Вступ: нова парадигма ІТ-безпеки

‍

Директива NIS2, яка набула чинності 17 січня 2023 року (16 жовтня в Італії), являє собою глибокі зміни порівняно з попередньою Директивою NIS. Ця нормативна база спрямована на створення спільної кібер-стратегії для всіх країн-членів ЄС, головною метою якої є підвищення рівня безпеки цифрових послуг на всій території ЄС.

‍

Офіційно розпочався сезон імплементації європейської директиви NIS2, що представляє собою більш ніж значну зміну в підході до управління інформаційною безпекою.

‍

Високо оцінюючи комунікаційні зусилля Національного агентства з кібербезпеки (НАК), яке ставить аспект репресивно-санкційного процесу на друге місце після заохочення активної участі, очевидно, що процес імплементації цілей Директиви не може бути вирішений лише формальним дотриманням системи управління безпекою - того, що зазвичай називають "паперовою безпекою", - а натомість вимагає значних зусиль для визначення конкретних і стійких цілей безпеки.

Розширення периметру: хто бере участь у NIS2

Директива NIS2 є значним кроком до підвищення рівня кібербезпеки та стійкості в Європі. Коли мова заходить про нормативні акти та директиви, багато компаній розглядають комплаєнс як кінцеву мету: щось, чого вони повинні дотримуватися, виконуючи мінімальні вимоги. Однак це слід розглядати як відправну точку для досягнення більш високого рівня кібербезпеки.

Директива NIS2 є результатом серйозного перегляду NIS і знаменує собою ще один важливий крок на шляху до повного визначення європейської кіберстратегії, що передбачає адекватне скоординоване та інноваційне реагування держав-членів для забезпечення безперервності цифрових послуг у разі інцидентів у сфері безпеки.

‍

NIS2 значно розширює сферу застосування порівняно з попередньою Директивою NIS, включаючи такі важливі сектори, як управління відходами, транспорт, харчова промисловість, постачання та розподіл питної води, цифрова інфраструктура, державне управління, виробництво, дослідження та розробка лікарських засобів та медичних виробів, а також космічний сектор.

‍

Законодавчий декрет 138/2024, який інкорпорує Директиву NIS2 в італійське законодавство, передбачає, що її положення будуть застосовуватися з 16 жовтня 2024 року.

‍

Регламент не поширюватиметься на малі підприємства , якщо тільки вони не будуть визнані "критично важливими" в розумінні Директиви RCE, провайдерами загальнодоступних електронних комунікаційних мереж, провайдерами довірчих послуг або не підпадуть під інші конкретні категорії, які вважаються важливими.

‍

NIS2 також застосовується до компаній з менш ніж 50 працівниками, якщо вони надають важливі послуги в державі-члені ЄС, якщо їхні послуги мають вирішальне значення для громадської безпеки, захисту або охорони здоров'я, або якщо вони є частиною ланцюга поставок важливої або важливої компанії.

‍

Основні критичні питання для підприємств

‍

1. Складність шаруватої моделі та проблеми класифікації

Ця операційна складність знайшла своє відображення у виборі італійським законодавцем "багаторівневої" моделі. Перший рівень - стандартний, тобто суб'єкти господарювання, які перевищують граничні розміри для малих підприємств. Другий рівень складають ті суб'єкти, які, незалежно від їхнього розміру або обороту, підпадають під певні встановлені категорії.

‍

Значна проблема стосується фактичного вимірювання аспекту розміру через посилання на поняття "афілійовані підприємства", щодо якого в діловому світі не завжди існує абсолютна ясність бачення.

‍

Зв'язок між двома або більше компаніями теоретично не залежить від наміру створити реальну формалізовану групу, що призводить до виключення з групи малих і середніх підприємств тих суб'єктів господарювання, які, навіть якщо їх розглядати окремо, не досягли б граничного розміру, передбаченого нормою.

‍

2. Економічний та організаційний тягар

Коли ми переходимо від ідеальності процесу до конкретного підходу, питання стає дещо іншим, оскільки воно стикається з економічним виміром країни, фундаментальна структура якої складається з великої кількості малих і середніх підприємств. Це створює значні труднощі у впровадженні НСР2, яка може виявитися надмірно обтяжливою для малих підприємств.

‍

Створена з метою покращення кібербезпеки Європейського Союзу, Директива NIS2 передбачає суто адміністративні та кримінальні санкції. На основних операторів можуть бути накладені адміністративні штрафи в розмірі до 10 мільйонів євро або 2 відсотків від загального світового обороту. На великих операторів, з іншого боку, можуть бути накладені штрафи в розмірі до 7 мільйонів євро або до 1,4 відсотка від загального світового обороту.

