
  • Організації з річним оборотом понад 10 мільйонів євро

Однак, певні організації підпадатимуть під дію директиви незалежно від їх розміру, якщо вони:

  • Надають ключові послуги для суспільства або економіки
  • Є єдиним постачальником послуги в державі-члені
  • Матимуть значний вплив на громадську безпеку, публічну безпеку або здоров'я громадян у разі порушення
  • Є органом державного управління певних типів

Директива розділяє організації на дві категорії: основні суб'єкти та важливі суб'єкти. Основні суб'єкти вважаються більш критичними для суспільства та економіки і підлягають більш суворому регуляторному нагляду.

Основні суб'єкти

Енергетика

Підприємства електроенергетики, постачальники газу, провайдери централізованого опалення, виробники і оператори зберігання водню

Транспорт

Авіаперевізники, органи управління аеропортами, управителі залізничної інфраструктури, компанії морських пасажирських та вантажних перевезень

Банківська справа

Кредитні установи, постачальники платіжних послуг, інфраструктури фінансового ринку

Охорона здоров'я

Постачальники медичних послуг, постачальники медичних виробів, фармацевтичні компанії, дослідницькі організації

Цифрова інфраструктура

Точки обміну інтернет-трафіком, постачальники DNS-послуг, реєстри доменних імен верхнього рівня, постачальники хмарних обчислень, центри обробки даних

Державне управління

Органи центрального уряду, органи регіонального управління, органи публічного сектора з особливими функціями

Космос

Оператори наземної інфраструктури, оператори супутників, що надають критично важливі послуги

Водопостачання

Постачальники та розподільники питної води, очисні споруди для стічних вод

Важливі суб'єкти

Поштові та кур'єрські послуги

Постачальники поштових послуг, кур'єрські або експрес-доставки

Управління відходами

Компанії, що займаються збором, обробкою та утилізацією відходів

Хімічна промисловість

Виробники та дистриб'ютори хімічних речовин, хімічної продукції

Харчова промисловість

Компанії з переробки харчових продуктів, великі дистриб'ютори, постачальники харчових продуктів

Виробництво

Виробники критично важливої продукції, медичних виробів, комп'ютерного обладнання

Цифрові провайдери

Онлайн-маркетплейси, пошукові системи, платформи соціальних мереж, хмарні сервіси

Дослідження

Дослідницькі організації, що працюють над критичними технологіями або секторами

Винятки та особливі випадки

Мікро та малі підприємства

Загалом, мікро та малі підприємства (менше 50 працівників та річний оборот нижче 10 мільйонів євро) звільнені від дії NIS2, якщо вони не відповідають одному з особливих критеріїв, згаданих вище.

Організації, що вже регулюються

Деякі організації в певних секторах можуть бути звільнені, якщо вони вже підпадають під дію еквівалентних вимог кібербезпеки згідно з іншим законодавством ЄС, наприклад, фінансові установи згідно з DORA.

Національна безпека

Організації, які переважно здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони або правоохоронної діяльності, можуть бути виключені зі сфери дії NIS2.

Розсуд держав-членів

Держави-члени мають певну свободу дій у визначенні конкретних організацій, які повинні підпадати під дію директиви, на основі їхніх національних обставин та оцінок ризику.

Як визначити, чи застосовується NIS2 до вашої організації

Контрольний список самооцінки

1. Оцінка сектору

Визначте, чи працює ваша організація в одному з 15 секторів, охоплених NIS2, як перелічено вище.

2. Оцінка розміру

Перевірте, чи відповідає ваша організація критеріям розміру (50+ працівників АБО 10+ мільйонів євро річного обороту).

3. Аналіз особливих випадків

Навіть якщо ви нижче порогу розміру, розгляньте, чи підпадаєте ви під одну з особливих категорій (єдиний постачальник, критична послуга тощо), які можуть привести вас у сферу дії.

4. Консультація з національним законодавством

Перевірте, як ваша держава-член перенесла NIS2, оскільки можуть бути варіації в національній імплементації.

5. Зверніться за юридичною консультацією

Якщо ви не впевнені, проконсультуйтеся з юридичними експертами та експертами з кібербезпеки, які спеціалізуються на регуляторних нормах ЄС.

Не впевнені, чи застосовується NIS2 до вас?

Спробуйте наш інструмент перевірки NIS2, щоб швидко оцінити, чи підпадає ваша організація під сферу дії директиви. NIS2 Checker Tool