Директива NIS
Директива NIS — это законодательный акт Европейского союза, направленный на обеспечение высокого общего уровня безопасности сетей и информационных систем на территории ЕС. Полное официальное название — Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 года о мерах по обеспечению высокого общего уровня безопасности сетей и информационных систем в Союзе. Директива является первым общеевропейским законом в области кибербезопасности и устанавливает обязательства для государств-членов, операторов критической инфраструктуры и поставщиков цифровых услуг.
История принятия
Предпосылкой к разработке Директивы NIS стал рост числа кибератак на критически важные объекты инфраструктуры в странах ЕС в начале 2010-х годов. В 2013 году Европейская комиссия опубликовала Стратегию кибербезопасности, в которой впервые была предложена идея создания единого правового поля для защиты сетей и информационных систем. После длительных переговоров между Европарламентом и Советом ЕС, а также с учётом позиций национальных регуляторов, 6 июля 2016 года была принята Директива (ЕС) 2016/1148. Государства-члены обязаны были имплементировать её положения в национальное законодательство до 9 мая 2018 года.
Основные цели и задачи
Директива NIS преследует три ключевые цели:
- Повышение киберустойчивости критически важных секторов экономики (энергетика, транспорт, здравоохранение, водоснабжение, цифровая инфраструктура).
- Укрепление сотрудничества между государствами-членами ЕС в сфере реагирования на инциденты и обмена информацией.
- Создание единой системы требований к безопасности для операторов основных услуг и поставщиков цифровых услуг.
Сфера действия
Директива NIS распространяется на два основных типа организаций:
Операторы основных услуг (ООУ)
К ним относятся организации, предоставляющие услуги, критически важные для поддержания общественной безопасности, экономики и здоровья населения. Сектора, охваченные Директивой:
- Энергетика: электроэнергетика, нефтяная и газовая промышленность.
- Транспорт: воздушный, железнодорожный, водный и автомобильный.
- Банковский сектор: кредитные организации.
- Финансовая инфраструктура: операторы платёжных систем и клиринговых палат.
- Здравоохранение: больницы, поставщики медицинских услуг.
- Водоснабжение: системы питьевого водоснабжения и очистки сточных вод.
- Цифровая инфраструктура: точки обмена интернет-трафиком, регистраторы доменных имён, центры обработки данных.
Поставщики цифровых услуг (ПЦУ)
К ним относятся три категории организаций:
- Поставщики онлайн-рынков (например, Amazon, eBay).
- Поставщики облачных вычислительных услуг (например, Microsoft Azure, Amazon Web Services).
- Поисковые системы (например, Google, Яндекс).
Основные требования
Директива NIS устанавливает следующие обязательства для ООУ и ПЦУ:
- Принятие технических и организационных мер для управления рисками безопасности сетей и информационных систем.
- Уведомление национальных компетентных органов (CSIRT — Computer Security Incident Response Team) о значительных инцидентах в области кибербезопасности. Срок уведомления — не позднее 72 часов после обнаружения инцидента.
- Внедрение политики безопасности, включая управление активами, контроль доступа, шифрование данных и регулярное тестирование систем.
- Обеспечение непрерывности бизнеса и восстановления после инцидентов.
Различия в регулировании ООУ и ПЦУ
Директива NIS применяет дифференцированный подход: требования к ООУ более строгие, чем к ПЦУ. Для ПЦУ действует принцип «лёгкого регулирования» (light-touch), который предусматривает меньший объём обязательств и более мягкие санкции за невыполнение. Государства-члены могут устанавливать дополнительные требования для ООУ на национальном уровне.
Национальная имплементация
Каждое государство-член ЕС обязано было принять национальный закон, реализующий положения Директивы NIS. В разных странах это привело к появлению различных национальных актов:
- Германия: Закон об IT-безопасности (IT-Sicherheitsgesetz), который впоследствии был усилен вторым законом.
- Великобритания: The Network and Information Systems Regulations 2018 (действовало до Brexit).
- Франция: Закон о цифровой республике (Loi pour une République numérique).
- Польша: Закон о национальной системе кибербезопасности (Ustawa o krajowym systemie cyberbezpieczeństwa).
Директива NIS 2
В декабре 2022 года была принята обновлённая версия — Директива (ЕС) 2022/2555, известная как NIS 2. Она вступила в силу 16 января 2023 года, а государства-члены должны имплементировать её до 17 октября 2024 года. Основные изменения по сравнению с первой версией:
- Расширение сферы действия: добавлены новые сектора (госсектор, космическая деятельность, пищевая промышленность, химическая промышленность, производство медицинского оборудования).
- Уточнение критериев: введены пороговые значения для определения ООУ (крупные и средние предприятия).
- Ужесточение требований: обязательное внедрение многофакторной аутентификации, шифрования, управления уязвимостями и тестирования на проникновение.
- Повышение ответственности: введена персональная ответственность руководителей организаций за нарушения.
- Усиление санкций: штрафы для организаций могут достигать 10 миллионов евро или 2% от годового мирового оборота (в зависимости от того, что больше).
Критика и ограничения
Директива NIS подвергалась критике за:
- Фрагментацию национальных подходов: из-за различий в имплементации возникли сложности для трансграничных компаний.
- Недостаточную скорость реагирования: механизм уведомления об инцидентах (72 часа) критиковался как слишком медленный для современных кибератак.
- Отсутствие обязательных требований для цепочек поставок: первая версия не регулировала безопасность поставщиков и подрядчиков, что было исправлено в NIS 2.
Влияние на Россию
Хотя Директива NIS является правовым актом ЕС, её влияние распространяется на российские компании, которые предоставляют цифровые услуги на территории ЕС или являются частью цепочек поставок европейских операторов. Российские организации, подпадающие под действие Директивы (например, облачные провайдеры с клиентами в ЕС), обязаны соблюдать её требования. Кроме того, нормы Директивы NIS 2, касающиеся безопасности цепочек поставок, могут косвенно затрагивать российских поставщиков программного обеспечения и оборудования.
Источники
- Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union.
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS 2 Directive).
- European Union Agency for Cybersecurity (ENISA). NIS Investments.
- European Commission. The NIS Directive: A new era for cyber security in Europe.
- Национальные законы о кибербезопасности Германии, Франции, Польши и Великобритании (период до Brexit).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →