Чи можуть оборонні компанії бути essential entities за директивою NIS2

Що таке директива NIS2 та кого вона регулює

Відповідність високим стандартам інформаційної безпеки поступово стає базовою вимогою для будь-якого бізнесу, що працює з цифровими системами. Саме з цією метою Європейський Союз ухвалив Директиву (ЄС) 2022/2555, більш відому як NIS2 Directive. 

Ця директива є оновленою версією попереднього регулювання з кібербезпеки. Її основним завданням є забезпечення більш узгодженого підходу до кібербезпеки в державах-членах ЄС та встановлення конкретних вимог до організацій, діяльність яких може впливати на стабільність критичної інфраструктури. Йдеться, зокрема, про впровадження систем управління кіберризиками, належне реагування на кіберінциденти та контроль безпеки в межах ланцюгів постачання. 

Крім цього, Директива NIS2 розширила коло суб’єктів, на яких поширюється регулювання, а також ввела нову класифікацію організацій, таку як essential entities (критично важливі суб’єкти) та important entities (важливі суб’єкти).

Поняття essential entities у Директиві NIS2

Згідно зі статтею 3 Директиви NIS2, суб’єкти, на яких поширюється її дія, поділяються на дві основні категорії:

• essential entities (критично важливі суб’єкти)

• important entities (важливі суб’єкти).

Поняття essential entities є одним із ключових елементів регуляторної моделі директиви NIS2. До цієї категорії належать організації, діяльність яких має критичне значення для функціонування економіки та суспільства, а отже, потребують підвищеного рівня кіберзахисту та більш інтенсивного державного нагляду.

До категорії критично важливих суб’єктів насамперед належать організації, що здійснюють діяльність у секторах енергетики, транспорту, банківської діяльності, інфраструктури фінансових ринків, охорони здоров’я, водопостачання, цифрової інфраструктури та космічного сектору, за умови, що вони перевищують критерії середнього підприємства. Середнім підприємством вважається компанія, яка має менше 250 працівників та річний оборот до 50 млн євро або баланс активів до 43 млн євро.

Проте директива робить і винятки з цього правила. Зокрема, окремі категорії суб’єктів можуть бути віднесені до essential entities незалежно від їх розміру, якщо їх діяльність має ключове значення для функціонування цифрової інфраструктури. До таких суб’єктів належать, кваліфіковані постачальники довірчих послуг (Qualified Trust Service Providers), оператори реєстрів доменів верхнього рівня (Top-Level Domain Registries) та постачальники DNS-послуг (DNS Service Providers).

Також до категорії essential entities можуть бути віднесені окремі органи публічної адміністрації, якщо їх діяльність має суттєве значення для забезпечення безперервності державних сервісів або функціонування критично важливих інформаційних систем.

Чому defence-сектор прямо не включений до NIS2

На перший погляд може здатися дивним, що серед визначених секторів немає жодної згадки про оборонну чи військову сферу. Це пояснюється тим, що національна безпека залишається виключною відповідальністю держав-членів. Питання оборони та військової безпеки переважно регулюються національним рівнем, а не законодавством ЄС. Також у преамбулі Директиви підкреслюється, що її положення не повинні впливати на компетенцію держав-членів у сфері національної безпеки та оборони. 

Стаття 2(7) Директиви NIS2 передбачає, що її положення не застосовуються до органів публічної адміністрації, які здійснюють діяльність у сферах національної безпеки, громадської безпеки, оборони або правоохоронної діяльності, включаючи запобігання, розслідування, виявлення та переслідування кримінальних правопорушень.

Стаття 2(8) Директиви NIS2 надає державам-членам можливість звільняти окремі види діяльності або послуг, пов’язаних із національною безпекою чи обороною, від певних обов’язків директиви. 

Як наслідок, виникає питання: чи можуть оборонні компанії підпадати під дію NIS2, чи все ж вони залишаються поза сферою дії цієї директиви?

По-перше, NIS2 не автоматично виключає суб’єктів, діяльність яких пов’язана з обороною або безпекою. Директива лише надає державам-членам можливість застосовувати відповідні винятки, тому питання поширення її вимог на оборонні організації значною мірою залежить від національного законодавства.

По-друге, класифікація суб’єктів у NIS2 ґрунтується не на галузевій належності компанії, а на характері її діяльності та ролі у функціонуванні критичної інфраструктури. Саме тому окремі приватні оборонні компанії можуть потенційно підпадати під сферу застосування директиви, навіть попри відсутність прямої згадки оборонного сектору. Зокрема, частина оборонних підприємств може здійснювати діяльність у секторах, прямо передбачених директивою. У таких випадках визначальним фактором стає не оборонний характер компанії, а функціональна роль її продуктів або послуг у відповідному секторі критичної інфраструктури.

