Кібербезпека на міжнародному рівні: Виклики та можливості NIS2 для українських компаній

02 жовтня 2024 58 IT комiтет, Data privacy комiтет
Сергій Зіменков
Сергій Зіменков

DPO at NOVA group

В умовах стрімкого розвитку цифрових технологій українські компанії все більше орієнтуються на європейський ринок, намагаючись пропонувати свої продукти та послуги західним споживачам. Однак, попри зростаючий інтерес до міжнародної співпраці, багато українських підприємств не надають достатньої уваги питанням кібербезпеки, особливо під час обробки персональних даних європейських громадян.

Після введення в дію Регламенту Загального захисту даних (GDPR) багато українських компаній пережили труднощі з його впровадженням, намагаючись адаптувати свої процеси до жорстких вимог захисту особистої інформації. Однак, як показує практика, нові виклики, пов'язані з Директивою NIS2, можуть виявитися ще більш складними. 

Директива NIS2 (Network and Information Security Directive 2) є ключовим законодавчим актом Європейського Союзу, який має на меті підвищити рівень кібербезпеки в країнах-членах ЄС. Її впровадження посилює вимоги до компаній, що працюють з критичними інфраструктурами, мережевими та інформаційними системами. Директива має особливе значення для українських компаній, які надають послуги європейським замовникам, особливо в сфері адміністрування програмного забезпечення, яке обробляє персональні дані громадян ЄС.

Ця директива не лише підвищує вимоги до кібербезпеки, а й ставить перед українськими постачальниками послуг серйозні завдання: розробка чіткої стратегії управління ризиками, впровадження ефективних засобів захисту та формування спеціалізованих команд, які відповідатимуть за забезпечення безпеки інформаційних систем. Важливо усвідомити, що успішна діяльність на європейському ринку неможлива без належного рівня захисту даних.

Згідно з NIS2, українські компанії, що працюють з європейськими клієнтами, зобов'язані відповідати жорстким вимогам безпеки для підтримання співпраці на ринку ЄС. У цій статті ми детально розглянемо вимоги NIS2, країни, які вже адаптували цю директиву на національному рівні, склад команд кібербезпеки, вимоги до керівництва та відповідальність за порушення нових стандартів.

Основні вимоги NIS2 для українських компаній
 
Директива NIS2 поширюється на компанії, які виконують важливі функції у сфері ІТ для європейських клієнтів, і особливо стосується тих, хто працює з критичними системами або обробляє великі обсяги персональних даних.

Основні вимоги, які мають бути виконані:

  • Управління ризиками: Компанії повинні розробляти і впроваджувати стратегії управління ризиками кібербезпеки. Це включає оцінку поточних загроз, аналіз уразливостей та побудову планів дій для мінімізації ризиків. Постійний моніторинг і оновлення цих планів є обов'язковими.
  • Запобігання кіберзагрозам: Впровадження ефективних технічних рішень для захисту інформаційних систем є важливим елементом дотримання NIS2. До таких заходів належать: налаштування фаєрволів, систем виявлення вторгнень (IDS), шифрування даних, регулярні аудити систем безпеки.
  • Інцидент-менеджмент та звітність: В разі кіберінцидентів, які можуть вплинути на безпеку даних або функціонування критичних систем, компанії зобов'язані оперативно повідомляти національні регулятори ЄС. Процедури управління інцидентами повинні бути чітко визначеними та регулярно перевірятися.
  • Захист критичних інфраструктур: Особливо важливо для компаній, що працюють з критичними системами (електронна комерція, банківські системи, телекомунікації тощо). Вимоги включають додаткові технічні заходи безпеки, фізичний захист серверів і контроль доступу до інформаційних систем.
  • Навчання персоналу: NIS2 вимагає від компаній організовувати регулярні навчання для своїх співробітників з метою підвищення рівня обізнаності щодо кіберзагроз та процедур реагування на них.

Країни, що впровадили NIS2 на національному рівні
 
Директива NIS2 була адаптована не багатьма країнами Європейського Союзу. Це означає, що компанії, які працюють на цих ринках або з партнерами з цих країн, зобов'язані виконувати вимоги кібербезпеки, встановлені на національному рівні.

Німеччина:

Німеччина є однією з країн-лідерів у сфері кібербезпеки. Федеральне агентство з кібербезпеки (BSI) розробляє суворі вимоги до компаній, що працюють із критичними інфраструктурами. Вони вимагають регулярних аудитів, тестування безпеки та обов’язкової звітності щодо стану захисту інформаційних систем.

Франція:

Агентство з національної безпеки інформаційних систем (ANSSI) посилило контроль за виконанням директиви, встановивши жорсткі стандарти для компаній, що надають важливі послуги у Франції. Вимоги включають регулярні перевірки безпеки, дотримання вимог до захисту інфраструктури та обов’язкове повідомлення про інциденти.
Іспанія:

Національний центр криптографії та кібербезпеки (CCN) впровадив заходи, спрямовані на захист національних інфраструктур та посилення моніторингу безпеки компаній. Зокрема, іспанські регулятори зобов’язують бізнес проводити регулярні перевірки безпеки та впроваджувати багаторівневий захист.

Нідерланди:

Голландське агентство з кібербезпеки вимагає від компаній систематично впроваджувати заходи моніторингу та захисту своїх мережевих систем, проводити аудити кібербезпеки і швидко реагувати на будь-які інциденти.

Італія: 

Італійська агенція цифровізації (AgID) встановила чіткі рамки щодо дотримання вимог NIS2. Італійські компанії зобов’язані регулярно надавати звіти про стан безпеки та впроваджувати сучасні засоби захисту своїх інформаційних систем.
 

Склад команди кібербезпеки за вимогами NIS2

Для дотримання вимог NIS2, компанії мають сформувати або залучити спеціальні команди, що відповідатимуть за кібербезпеку та управління інцидентами.

Основні позиції в таких командах включають:

  • Керівник інформаційної безпеки (CISO): Відповідає за загальну стратегію кібербезпеки та управління процесами безпеки. Він здійснює нагляд за впровадженням політик безпеки, моніторингом загроз та реагуванням на кіберінциденти.
  • Офіцер з захисту даних (DPO): Ця особа контролює відповідність компанії вимогам щодо захисту персональних даних, зокрема нормам GDPR та NIS2. DPO забезпечує дотримання політики конфіденційності та безпеки даних.
  • Аналітик з кібербезпеки: Його завданням є моніторинг інформаційних систем, виявлення можливих загроз і уразливостей, а також швидке реагування на інциденти безпеки.
  • Інженери з безпеки: Ці фахівці відповідають за налаштування та підтримку технічних засобів захисту мережевих систем, таких як фаєрволи, системи виявлення вторгнень та VPN.
  • Експерти з реагування на інциденти: Це команда фахівців, що займається оперативною реакцією на кіберінциденти, аналізом їхніх причин і наслідків, а також ліквідацією наслідків та відновленням роботи систем.
  • Аналітик з управління ризиками: Його функція полягає у визначенні ризиків кібербезпеки, оцінці їхнього потенційного впливу на компанію та розробці заходів для зниження цих ризиків.
  • Юрист або експерт з правового регулювання кібербезпеки: Ця особа відповідає за дотримання компанією вимог NIS2 та інших нормативних актів. Вона також консультує компанію щодо юридичної відповідальності та взаємодіє з регуляторами.

Відповідальність керівників компаній за порушення NIS2
 
Директива NIS2 вводить сувору відповідальність для керівників компаній (ТОП-менеджменту) за недотримання вимог кібербезпеки. Це означає, що не лише спеціалісти з безпеки, а й вищі керівники несуть відповідальність за виконання вимог NIS2.

Фінансування заходів безпеки:

Керівники компаній мають забезпечити наявність достатніх фінансових та людських ресурсів для впровадження ефективних заходів кібербезпеки.

Контроль за виконанням вимог:

Вищий менеджмент відповідає за впровадження політик безпеки в компанії та забезпечення їхнього виконання на всіх рівнях організації.

Особиста відповідальність: 

Керівники можуть бути притягнені до відповідальності у випадку недбалості або ігнорування загроз, які призвели до інциденту безпеки.

Санкції за порушення NIS2
 
Директива NIS2 передбачає серйозні наслідки для компаній і їхніх керівників у разі порушення вимог:

Фінансові штрафи:

За порушення вимог NIS2 компанії можуть отримати штраф до 10 мільйонів євро або до 2% від їхнього річного обороту, залежно від того, яка сума є більшою.

Кримінальна відповідальність:

У випадках, коли керівники компаній свідомо ігнорували вимоги безпеки або не вжили необхідних заходів, вони можуть бути притягнуті до кримінальної відповідальності.

Адміністративні санкції: 

До компаній можуть бути застосовані додаткові санкції, такі як відсторонення від надання послуг або позбавлення ліцензії на діяльність в ЄС.

Втрати репутації: 

Порушення вимог NIS2 може призвести до серйозних репутаційних втрат для компанії, що вплине на її подальшу діяльність на ринку ЄС.

Необхідно створювати спеціалізовані команди фахівців, які забезпечуватимуть відповідність міжнародним стандартам. Це стосується не лише технологічних аспектів, а й стратегічного управління, оскільки керівництво несе підвищену відповідальність за дотримання вимог NIS2. Тому для досягнення успіху в цій сфері потрібно розглядати NIS2 як стратегічний пріоритет на всіх рівнях компанії і завжди прагнути до розвитку та вдосконалення.

Кібербезпека Privacy Санкції European Data Protection Board (EDPB)