Закон про імплементацію NIS2 - огляд

Із прийняттям NIS2Um­suCG з’явилася можливість відповісти на багато питань, які тривалий час турбували операторів критичної інфраструктури та відповідні установи. З юридичної точки зору, ядром ухваленого закону є комплексна редакція Закону про BSI (BSIG), тому правознавці посилаються на відповідні параграфи (§) саме у BSIG. Для полегшення читання у цій статті ми відносимо розділи безпосередньо до NIS2Um­suCG.   

Огляд NIS2UmsuCG (Закон про імплементацію NIS2) 
Статус: грудень 2025 року

27 грудня 2022 року в Офіційному журналі Європейського Союзу було опубліковано Директиву NIS2 («Директива про мережеву та інформаційну безпеку»). Вона набула чинності 16 січня 2023 року. Європейська комісія визначила загрозу безпеці критичної інфраструктури від фізичних та кібератак як один із чотирьох головних ризиків для європейської економіки. Тому підвищення стійкості економіки до небезпек, спричинених злочинними або державними атаками, є центральним завданням для суб'єктів державного, економічного та суспільного секторів.

Набрання чинності NIS2UmsuCG у грудні 2025 року знаменує собою глибоку зміну парадигми в німецькому праві щодо ІТ-безпеки.

Тепер можна надати обов'язкові відповіді на важливі запитання:

• Які сектори та установи підпадають під дію закону?
• Компанії якого розміру охоплені регулюванням?
• Наскільки конкретними будуть вимоги до технічних та організаційних заходів?
• Якими будуть штрафи та відповідальність керівництва у разі інцидентів?
•  ... 

Німеччина суттєво перевищила загальноєвропейський термін імплементації Директиви NIS2, який спочатку був встановлений на жовтень 2024 року.

На кого поширюється дія Закону про імплементацію NIS2?

Новий режим BSIG суттєво розширює коло регульованих компаній. У майбутньому під дію закону підпадатимуть не лише оператори критичної інфраструктури (KRITIS), компанії, що становлять особливий суспільний інтерес, та постачальники цифрових послуг, а й нові категорії — «особливо важливі установи» та «важливі установи».

• З одного боку, це компанії із секторів «особливо важливих» та «важливих» об'єктів: енергетика, транспорт та перевезення, фінанси, охорона здоров'я, водопостачання та водовідведення, цифрова інфраструктура та космос.
• З іншого боку, компанії із секторів «важливих» об'єктів: поштові та кур'єрські послуги, управління відходами, виробництво, виготовлення та торгівля хімікатами, виробництво, переробка та розповсюдження продуктів харчування, промислове виробництво товарів, постачальники цифрових послуг та наукові дослідження.

Проте компанії, що працюють у цих секторах, не підпадають під дію закону автоматично. Відповідно до статті 28 NIS2UmsuCG, поділ на «особливо важливі» та «важливі» суб'єкти залежить від кількості працівників та фінансових показників (правило обмеження за розміром / size-cap rule):

• Особливо важливі установи — це компанії із секторів, перелічених у Додатку 1, які мають понад 250 працівників АБО понад 50 млн євро річного обороту та річний баланс понад 43 млн євро. Кваліфіковані постачальники довірчих послуг, постачальники доменів верхнього рівня, DNS-провайдери, телекомунікаційні провайдери та оператори критичних об'єктів також класифікуються згідно з особливими правилами.
• Важливі установи — це компанії із секторів, перелічених у Додатку 1 та Додатку 2, які мають понад 50 працівників АБО понад 10 млн євро річного обороту та понад 10 млн євро річного балансу. Довірчі послуги та телекомунікаційні провайдери також підпадають під дію спеціальних положень.

Оцінка впливу NIS2, проведена Федеральним відомством з безпеки інформаційних технологій (BSI), дозволяє пройти первинну перевірку за кілька кроків. Варто враховувати, що компанії у критичних ланцюгах постачання також можуть бути опосередковано зобов'язані впроваджувати заходи, релевантні NIS2, незалежно від їхнього розміру.

Які зобов'язання мають охоплені організації?