Коли оборонні компанії можуть підпадати під категорію essential entities

Хоча оборонний сектор прямо не згадується в списку галузей Директиви NIS2, це зовсім не означає, що оборонні компанії автоматично не підпадають під її дію. 

Оборонні компанії можуть підпадати під сферу застосування NIS2 або національного законодавства, що її імплементує, а в окремих випадках можуть бути класифіковані як essential entities, якщо виконуються певні умови.

По-перше, якщо її діяльність напряму пов’язана з визначеними секторами, наприклад, космосом, цифровою інфраструктурою чи послугами електронного зв’язку, від яких залежить робота держави чи економіки. 

Інший можливий сценарій пов’язаний із національною імплементацією директиви, адже держави-члени мають право самостійно розширювати перелік суб’єктів, які вважаються критично важливими. 

Чеська Республіка, яка була серед перших держав Європейського Союзу, що прийняли спеціалізоване законодавство у сфері кібербезпеки, наразі переглядає його у зв’язку з імплементацією NIS2. Під час підготовки нового законопроєкту національний регулятор дійшов висновку, що зміни, необхідні для виконання вимог директиви, є настільки суттєвими, що доцільно прийняти нову редакцію закону.

У проєкті нового закону оборонна промисловість прямо згадується серед секторів, на які поширюються вимоги кібербезпеки. В тому числі зазначається, що підприємства повинні дотримуватися вимог нового законодавства у випадках, коли вони займаються виробництвом військової техніки або здійснюють торгівлю військовим обладнанням. При цьому передбачено диференційований режим обов’язків. Великі підприємства зобов’язуються виконувати більш суворі вимоги, тоді як для середніх компаній встановлюється спрощений режим.

Як висновок, чеська модель демонструє підхід, за якого оборонна промисловість прямо інтегрується до системи кіберрегулювання, пов’язаної з NIS2. У результаті значно розширюється коло суб’єктів, що підпадають під вимоги кібербезпеки.

Показовим прикладом є також Литва, яка своєчасно ухвалила національний акт імплементації NIS2. Формально новий режим базується на вже існуючому Законі про кібербезпеку, який був адаптований до вимог директиви.

Литовська модель передбачає функціональний підхід до визначення суб’єктів регулювання. Закон застосовується до підприємств, які виконують функції, пов’язані з національною безпекою, такі як надання послуг, пов’язаних з мобілізаційною готовністю, або вироблення продукції, необхідної для забезпечення безпеки держави. У цьому випадку оборонні компанії потрапляють під дію кіберзаконодавства не через формальну належність до певного сектору, а через значення їх діяльності для функціонування державних систем безпеки.

У литовській моделі саме державні органи визначають, які компанії мають стратегічне значення, і включають їх до переліку суб’єктів, що підлягають регулюванню. Національні органи влади ідентифікують компанії, які мають стратегічне значення, і включають їх до переліку суб’єктів, що підлягають регулюванню.

Велику роль відіграють і технології подвійного призначення. Багато того, що роблять в оборонному секторі, наприклад, супутниковий зв’язок, software для управління інфраструктурою, засоби кіберзахисту, може використовуватися і в цивільному житті. Якщо ці технології належать до секторів енергетики, транспорту, фінансів чи державних цифрових сервісів, компанія може потрапляти під NIS2, навіть якщо основна частина її замовлень належить до оборонної сфери.

Таким чином, вирішальним фактором є функціональне значення технологій або послуг компанії для критично важливих секторів економіки.

Висновки: чи можуть оборонні компанії бути essential entities

Коротка відповідь – так, можуть, але не в усіх випадках.

Хоча оборонний сектор прямо не включений до переліку галузей директиви NIS2, окремі компанії можуть бути класифіковані як essential entities, якщо їх діяльність фактично пов’язана з критичною інфраструктурою або з секторами, визначеними у директиві.

Кожну оборонну компанію варто розглядати індивідуально. Регулятор дивиться на компанію не лише з точки зору її назви, а й на те, що саме вона виробляє, кому це продає і чи торкається продукція критичної інфраструктури країни. 

Тому для фінального рішення щодо визначення класифікації варто зробити точну перевірку саме під конкретну компанію і країну. Такий аналіз дозволяє зрозуміти реальні обов’язки компанії та уникнути ситуацій, коли компанія або недооцінює свої регуляторні ризики, або, навпаки, бере на себе непотрібні зобов’язання.