NIS2 — Європейський та національний законодавчий акт про кібербезпеку організацій

Як це працює

Оскільки NIS2 не застосовується однаково до всіх, ми пропонуємо короткий огляд цієї європейської директиви про мережеву та інформаційну безпеку. Ми пояснюємо суть NIS2 і для кого вона важлива. Дізнайтеся про вимоги та найкращі практики для дотримання NIS2.

Навіщо це потрібно?

NIS2 встановлює вимоги безпеки, які згруповані за такими напрямами, як обов’язок обережності, обов’язок звітування та нагляд, і вже є відносно конкретними ще до того, як вони будуть офіційно закріплені в національному законодавстві. До них відносяться, серед іншого, конкретні переліки заходів зі статті 21 та значні штрафи зі статті 34 (4). Детальніше читайте в директиві: EUR-Lex - 32022L2555 (europa.eu). Крім того, існує низка інших важливих елементів, таких як безпека в ланцюгу постачань, відповідальність осіб, які здійснюють управління та зобов’язання щодо навчання.

На якому етапі знаходиться ваша організація?

Щоб гарантувати, що ваша організація буде вчасно готова до цих законодавчих вимог з кібербезпеки, важливо розпочати правильну підготовку вже зараз. Хоча ці вимоги ще не закріплені в національному законодавстві, вже зрозуміло, у якому напряму це відбувається, і можна провести паралелі з наявними рамковими стандартами та передовими практиками, такими як ISO 27001.

Для кого вона призначена?

До організацій, на які поширюватиметься дія нової європейської директиви «Директива про мережеву та інформаційну безпеку 2» (NIS2), належать енергетичні компанії, авіакомпанії, водоканали, постачальників цифрових послуг, державні установи та їхні постачальники. Щоб перевірити, чи поширюється дія директиви на вашу організацію, рекомендуємо звернутися за інформацією до місцевих органів влади. Якщо у вас виникли запитання, будь ласка, звертайтеся до нас за експертною порадою та підтримкою.

На які типи організацій це впливає?

Директива NIS2 спрямована на більше типів компаній та організацій, ніж перша директива NIS. Це означає, що тепер існує більше державних і приватних організацій, які повинні дотримуватися правил.

До організацій, на які нині поширюється дія директиви NIS2, відносяться:

Ключові організації 

Це великі організації, які працюють у секторі з Додатку I Директиви NIS2.

Організація вважається великою на основі наступних критеріїв:

• щонайменше 250 працівників
• річний оборот понад 50 мільйонів євро та баланс понад 43 мільйони євро.

Важливі організації 

Це середні організації, які працюють у секторі з Додатку I, а також середні та великі організації, які працюють у секторі з Додатку II.

Організація вважається середньою за розміром на основі наступних критеріїв:

• щонайменше 50 працівників; або 
• річний оборот і баланс понад 10 мільйонів євро.

Щоб гарантувати, що ваша організація відповідає вимогам NIS2, важливо вже зараз розпочати процес підготовки. 

Хоча вимоги NIS2 ще не затверджені в Україні, їх впровадження очікується найближчим часом. Зміни стосуються посилення вимог до звітування, відповідальності та оцінки ризиків у сфері кібербезпеки.

Українським бізнесам варто вже сьогодні почати підготовку до цих змін: впровадити належні заходи безпеки, оновити політики звітування та ризик-менеджменту, щоб уникнути санкцій та забезпечити відповідність європейським стандартам.

Дізнайтесь більше про підготовку до вимог NIS2 та забезпечити відповідність новим стандартам, звертайтесь до БДО в Україні. Наші фахівці готові допомогти вам адаптуватися до змін, розробити стратегії безпеки та управління ризиками для вашого бізнесу.

Рішення з кібербезпеки від команди BDO в Україні охоплюють наступне:

• IT-аудит
• Оцінка ризиків кібербезпеки
• Системи кібербезпеки
• Аутсорсинг кібербезпеки
• Міграція в хмару

Звертайтеся до BDO в Україні за консультаціями та допомогою в оцінці вашої кібербезпеки та впровадженні необхідних стандартів, щоб забезпечити відповідність вашої організації вимогам цієї директиви.

Джерело: BDO Global