NIS2UmsuCG приписує широкий спектр відповідних, пропорційних та ефективних технічних і організаційних заходів, які тісно узгоджуються з міжнародними стандартами, такими як ISO 27001. До основних обов'язків належать:

• Систематичне управління ризиками інформаційної безпеки.
• Аналіз ризиків та розробка концепцій безпеки.
• Управління інцидентами.
• Управління безперервністю бізнесу та аварійне планування.
• Рішення для резервного копіювання та шифрування.
• Перевірки безпеки ланцюга постачання (supply chain security).
• Заходи з навчання та підвищення обізнаності працівників.
• Регулярні аудити та інспекції.

Метою цих технічних та організаційних заходів є запобігання порушенням доступності, цілісності та конфіденційності ІТ-систем, компонентів та процесів, які використовуються відповідними установами для надання послуг. Крім того, надзвичайно важливою економічною метою є мінімізація наслідків інцидентів безпеки.

Які обов'язки щодо звітності встановлені Законом про імплементацію NIS2?

Стаття 32 передбачає запровадження трирівневої системи звітності. У разі виникнення значного інциденту безпеки охоплені компанії зобов'язані:

• негайно, але не пізніше ніж протягом 24 годин з моменту виявлення інциденту, подати первинний звіт (попередження) до об'єднаного офісу звітності Федерального відомства з безпеки інформаційних технологій (BSI) та Федерального відомства цивільного захисту та допомоги при стихійних лихах (BBK).
• протягом 72 годин підтвердити або оновити цей звіт, доповнивши його попередньою оцінкою ступеня тяжкості та наслідків інциденту.
• не пізніше ніж через один місяць після подання повідомлення про інцидент надати остаточний звіт, у якому детально описати подію та розкрити її причини.

Якщо інцидент безпеки триває понад один місяць, необхідно подавати проміжні звіти про хід вирішення ситуації.

Якою є структура положень про штрафи?

Будь-хто, хто навмисно або з необережності порушує вимоги NIS2, не вживає необхідних заходів або вживає їх неналежним чином, не в повному обсязі чи несвоєчасно, вчиняє адміністративне правопорушення згідно зі Статтею 65. Адміністративні правопорушення, детально перелічені в цій статті, караються штрафами. Санкції за них накладаються подібно до порушень Загального регламенту про захист даних (GDPR).

Верхні межі штрафів становлять до 10 млн євро для особливо важливих установ або до 2% від річного обороту для установ із річним оборотом понад 500 млн євро. Як і у випадку з GDPR, вищезгадані адміністративні правопорушення напевно не будуть каратися негайно після набрання законом чинності. Проте кожен, хто навмисно або з необережності порушуватиме закон у наступні роки після набрання ним чинності, може бути підданий штрафним санкціям.

Що повинні зробити охоплені компанії?

Відповідно до Статті 33, будь-які зобов’язання щодо реєстрації поширюються на «особливо важливі установи», «важливі установи» та певних постачальників послуг, які зобов’язані зареєструватися не пізніше ніж через три місяці після набрання чинності новим законом, після того як вони вперше або повторно будуть віднесені до однієї із зазначених установ або почнуть надавати певні послуги. Таким чином, завчасне визначення статусу організації як охопленого суб’єкта та реєстрація відповідно до законодавчих вимог є пріоритетним завданням.

Як досягти відповідності вимогам NIS2?

Єдиного «правильного» шляху не існує! Підхід залежить від розміру компанії, наявних ресурсів та інших міркувань. У принципі, доцільно розглянути відповідні методи управління ризиками у сфері інформаційної безпеки. Посилання на сучасний рівень розвитку техніки, а також на європейські чи міжнародні стандарти визначає подальший напрямок дій, яким мають зайнятися відповідні організації.

Базуючись на нашому досвіді, ми можемо підтвердити твердження, що впровадження системи управління інформаційною безпекою відповідно до міжнародного стандарту ISO 27001 є надійною відправною точкою для ефективної імплементації технічних та організаційних заходів згідно зі Статтею 30, пунктом 1.

Чи вимагає NIS2 сертифікації за стандартом ISO 27001?

Ні. Настанова NIS2 не вимагає сертифікації і не є юридично обов'язковим доказом відповідності. Важливо чітко розрізняти правові вимоги NIS2UmsuCG і технічні та організаційні заходи системи управління інформаційною безпекою. Однак: ISO 27001 описує багато структур і процесів, які мають відношення до впровадження NIS2. Однак, він не замінює виконання конкретних законодавчих вимог. Компанії повинні продовжувати самостійно перевіряти та виконувати свої відповідні зобов'язання перед органами влади.

