NIS2 директива. Як компаніям дотримуватись вимог. 

Кібергігієна та кібербезпека. Що каже NIS2?

«Гігієна робочого місця», майже, автоматично асоціюється з медичними закладами та  місцями харчування, де мінімізація впливу небезпечних зовнішніх факторів є критичною. А що, якби існували норми гігієни для інформаційного простору, наприклад, у галузях, на яких завʼязані важливі для суспільства механізми? Як виокремити критичні та важливі галузі й хто буде адресатом таких норм?

Директивою (ЄС) 2022/2555 від 14 грудня 2022 року досить влучно використано термін кібергігієна, який підкреслює фокус на створення правил інформаційної безпеки для ключових галузей. Положення директиви націлені на формування певного гайда для попередження та менеджменту кіберкриз. Завдання полягає у підвищенні рівня інформаційної безпеки та компетенції у найбільш вразливих та важливих галузях, компрометація яких, може спричинити значну шкоду не тільки окремим особам, а і суспільства в цілому. Поточна, друга версія NIS (Network and Information Security Directive) наслідує та актуалізує норми прийняті у 2016 в межах першої ітерації директиви. Зміст оновлення вкотре демонструє  динаміку інтеграції інформаційних технологій у критичні та важливі галузі. В той самий час, простежується усвідомлення вразливості таких систем до зовнішнього негативного впливу або значні негативні наслідки в результаті реалізованих кіберзамахів чи інших негативних інцидентів. 

Відповідно до звіту ENISA (The European Union Agency for Cybersecurity) у період з 1 липня 2023 по 1 липня 2024 було зареєстровано більш ніж 33 тисячі вразливостей в інформаційних системах, що на 35% більше ніж за аналогічний період минулого року. Тобто мова йде про відомі вразливості на рівні програмного та технічного забезпечення, які можуть бути використані для пошкодження інформаційних систем. Хоча розробники та виробники намагаються передбачати, нівелювати або повністю усувати вразливості у своїх продуктах, завжди залишається імовірність вразливості нульового дня. 

Таким чином неможливо стверджувати про абсолютну безпеку та неможливість негативної події. Однак в силах підприємств знизити шанс таких подій до оптимального рівня. Як вже зазначалось, NIS2 може бути гадом з кібер-гігієни для всіх підприємств та обовʼязковим регламентом для критичних і важливих галузей.

Чи поширюється NIS2 на мою компанію?

Поза сумнівами, відповідність високим стандартам у галузі інформаційної безпеки є обовʼязковою характеристикою для будь-якої сучасної компанії. Тому положення директиви можуть бути застосовані, як орієнтир незалежно від галузі, розміру чи юрисдикції компанії. Однак, в першу чергу, NIS2 націлений на критичні та важливі підприємства, які мають обов’язок його дотримуватися. Для цього документ містить досить деталізовану систему критеріїв, серед яких:

1. Форма власності та розмір компанії

NIS2 прямо зазначає, що її дія поширюється, як на публічні, так і на приватні підприємства середнього розміру та ті, що його перевищують. Відповідно до положень  EU Recommendation 2003/361/EC можемо дійти висновків, що NIS2 поширюється на компанії, які мають:  

від 50 працівників

або 

від 10 млн євро річного обороту 

або 

від 10 млн євро у формі активів.

Розгляньмо декілька прикладів для кращого уявлення цього критерію. 

Приклад 1. Датацентр, що надає послуги з хостингу вебсайтів, має 15 працівників, оборот та матеріальну базу в межах 2 млн євро. 

Приклад 2. Датацентр, що надає технічну базу для розвитку малих проєкт. Має обладнання на суму понад 15 млн євро зі штатом у 25 осіб.

Приклад 3. Світова корпорація, що є постачальником послуг зі зберігання та обробки інформації, хмарних обчислень та інших мережевих сервісів. Є найбільшим постачальником в регіоні та нараховує понад 200 працівників.

Якщо розглядати ситуації у вакуумі, то лише приклад номер 1 автоматично не підпадатиме під дію директиви. Адже тільки у першому випадку розмір підприємства не відповідає середній компанії по всім критеріям. Забігаючи наперед, можемо залишити натяк, на існування виключень, які поширюють дію положень і на менші підприємства залежно від їх галузі та позиції на локальному ринку, роль для суспільства. 

Якщо ми трохи змінимо умови та скажемо, що невеликий датацентр є єдиним постачальником подібних послуг на локальному рівні, що обслуговує місцеві державні установи, заклади охорони здоров’я або інші критичні підприємства. Таким чином важливість малого датацентру буде значно вищою за попередній варіант. Відповідно NIS2 буде застосований, як до єдиного постачальника критично важливих послу в регіоні.

2. Галузь діяльності

Ключовим джерелом інформації для визначення даного критерію є додатки І та II до директиви, які своєю чергою визначають критичні та важливі сектори. Тобто, мова про підприємства, робота яких прямо впливає на ключові процеси на локальному, регіональному або державному рівні. Різниця між критичними та важливими галузями полягає у ступені потенційної шкоди, що віддзеркалюється у рівні державного контролю та санкціях за порушення.    

  На цьому етапі ми не будемо розділяти галузі за важливістю, адже базові вимоги директиви є тотожними в обох випадках. Тому, для нас ключовим буде факт важливості для суспільства. Додатки I та II надають детальний перелік, але для формування уявлення про галузі атака на які може спричинити значні негативні наслідки, можемо згадати енергетику, транспорт, логістику, охорону здоров’я, цифрові послуги (DNS, дата-центри, хмарні сервіси, соцмережі), фінансовий сектор, поштові послуги, виробництво критичних продуктів.

Щодо виключень, то також враховується наявність додаткових характеристик, які вказують на критичний характер незалежно від розміру. Досить часто подібні характеристики є оцінювальними та мають визначатися на конкретних випадках. 

Такою характеристикою, наприклад, є важливість для суспільства. Це досить гнучкий показник що заснований на впливі підприємства на публічну безпеку, економіку чи здоров’я. Певною мірою сюди ж можливо віднести й регіональну або національну критичність, яка стосується не стільки матеріальної шкоди, скільки забезпечення функціонування базових потреб суспільства.  Інший кейс стосується єдиних постачальників критичної послуги в країні. Досить часто мова йде про послуги, які не набули масового поширення, але вже стали важливими для суспільства. Так, попри свій розмір підприємство стає монополістом у своїй ніші. Поряд з оцінювальними характеристиками, передбачені види діяльності на які завжди розповсюджується  NIS2. До них відносять Trust service providers, DNS, TLD registries, доменні реєстратори. Далі розглянемо пару кейсів. 

Приклад 1: Маленький IT стартап, що надає послуги з електронного підпису та валідації сертифікатів. Є виключенням, як постачальник послуг з валідації та накладання цифрового підпису, які є ключовими для договірної та фінансової діяльності (Trust service providers). 

Приклад 2: Приватна мережа медичних лабораторії, що надає послуги приватним клінікам у регіоні. Має підвищену важливість для регіону та може стати джерелом значної шкоди у разі зміни чи пошкодження медичних даних пацієнтів та поширення хибних результатів досліджень.

3. Юрисдикція

По аналогії з GDPR, NIS2 поширює свою діяльність на території країн Європейського союзу та на нерезидентів, що здійснюють свою діяльність в межах ЄС. Таким чином критичні та важливі компанії не зареєстровані в ЄС потенційно можуть підпадати під дію директиви, надають сервіси на території країн учасників. Найбільш наочним прикладом є сервіси, що забезпечують функціонування інтернет мереж (DNS, TLD, Доменні імена), які не мають територіальних обмежень та є неодмінна (умова) частиною маршрутизації у сучасних інформаційних системах. Ще одним гарним прикладом є дата центри, що фізично знаходяться за межами юрисдикції, але надають обчислювальні можливості для європейських сервісів та баз даних. Відповідно, важливо враховувати не тільки місце реєстрації підприємства, але і локалізацію клієнтської бази та вплив сервісу на відповідних територіях.  

Які вимоги ставить перед підприємствами NIS2?

Директива сама по собі не надає жорстких механізмів чи конкретних технологій. Натомість директива встановлює вектор для підприємств на підвищення інформаційної безпеки, контроль ризиків, опрацювання заходів інформаційної безпеки. Для цього директива посилається на актуальні галузеві стандарти, нормативні акти та позитивні практики з кібербезпеки.  Вимоги стосуються різних аспектів діяльності серед яких:

• Заходи з підвищення та підтримання кваліфікації. Передбачають підвищення навичок у галузі кібербезпеки для керівництва підприємства, а також їх підвищення відповідно до актуальних тенденцій.
• Поточний контроль та планування заходів кібербезпеки. Моніторинг поточного стану кібербезпеки в компанії та формування стратегії подальшого розвитку та масштабування.
• Рівень кваліфікації персоналу. Впровадження регулярних тренінгів та курсів з метою підвищення кваліфікації персоналу, приділення додаткової уваги ключовим посадам та спеціалістам.
• Аналіз ризиків та безпека інформаційних систем. Реалізація поточного контролю ризиків, розробка механізмів протидії та попередження негативних подій.
• Менеджмент негативних подій. Проведення практичних заходів з метою підготовки до імовірних негативних подій. Розробка тригерів та методик виявлення загроз, відпрацювання алгоритмів перших 24-х годин та оптимізація процесів відновлення системи.
• Резервування та відновлення ключових систем. Розробка та імплементація топології здатної витримати надлишковий рівень навантаження, а також механізми оперативного відновлення в разі ушкодження даних чи обладнання. 
• Механізм захисту інформації. Використання безпечних каналів передачі даних, шифрування інформації та розподіл доступу до інформації відповідно до потреб персоналу та інші системи протидії безконтрольному доступу до інформації.
• Звітування про негативні події та їх наслідки. Алгоритм взаємодії зі спеціалізованими органами та звітування на різних етапах негативних подій.
• Взаємодія з контрагентами та третіми сторонами, які мають доступ до ключових систем. Збереження рівня інформаційної безпеки та контроль ризиків у зв’язку з взаємодії з третіми особами, а також в разі надання доступу до ключових систем підприємства. 

Таким чином директива намагається всебічно підійти до питання інформаційної безпеки та  її інтеграції на рівні структури процесів підприємства. Значна кількість важливих аспектів загострює потребу у чітких механізмах оцінки відповідності та планах впровадження. Тонкощі ж полягають в інтеграції контролю, попередження та протидії ризикам у бізнес-процеси без створення громіздкої надбудови, що сповільнює та заважає роботі. Тому, для оптимізації,  використання позитивної практики та стандартів стає необхідністю, а не рекомендацією.

Які потенційні наслідки в результаті недотримання NIS2?

Ми частково торкалися тези, що для не критичних чи важливих підприємств NIS2 може бути гарним гайдом, на який можливо орієнтуватися при побудові системи підприємства. Однак, з іншого боку, вимоги до критичних та важливих підприємств мають обовʼязковий характер. Директива містить ряд підстав, які передбачають накладання санкцій, як на підприємство, так і безпосередньо на їх керівників. На критичних юридичних осіб, потенційно, може бути накладено штраф у розмірі до €10 млн або 2% від річного обороту, тоді як на важливих граничний розмір санкцій сягає €7 млн або 1,4% обороту.

Щодо фізичних осіб то накладання санкцій відповідальних осіб передбачається, проте їх обсяг та характер чітко не закріплений. У такий спосіб  відповідальність можлива згідно з локальним законодавством. Відповідно санкції можуть призначатися в контексті адміністративної, кримінальної або відповідальності для державних службовців.

Хоча ми маємо інформацію про граничний розмір санкцій ми не маємо нижньої межі. Таким чином, можливі випадки, коли санкції не будуть накладені у разі відсутності вини з боку підприємства. Тобто, накладання санкцій буде ґрунтуватися на тому, чи відповідали системи інформаційної безпеки вимогам, чи були виконані всі дії, які залежали від ключового персоналу та керівництва, чи були проінформовані відповідні органи у відведений для цього період часу, чи були усунуті вразливості та мінімізовані негативні наслідки. Наприклад, гарним прикладом є ураження нульового дня. Логічно, що інтегрувати алгоритми протидії можливо лише проти відомих загроз, а загальні рекомендації та практики можуть не враховувати специфіку ще не досліджених вразливостей. За такого сценарію в разі дотримання всіх вимог директиви, стандартів, як ISO/IEC 27001 та сталої позитивної практики з кібербезпеки підприємство виконало всі заходи, які від неї залежали.  Штрафні санкції створені з метою гарантувати сумлінного дотримання вимог інформаційної безпеки. Тобто важливою є кореляція між негативними наслідками та неналежним виконанням обовʼязків. В цьому контексті, також, варто зазначити й про паралельну дію NIS2 та GDPR. Обидва нормативні акти торкаються теми інформаційної безпеки та протидії негативним подіям, але мають ключову відмінність. В першому випадку головною метою є забезпечення функціонування підприємств у критичних та важливих галузях, захист мереж від зовнішнього протиправного впливу та уникнення шкоди суспільству. У другому випадку акцент на безпеку персональних даних, наслідках для користувачів та правилах поводження з чутливими даними. Відповідно, можливі сценарії порушення GDPR, але не NIS2. Наприклад неправомірне використання персональних даних самим керівництвом підприємства, буде лише порушенням GDPR. У зворотній ситуації атака на контролери транспортної мережі не повʼязані із персональними даними, чи доступом до них підпадатиме до NIS2. Більш цікавлю є ситуація подвійного порушення. В такому випадку фінансові штрафні санкції не будуть дублюватися, але заходи не монетарного характеру можуть бути накладені додатково.   

Висновки

Дія NIS2 поширюється на підприємства розміру, галузі діяльності, а також вплив на безпеку та суспільні процеси. Однак малі компанії можуть підпадати під дію NIS2, якщо вони є єдиними постачальниками критично важливих послуг у регіоні або здійснюють діяльність, прямо віднесену до сфери дії директиви.

NIS2 поширюється не лише на компанії з ЄС, але й на іноземні підприємства, якщо їхні сервіси використовуються на території Союзу 

Підприємства мають обовʼязок з імплементації системи управління кіберризиками: навчання керівництва і персоналу, планування та моніторинг, управління інцидентами, резервування систем, безпечний обмін даними, взаємодію з третіми сторонами та звітування про інциденти.

За невиконання вимог NIS2 передбачено, як монетарні штрафи для підприємств, так і керівники можуть нести особисту відповідальність.

GDPR і NIS2 працюють паралельно, але мають різні акценти: захист персональних даних (GDPR) проти захисту критичної інфраструктури (NIS2). У випадку подвійного порушення штрафи не дублюються, однак можливі додаткові немонетарні заходи.