“Многие в российском ИТ знакомы с 152-ФЗ и регуляторами вроде ФСТЭК. Это наш внутренний ландшафт. Но если посмотреть на Европу, там действует другой принцип — не контроль данных, а обеспечение киберустойчивости критической инфраструктуры. Речь о Директиве NIS2, которая не просто очередная директива ЕС, а скорее всеобъемлющая стратегия по превращению кибербезопасности из технической проблемы в корпоративную обязанность высшего руководства. Она меняет сам подход: от защиты периметра — к управлению рисками в цепочке поставок, от рекомендаций — к жёстким срокам и персональной ответственности директоров. Понимание NIS2 нужно не только тем, кто работает с Европой. Это зеркало, в котором видны глобальные тренды, постепенно влияющие и на российские подходы к регуляторике.”
От первой директивы NIS к NIS2: эволюция подхода
Первая Директива о безопасности сетей и информационных систем (NIS Directive) была принята Европейским союзом в 2016 году. Она стала первым общеевропейским актом в области кибербезопасности. Её целью было поднять базовый уровень защиты в ключевых секторах экономики, таких как энергетика, транспорт, здравоохранение и финансовые услуги. Однако реализация на национальном уровне в разных странах ЕС оказалась фрагментированной: где-то требования были строже, где-то — слабее. Это создавало неравные условия для бизнеса и снижало общую устойчивость.
NIS2, официально утверждённая в конце 2022 года и обязательная для трансposition в национальные законодательства стран-членов ЕС до октября 2024 года,, это не просто обновление. Это качественный скачок. Директива расширяет охват, ужесточает требования и вводит принцип персональной ответственности руководителей. Если NIS1 была скорее рамочным документом, то NIS2, это детализированный императив с чёткими механизмами enforcement (принуждения к исполнению).
Ключевые отличия NIS2 от предшественницы
Можно выделить несколько фундаментальных изменений, которые вносит вторая директива.
Расширение сферы действия
Число охваченных секторов и подсекторов значительно выросло. Теперь под действие директивы попадают не только традиционно «критические» области, но и так называемые «важные» сектора. К ним добавились, например, производство медицинской продукции, почтовые и курьерские услуги, управление отходами, производство химических веществ, пищевая промышленность, космическая отрасль. Также директива явно включает в свою орбиту поставщиков цифровых услуг (поисковые системы, облачные сервисы), которые ранее регулировались отдельно. Это отражает понимание, что уязвимость цепочки поставок может быть в любом звене.
Прямое определение субъектов: критерии и исключения
NIS2 вводит чёткие количественные критерии для определения, подпадает ли организация под её действие. Основной критерий — размер. Под директиву попадают средние и крупные предприятия в охваченных секторах. Под «крупными» обычно понимаются компании с более чем 250 сотрудниками и годовым оборотом свыше 50 млн евро или балансовой суммой более 43 млн евро. Однако есть важная оговорка: директива может применяться и к более мелким организациям, если они признаны «важными» из-за предоставляемых ими услуг. Например, небольшая компания, управляющая критической инфраструктурой водоснабжения в регионе, будет подпадать под действие.
Исключения, наоборот, делаются для микро- и малых предприятий (за некоторыми критически важными исключениями), а также для организаций в сферах обороны, национальной безопасности, правосудия и парламентской деятельности.
Усиление мер управления безопасностью
Список требований к безопасности стал конкретнее и обширнее. Организации обязаны внедрять меры, основанные на оценке рисков. В директиве перечислен базовый набор, включающий:
- Политики в области управления рисками информационной безопасности.
- Меры по обеспечению безопасности при обработке данных (криптография, аутентификация).
- Управление уязвимостями, включая своевременное обновление программного обеспечения.
- Процедуры обеспечения непрерывности бизнеса и восстановления, такие как резервное копирование и планы действий при инцидентах.
- Оценку безопасности в цепочке поставок и отношений с поставщиками.
- Политики и процедуры для оценки эффективности мер кибербезопасности (например, тестирование на проникновение).
- Меры по повышению осведомлённости и обучению сотрудников.
- Политики и процедуры, касающиеся использования криптографии и, где уместно, шифрования.
Этот список делает NIS2 похожей на известные стандарты (например, ISO 27001), но с законодательной обязательностью исполнения.
Инцидент-менеджмент и отчётность
Одно из самых заметных изменений — жёсткие требования к уведомлению об инцидентах. Организации обязаны сообщать о значительных киберинцидентах в компетентные органы или национальные CSIRT (команды реагирования на компьютерные инциденты) в течение 24 часов с момента обнаружения, предоставляя первоначальную оценку. Затем, в течение 72 часов, должен быть направлен более подробный отчёт. Окончательный отчёт о расследовании инцидента требуется представить в течение одного месяца.
Такие сжатые сроки вынуждают организации иметь не просто документированные процедуры, а отработанные и регулярно тестируемые процессы оперативного реагирования и коммуникации.
Персональная ответственность руководства
Это, возможно, самый мощный рычаг воздействия. NIS2 прямо возлагает ответственность за соблюдение требований кибербезопасности на высшее руководство компании, включая членов совета директоров. Они должны утверждать политики кибербезопасности, контролировать их внедрение и могут нести персональную ответственность (вплоть до дисквалификации или существенных штрафов) в случае серьёзных нарушений. Это заставляет рассматривать кибербезопасность как стратегический бизнес-риск, а не как проблему ИТ-отдела.
Жёсткие санкции и надзор
Максимальный размер штрафов за несоблюдение директивы значительно увеличен. Он может достигать не менее 10 млн евро или 2% от общего мирового годового оборота компании (в зависимости от того, какая сумма больше). Компетентные национальные органы получают расширенные полномочия по проведению проверок, включая выездные аудиты и запрос любой информации, необходимой для оценки соответствия.
Почему NIS2 важна за пределами ЕС?
Даже для компаний, не ведущих деятельность в Европе, NIS2 служит индикатором глобальных трендов в регуляторике кибербезопасности.
Цепочка поставок. Требования к оценке безопасности поставщиков означают, что европейские партнёры будут обязаны проводить due diligence своих контрагентов по всему миру. Российский поставщик облачных сервисов или разработчик ПО, работающий с европейским клиентом, попадающим под NIS2, должен быть готов к повышенному вниманию к своей безопасности.
Сдвиг парадигмы. NIS2 демонстрирует переход от «защиты данных» (как в GDPR) к «обеспечению киберустойчивости операций». Это более широкий подход, фокусирующийся на непрерывности бизнеса. Подобный взгляд начинает проникать и в другие юрисдикции.
Гармонизация. Стремясь избежать фрагментации, NIS2 устанавливает более единообразные правила по всему ЕС. Это создаёт de facto стандарт, на который могут ориентироваться другие регионы при разработке своего законодательства.
NIS2 и российский контекст: точки пересечения и различия
Сравнение с российским 152-ФЗ («О персональных данных») и требованиями регуляторов (ФСТЭК, ФСБ) не вполне корректно, так как цели законодательств разные. 152-ФЗ сфокусирован на защите конфиденциальности персональных данных граждан РФ. NIS2 сфокусирована на устойчивости экономики и общества к киберинцидентам.
Более близкой по духу, хотя и не тождественной, является концепция безопасности критической информационной инфраструктуры (КИИ) в России, регулируемая отдельным законом 187-ФЗ. Здесь также есть:
- Категорирование объектов.
- Обязательность определённых мер защиты (в соответствии с приказами ФСТЭК).
- Обязанность сообщать об инцидентах в ГосСОПКА (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Однако ключевые отличия остаются:
- Широта охвата. КИИ в России, это строго определённый перечень объектов в оборонной, государственной и частично промышленной сферах. NIS2 охватывает гораздо более широкий спектр коммерческих отраслей.
- Ответственность руководства. В российской практике персональная ответственность руководителей за нарушения в области КИИ или 152-ФЗ также существует (административная, а в некоторых случаях и уголовная), но фокус NIS2 на ответственности именно высшего руководства (board level) прописан более явно и является центральным элементом.
- Подход к мерам. Российские требования (например, Приказы ФСТЭК) часто носят более предписывающий характер (требуют конкретных технических средств). NIS2, хотя и содержит список мер, всё же больше ориентирована на управление рисками, оставляя организациям некоторую свободу в выборе способов реализации.
специалисту по информационной безопасности в России важно понимать оба подхода. Работа в рамках 152-ФЗ и законов о КИИ обеспечивает compliance на внутреннем рынке. Понимание же логики NIS2 даёт представление о том, как могут эволюционировать требования к партнёрам на международной арене и какие практики управления киберрисками становятся мировым трендом.