‍

3. Відповідальність керівництва

Законодавча постанова вносить визначеність: буде відповідальність керівництва та органів управління. Органи управління компаній будуть покликані відігравати активну роль у дотриманні законодавства, вони повинні будуть затверджувати впровадження заходів з управління ризиками безпеки, контролювати виконання зобов'язань, передбачених законодавством, і нести відповідальність за порушення.

4. Звітування про інциденти та управління ризиками

Постанова про транспозицію посилює вимоги до звітності про інциденти, передбачаючи, що про інциденти, які мають значний вплив на надання послуг, необхідно повідомляти CSIRT Італія без невиправданої затримки. Процес повідомлення передбачає суворі часові рамки: попереднє повідомлення протягом 24 годин, повідомлення протягом 72 годин після події та остаточний звіт протягом одного місяця після події.

‍

Директива NIS2 встановлює низку основних вимог, яких повинні дотримуватися організації для забезпечення високого рівня кібербезпеки. Ці вимоги включають: аналіз ризиків і політику безпеки інформаційних систем, стратегії оцінки ефективності заходів з управління ризиками, а також базові практики цифрової гігієни та навчання з кібербезпеки.

‍

5. Зосередьтеся на ланцюжку постачання

Виходить, що законодавство, яке транспонує Директиву NIS2, зосереджується не лише на секторах, які вважаються дуже важливими або критичними, але й на їхніх постачальниках, що значно розширює коло суб'єктів, на яких, ймовірно, вплине застосування Законодавчого декрету.

‍

Директива NIS 2 передбачає, що зобов'язані суб'єкти повинні вживати належних і пропорційних технічних, операційних та організаційних заходів для управління ризиками безпеки інформаційних систем і мереж, враховуючи також безпеку ланцюга поставок, включаючи аспекти безпеки, що стосуються відносин між кожним суб'єктом і його прямими постачальниками або постачальниками послуг.

‍

Основні терміни, яких необхідно дотриматись

Таким чином, починається гонка за відповідністю, яка повинна бути завершена до жовтня 2026 року. До початку 2025 року підприємства, визначені як суб'єкти NIS2, повинні впровадити всі заплановані заходи, включаючи системи управління ІТ-безпекою та обов'язки керівництва. До травня 2025 року підприємства повинні оновити свої дані на інституційній платформі. У січні 2026 року набуває чинності формальне зобов'язання своєчасно повідомляти про значні інциденти, а до вересня 2026 року організації повинні впровадити всі необхідні заходи безпеки.

‍

З 16 жовтня 2024 року набуває чинності новий Регламент про мережеву та інформаційну безпеку (NIS). ACN є компетентним органом з питань NIS та єдиною контактною особою. З 1 грудня 2024 року по 28 лютого 2025 року середні та великі підприємства, в деяких випадках також малі та мікропідприємства, а також державні адміністрації, на які поширюється нове законодавство, повинні зареєструватися на сервісному порталі ACN.

‍

Висновок: необхідна, але складна зміна парадигми

Зростаюча взаємопов'язаність та оцифрування суспільства робить установи, підприємства та громадян все більш вразливими до кіберзагроз.

‍

Керівництво Національного агентства кібербезпеки взяло на себе публічне зобов'язання зробити цей процес стійким, що може дійсно стати поворотним моментом у здатності країни протистояти зростаючим загрозам. Необхідно почекати і подивитися, як виробнича та адміністративна структура країни зможе відреагувати на те, що, цілком очевидно, є глибоким культурним переломним моментом і що, як інтуїтивно зрозуміло, не буде ні прогулянкою в парку, ні "нейтральною за вартістю".

‍

Таким чином, адаптація до NIS2 - це не лише питання дотримання стандарту, але й гарна можливість запровадити в компанії культуру безпеки, а також технічні та організаційні передові практики, які можуть значно підвищити рівень ІТ-безпеки. Важливо, однак, розпочати підготовку плану адаптації одразу, щоб поетапно привести у відповідність різні активи та персонал компанії з відповідними періодичними циклами навчання.

Навіть якщо ви не належите до компаній, які зобов'язані дотримуватися Директиви NIS2, початок курсу з підвищення обізнаності про кіберризики є важливим для захисту майбутнього вашого бізнесу.

‍

Таким чином, NIS2 є складним, але необхідним викликом для італійських компаній. Хоча він накладає нові зобов'язання і відповідальність, які можуть здатися обтяжливими, він також пропонує можливість переосмислити ІТ-безпеку як стратегічний елемент, а не просто як витрати.