Важность Директивы NIS2 (Директивы по сетевой и информационной безопасности) и потенциальные проблемы, которые она влечет за собой
Введение
Директива NIS2[1], вступившая в силу 16 января 2023 года, обязывает государства-члены Европейского союза реализовать ее положения в течение двухлетнего периода, до 17 октября 2024 года. Предыдущий закон о кибербезопасности состоял из Директивы Совета 2008/114/EC[2] и предыдущей версии Директивы NIS[3], а также целого ряда различных отраслевых нормативных актов[4]. Новая версия NIS должна была сыграть решающую роль в обеспечении киберустойчивости[5] критической инфраструктуры по всему Европейскому союзу и стать улучшенной версией предыдущей структуры, гарантирующей более высокий уровень кибербезопасности, но, вероятно, она не достигла поставленной цели.
Нововведения NIS2
Компании, независимо от их размера, стали зависимы от различных компьютерных систем и сервисов, что привлекло интерес киберпреступников (Драгомир, 2021)[6]. Таким образом, NIS2 была направлена на определение важных и существенных услуг[7] и установление требований безопасности для этих услуг. Она определяет сектора критической инфраструктуры и обеспечивает соблюдение стандартов безопасности, особенно в отношении таких жизненно важных услуг, как энергетика, водоснабжение, ИКТ, транспорт, здравоохранение и финансы[8], которые будут находиться под самым строгим контролем Директивы[9]. В результате практически все компании, включая малые и средние, особенно если они входят в цепочку поставок для инфраструктурных секторов, должны будут признать требования NIS2 и воспроизвести их в действии, а также выполнить обязательства по отчетности, что для большинства из них может оказаться проблематичным. Внедрение комплексных требований безопасности – главная проблема нового законодательства, которая может оказаться более сложной для небольших организаций с ограниченными ресурсами. Кроме того, компаниям придется разрабатывать локальные документы по организации системы и мер кибербезопасности в компании и распределять ответственность между отдельными должностными лицами. В любом случае, это вопрос не одного дня, и NIS2 предоставил достаточно времени для того, чтобы организации смогли выстроить свои рабочие процессы в соответствии с новым законодательством, кроме того, последуют дополнительные руководства с конкретикой от властей ЕС, чтобы облегчить задачу для обычных компаний.
Отчетность и персональная ответственность
Два наиболее важных, значимых и неоспоримых усовершенствования NIS2 – это короткие отчеты и персональная ответственность руководства. Во-первых, сокращенный 24-часовой срок уведомления о происшествии заменил предыдущий 72-часовой срок. Новое уведомление является обязательным[10] и должно содержать только основные детали произошедшего, без необходимости сообщать подробности контрдействий. Как отмечает Шмитц-Берндт (2023), там, где границы размыты, велика вероятность того, что помимо экономических причин воздержаться от сообщения, эта неясность также удерживает субъектов от сообщения об инциденте[11]. NIS2 упростила процедуру уведомления для каждого человека, даже не обладающего специальными знаниями, заполнив простую форму на сайте, и это упрощение важно для популяризации уведомлений (особенно с учетом охвата NIS2 средних компаний, не обладающих опытом или знаниями). С точки зрения кибербезопасности, это означает оперативное оповещение о происходящих атаках, которое может быть принято во внимание властями и специалистами, помогая реагировать на другие атакованные компании и защищать всю систему. Кроме того, это повысит прозрачность информации о масштабах и типах атак, поскольку ранее многие компании старались скрывать данные об инцидентах.
Вторым положительным нововведением является персональная ответственность топ-менеджеров компаний за реальное и практическое (а не только бумажное[12]) выполнение мер кибербезопасности и необходимость введения специального ответственного сотрудника, в том числе для регулярной отчетности. Обязанность регулярно отчитываться означала бы реальное соблюдение требований, а ощущение персональной ответственности (как физического, а не юридического лица) мотивировало бы руководителей уделять собственное внимание проблемам построения кибербезопасности и поддержания ее уровня в компании. Теперь стало невозможным делегировать этот вопрос (и ответственность) кому-то другому, а значит, гарантирован персональный подход и постоянный контроль. Дополнительным положительным побочным эффектом, вероятно, станет увеличение финансирования[13] щита кибербезопасности (и ИТ-специалистов), поскольку руководители окажутся под давлением личной ответственности в случае неадекватного соблюдения требований.
