Открыть сервис

Директива NIS

Директива NIS — это законодательный акт Европейского союза, направленный на обеспечение высокого общего уровня безопасности сетей и информационных систем на территории ЕС. Полное официальное название — Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 года о мерах по обеспечению высокого общего уровня безопасности сетей и информационных систем в Союзе. Директива является первым общеевропейским законом в области кибербезопасности и устанавливает обязательства для государств-членов, операторов критической инфраструктуры и поставщиков цифровых услуг.

История принятия

Предпосылкой к разработке Директивы NIS стал рост числа кибератак на критически важные объекты инфраструктуры в странах ЕС в начале 2010-х годов. В 2013 году Европейская комиссия опубликовала Стратегию кибербезопасности, в которой впервые была предложена идея создания единого правового поля для защиты сетей и информационных систем. После длительных переговоров между Европарламентом и Советом ЕС, а также с учётом позиций национальных регуляторов, 6 июля 2016 года была принята Директива (ЕС) 2016/1148. Государства-члены обязаны были имплементировать её положения в национальное законодательство до 9 мая 2018 года.

Основные цели и задачи

Директива NIS преследует три ключевые цели:

  1. Повышение киберустойчивости критически важных секторов экономики (энергетика, транспорт, здравоохранение, водоснабжение, цифровая инфраструктура).
  2. Укрепление сотрудничества между государствами-членами ЕС в сфере реагирования на инциденты и обмена информацией.
  3. Создание единой системы требований к безопасности для операторов основных услуг и поставщиков цифровых услуг.

Сфера действия

Директива NIS распространяется на два основных типа организаций:

Операторы основных услуг (ООУ)

К ним относятся организации, предоставляющие услуги, критически важные для поддержания общественной безопасности, экономики и здоровья населения. Сектора, охваченные Директивой:

Поставщики цифровых услуг (ПЦУ)

К ним относятся три категории организаций:

Основные требования

Директива NIS устанавливает следующие обязательства для ООУ и ПЦУ:

Различия в регулировании ООУ и ПЦУ

Директива NIS применяет дифференцированный подход: требования к ООУ более строгие, чем к ПЦУ. Для ПЦУ действует принцип «лёгкого регулирования» (light-touch), который предусматривает меньший объём обязательств и более мягкие санкции за невыполнение. Государства-члены могут устанавливать дополнительные требования для ООУ на национальном уровне.

Национальная имплементация

Каждое государство-член ЕС обязано было принять национальный закон, реализующий положения Директивы NIS. В разных странах это привело к появлению различных национальных актов:

Директива NIS 2

В декабре 2022 года была принята обновлённая версия — Директива (ЕС) 2022/2555, известная как NIS 2. Она вступила в силу 16 января 2023 года, а государства-члены должны имплементировать её до 17 октября 2024 года. Основные изменения по сравнению с первой версией:

Критика и ограничения

Директива NIS подвергалась критике за:

Влияние на Россию

Хотя Директива NIS является правовым актом ЕС, её влияние распространяется на российские компании, которые предоставляют цифровые услуги на территории ЕС или являются частью цепочек поставок европейских операторов. Российские организации, подпадающие под действие Директивы (например, облачные провайдеры с клиентами в ЕС), обязаны соблюдать её требования. Кроме того, нормы Директивы NIS 2, касающиеся безопасности цепочек поставок, могут косвенно затрагивать российских поставщиков программного обеспечения и оборудования.

Источники

  1. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union.
  2. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union (NIS 2 Directive).
  3. European Union Agency for Cybersecurity (ENISA). NIS Investments.
  4. European Commission. The NIS Directive: A new era for cyber security in Europe.
  5. Национальные законы о кибербезопасности Германии, Франции, Польши и Великобритании (период до Brexit).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →