Директива NIS2

Glossary category

Директива NIS2

Что такое Директива NIS2?

Директива NIS2 — это обновленная правовая база Европейского союза в области кибербезопасности для организаций, предоставляющих основные или важные услуги. Она была принята как Директива (ЕС) 2022/2555 Европейского парламента и Совета от 14 декабря 2022 года и заменяет прежнюю Директиву NIS. Ее цель — усилить киберустойчивость, улучшить порядок уведомления об инцидентах и унифицировать требования к безопасности во всех государствах — членах ЕС.

На практике Директива NIS2 расширяет как перечень регулируемых секторов, так и круг организаций, на которые могут распространяться новые требования. Она применяется не только к традиционным операторам критической инфраструктуры, но и ко многим средним и крупным организациям в таких сферах, как энергетика, транспорт, банковская деятельность, инфраструктуры финансовых рынков, здравоохранение, цифровая инфраструктура, управление ИКТ-услугами, государственное управление, космическая отрасль, почтовые и курьерские услуги, обращение с отходами, пищевая промышленность, производство отдельных критически важных товаров, а также цифровые провайдеры и сервисы. В целом директива различает ключевых субъектов и важных субъектов, для которых предусмотрены разные подходы к надзору, хотя обе категории обязаны соблюдать требования к кибербезопасности.

NIS2 сама по себе не является техническим стандартом. Это правовой акт, который обязывает государства-члены внедрить национальные правила, охватывающие меры управления рисками, обязанности руководства, безопасность цепочки поставок, реагирование на инциденты, обеспечение непрерывности деятельности, управление уязвимостями и обязательства по отчетности. Директива также уделяет больше внимания ответственности руководства. В некоторых случаях национальные имплементационные законы могут требовать, чтобы члены органов управления утверждали меры по управлению рисками кибербезопасности и контролировали соблюдение требований.

Что регулирует Директива NIS2?

Директива регулирует организационные и операционные требования к кибербезопасности для субъектов, подпадающих под ее действие. Статья 21 Директивы (ЕС) 2022/2555 требует, чтобы такие субъекты принимали надлежащие и соразмерные технические, операционные и организационные меры для управления рисками, связанными с безопасностью сетевых и информационных систем, используемых в их деятельности. Эти меры направлены на предотвращение инцидентов или минимизацию их влияния на получателей услуг и другие сервисы.

На практике требования NIS2 обычно затрагивают такие области, как внутреннее управление, оценка рисков, контроль доступа, реагирование на инциденты, непрерывность бизнеса, антикризисное управление, резервное копирование, аварийное восстановление, контроль поставщиков, политика шифрования, тестирование безопасности, раскрытие уязвимостей и повышение осведомленности персонала. Директива также вводит структурированную модель уведомления об инцидентах. Как правило, о значительных инцидентах необходимо сообщать без неоправданной задержки: раннее предупреждение должно быть направлено в течение 24 часов с момента, когда субъекту стало известно о значительном инциденте, уведомление об инциденте — в течение 72 часов, а итоговый отчет — не позднее одного месяца после подачи уведомления об инциденте, в соответствии со статьей 23 Директивы (ЕС) 2022/2555.

Директива также важна в контексте корпоративного управления и ответственности. Кибербезопасность в рамках NIS2 не рассматривается как исключительно технический вопрос, полностью переданный ИТ-командам. Она квалифицируется как вопрос управления и комплаенса. Это означает, что советы директоров, руководители, подразделения комплаенса, юридические службы и операционные команды часто должны взаимодействовать, чтобы определить, подпадает ли организация под действие директивы, установить линии отчетности, обновить внутренние процедуры и документировать процесс принятия решений.

Когда стоит рассмотреть юридическую поддержку по вопросам NIS2?

Юридическая поддержка по Директиве NIS2 может быть особенно важна, если организация не уверена, относится ли она к ключевым субъектам или важным субъектам в соответствии с директивой и национальными законами, имплементирующими ее положения. Оценка применимости требований не всегда очевидна. Она может зависеть от сектора, вида предоставляемых услуг, размера предприятия, структуры группы и того, признается ли субъект критически важным на национальном уровне. В некоторых случаях возможно пересечение с другими режимами регулирования, такими как GDPR, отраслевые финансовые нормы, правила в сфере телекоммуникаций или обязательства по операционной устойчивости.

Поддержка также полезна, когда бизнес готовится к внедрению требований NIS2 и ему необходимо преобразовать правовые требования во внутренние документы корпоративного управления, договорные стандарты, процессы управления поставщиками и процедуры уведомления об инцидентах. Это включает анализ обязанностей руководства, внутренних политик, соглашений об аутсорсинге, процедур эскалации и обязанностей по коммуникации с регуляторами, клиентами или деловыми партнерами.

Частным компаниям, операторам, представляющим общественный интерес, цифровым провайдерам и корпоративным группам юридическая консультация может понадобиться и после инцидента кибербезопасности. Серьезный инцидент может повлечь несколько параллельных обязательств, включая уведомление регулятора, договорные уведомления, сохранение доказательств, внутреннее расследование и возможное взаимодействие с правоохранительными или надзорными органами. Ранний юридический анализ помогает определить, какой режим применяется, какие сроки необходимо соблюсти и как снизить риск противоречивой отчетности или ненужного раскрытия информации.

Оперативная консультация по NIS2 помогает избежать пробелов в комплаенсе, задержек в уведомлении, неэффективного управления, споров с контрагентами, повышенного внимания регуляторов и финансовых потерь, связанных с перебоями в оказании услуг или недостаточной документацией. Она также помогает сформировать более защищенную позицию на случай, если организации впоследствии потребуется доказать, что ее меры безопасности были надлежащими и соразмерными с учетом ее профиля риска.

Поддержка юридической фирмы по вопросам, связанным с Директивой NIS2, может включать, в частности:

  • оценку того, подпадает ли организация под действие NIS2 и национальных правил имплементации,
  • анализ классификации статуса ключевого субъекта или важного субъекта,
  • проверку структуры корпоративного управления и обязанностей руководства,
  • подготовку или обновление политик кибербезопасности, процедур отчетности и внутренних правил эскалации,
  • поддержку при уведомлении об инцидентах и коммуникации с компетентными органами,
  • юридический анализ договоров с поставщиками и положений о безопасности цепочки поставок,
  • консультации по взаимодействию требований NIS2, GDPR, отраслевых правил и договорных обязательств,
  • поддержку во внутренних расследованиях и правовой оценке рисков после инцидента,
  • обучение руководства и ключевых команд правовым обязанностям в сфере кибербезопасности.

Нужна юридическая поддержка по Директиве NIS2? Свяжитесь с нами.

Смотрите также

  • Коммерческое право
  • Финансовая отчетность
  • Холдинговая компания
  • Налоговое право