Общественный уровень NIS2
Кроме того, на государственном уровне NIS2 нацелена на улучшение сотрудничества и обмена информацией[14] между государствами-членами ЕС путем создания специальных групп для исследования и реагирования на угрозы. Это помогает улучшить общие знания и практические навыки (за счет обмена опытом) в отношении различных типов инцидентов, что позволяет эффективно распределять усилия для предотвращения крупномасштабных атак. Кроме того, это способствует раннему обнаружению угроз, что является основой защиты систем и в конечном итоге укрепляет общую систему безопасности. Единые контактные центры[15] должны обеспечивать эффективное трансграничное сотрудничество путем пересылки уведомлений о значительных инцидентах[16].
Другими инновационными вехами NIS2 являются стандартизация[17] и сертификация[18]: компании должны рассмотреть возможность использования сертифицированных продуктов и услуг для повышения безопасности. Государства-члены должны поощрять существенные и важные организации использовать европейские стандарты для обеспечения безопасности сетевых и информационных систем, а также использовать конкретные продукты, услуги и процессы ИКТ, разработанные ими самими (или третьими сторонами), которые сертифицированы в рамках европейских схем сертификации кибербезопасности. Это, с одной стороны, предотвратит использование неквалифицированных услуг и повысит киберустойчивость, но, с другой стороны, может привести к бюрократизации сектора ИКТ и излишней бумажной волоките с получением сертификатов для демонстрации использования доверенных технологий. Однако целью данной правовой нормы было упростить проверку киберсоответствия третьих лиц до вступления с ними в отношения, поскольку возможности проверки и мониторинга устойчивости третьих лиц ограничены. Хотя такая устойчивость очень важна, особенно для борьбы с угрозами в цепочке поставок[19], она может быть подтверждена демонстрацией соответствующего сертификата соответствия. Таким образом, это нововведение может стать эффективным решением проблемы.
Заключение
Наконец, все нововведения NIS2 должны быть реализованы на практике благодаря суровым наказаниям за их несоблюдение. Штрафы в размере 10 млн евро или 2 %[20] от оборота могут стать довольно высокими и обременительными для некоторых компаний и даже привести к банкротству или пагубным финансовым последствиям. Высокая ответственность призвана привлечь внимание к серьезности проблемы и придать вес необходимости выполнения требований. Однако она может стать слишком суровой, учитывая достаточно внезапный и сложный характер новых требований без четких инструкций и схем для тех участников, которые не обладают достаточным опытом в области кибербезопасности. Но даже при всех этих издержках новая законодательная база должна привлечь больше внимания к современным киберугрозам и сделать региональный ландшафт более безопасным. Однако, по мнению Фергюссона (2023), применение законодательной интерпретации и анализ моделей кибератак показали, что меры по управлению рисками кибербезопасности, требуемые от существенных и важных организаций в соответствии с Директивой NIS2, могут оказаться значительно ограниченными в своей эффективности против кибератак[21].
[1] ДИРЕКТИВА (ЕС) 2022/2555 Европейского парламента и Совета от 14 декабря 2022 года о мерах по обеспечению высокого общего уровня кибербезопасности в Союзе, вносящая изменения в Регламент (ЕС) № 910/2014 и Директиву (ЕС) 2018/1972, а также отменяющая Директиву (ЕС) 2016/1148
[2] Директива Совета 2008/114/EC от 8 декабря 2008 года об идентификации и назначении европейских критических инфраструктур и оценке необходимости улучшения их защиты
[3] Директива (ЕС) 2016/1148 Европейского парламента и Совета от 6 июля 2016 г. о мерах по обеспечению высокого общего уровня безопасности сетевых и информационных систем на территории Союза
[4] Преамбула (4) и (5) NIS2, статья 4 NIS2 (Отраслевые правовые акты Союза)
[5] Преамбула (2) NIS2
[6] Драгомир, А.В., 2021. Что нового в предложении по директиве NIS 2 по сравнению со старой директивой NIS. SEA: Практическое применение науки, 9(27), стр. 156, доступно по адресу: https://seaopenresearch.eu/Journals/articles/SPAS_27_1.pdf (дата обращения: 23 мая 2024 г.)
[7] Существенные и важные объекты и услуги определены в Статье 3 NIS2
[8] Вышеперечисленные сектора подчеркивают те, которые будут находиться под наиболее строгим надзором Директивы
[9] KPMG, Повышение уровня безопасности ИТ и ОТ в свете NIS2, август 2023 г., стр. 5, доступно по адресу: https://assets.kpmg.com/content/dam/kpmg/kr/pdf/2023/kpmg-eu-nis2-report.pdf (дата обращения: 23 мая 2024 г.)
[10] В предыдущей версии NIS уведомление также было обязательным, но в новой версии это обязательство подкреплено персональной ответственностью высшего руководства, а также должностных лиц за принятие мер кибербезопасности со штрафами за несоблюдение, поэтому в обновленной версии NIS это обязательство по отчетности станет реальным инструментом
[11] См. например, Шмитц-Берндт, S., 2023. Определение порога отчетности об инциденте кибербезопасности в соответствии с Директивой NIS и Директивой NIS2. Журнал о кибербезопасности, 9(1), p.9
[12] Валентино Лючини (2023). Все более строгое соблюдение требований кибербезопасности в Европе: NIS 2 и то, о чем должны знать все компании в ЕС. Российский юридический журнал, 11 (6S). 149
[13] Йохан Дэвид Михельс отмечает недостаточное инвестирование в кибербезопасность и нераскрытие информации о нарушениях как основные проблемы нынешнего режима кибербезопасности, см: Михельс Й.Д. и Вальден, И., 2020. За пределами «самоуспокоенности и паники»: улучшит ли Директива NIS кибербезопасность критической национальной инфраструктуры? Европейский юридический обзор законодательства. 28
[14] Глава VI NIS2 (Обмен информацией) посвящена обмену информацией, координации действий и соответствующим процедурам.
[15] Определение единого контактного центра содержится в параграфе 3 статьи 8 NIS2: каждое государство-член ЕС должно назначить или создать единый контактный центр (компетентный орган), обладающий достаточными ресурсами для эффективного и результативного выполнения задач по кибербезопасности
[16] Преамбула (40) и (70) NIS2
[17] Статья 25 NIS2
[18] Статья 24 NIS2
[19] Агентство Европейского союза по кибербезопасности относит кибератаки на цепочки поставок к популярным видам киберугроз, см: ENISA «Ландшафт угроз 2023» (отчет за октябрь 2023 года), страница 7
[20] Статья 34 NIS2 требует от государств-членов введения административных штрафов в размере не менее 10 млн евро или 2% от общего мирового годового оборота в зависимости от того, что выше - для существенных организаций (пункт 4); для важных организаций (пункт 5) штрафы составляют 7 млн евро и 1,4% от оборота. Также допускаются периодические штрафы (параграф 6). В то время как за нарушение персональных данных по-прежнему применяются штрафы в соответствии с GDPR (статья 35 NIS2) без двойной ответственности
[21] Фергюсон, Д.Д.С., 2023. Результативная эффективность требований Директивы NIS 2 по управлению рисками организаций. Международный обзор законодательства в области кибербезопасности, 4(4), с.371-386. доступно по адресу: https://link.springer.com/article/10.1365/s43439-023-00097-8 (дата обращения: 23 мая 2024 г.)
Дарина Шаматонова