Коротше кажучи, стандарт ISO 27001 охоплює значну частину технічних та організаційних вимог NIS2 і, завдяки практичному Додатку А, забезпечує міцну основу для виконання вимог щодо відповідності. Незалежно від NIS2UG, організації, які демонструють відповідність стандарту, також посилають сильний сигнал довіри органам влади, діловим партнерам і клієнтам.

Чи вимагає NIS2 сертифікації за стандартом ISO 27001?

Ні. Директива NIS2 не вимагає обов'язкової сертифікації, і вона не є юридично обов'язковим доказом відповідності. Важливо чітко розрізняти законодавчі вимоги NIS2UmsuCG та технічні й організаційні заходи системи управління інформаційною безпекою. Проте: ISO 27001 відображає багато структур і процесів, які є релевантними для імплементації NIS2. Водночас він не є заміною для опрацювання конкретних юридичних вимог. Компанії повинні продовжувати самостійно перевіряти та виконувати свої відповідні зобов'язання перед органами влади.

Коротко кажучи: ISO 27001 охоплює значну частину технічних та організаційних вимог NIS2 і завдяки своєму практичному Додатку А (Annex A) створює солідну базу для виконання вимог щодо відповідності. Незалежно від NIS2UG, організації, які демонструють відповідність стандарту, також подають потужний сигнал довіри органам влади, діловим партнерам та клієнтам.   

Закон про імплементацію NIS2 — Висновок

За оцінками Європейського центрального банку, збитки від кібератак у всьому світі обчисляються тризначними сумами в мільярдах доларів на рік, причому значна частка цих витрат припадає на Європу. Ситуація з кіберзагрозами суттєво змінилася і завдає величезних економічних збитків. У зв’язку з повсюдним використанням хмарних сервісів організації опинилися в умовах складного технологічного переходу.

З цих та інших причин Парламент і Рада Європейського Союзу ухвалили Директиву NIS2 для регулювання комплексної кібербезпеки в Європейській економічній зоні. Метою Директиви NIS2 є забезпечення високого спільного рівня кібербезпеки в Європейському Союзі. Ціль полягає у встановленні всебічного та сталого економічного захисту, який включає не лише технічні заходи, пов'язані з ІТ, а й плани з мінімізації ризиків у сферах організації та персоналу.

Набрання чинності NIS2UmsuCG 6 грудня 2025 року стало важливою віхою для кібербезпеки в Німеччині. Стаття 30 NIS2UG посилається на технічні та організаційні заходи, які значною мірою перетинаються за змістом із міжнародно визнаним стандартом ISO 27001. Впровадження та реалізація системи управління інформаційною безпекою відповідно до відомого стандарту ISO, безсумнівно, забезпечує надійний і сталий фундамент для підтвердження відповідності вимогам закону.

З DQS ви в надійних руках

Наші сертифікаційні аудити забезпечать вам ясність. Цілісний, нейтральний зовнішній погляд на людей, процеси, системи та результати показує, наскільки ефективною є ваша система менеджменту, як вона впроваджується та контролюється. Для нас важливо, щоб ви сприймали наш аудит не як перевірку, а як збагачення вашої системи менеджменту.

Наш підхід завжди починається там, де закінчуються контрольні списки аудиту. Ми спеціально запитуємо «чому», оскільки прагнемо зрозуміти причини, з яких ви обрали саме той чи інший спосіб впровадження. Ми зосереджуємося на потенціалі для вдосконалення та заохочуємо до зміни перспективи. Таким чином ви виявляєте варіанти дій, за допомогою яких можете безперервно покращувати свою систему управління.

DQS проводить всі сертифікації компетентно, об'єктивно, нейтрально і неупереджено. Як доказ, національні органи з акредитації щороку проводять численні акредитаційні аудити та спостережні аудити в DQS. Ви можете дізнатися більше про це в нашій філософії аудиту.

Довіра та досвід

Наші статті та технічні документи написані виключно нашими експертами зі стандартів або аудиторами з багаторічним стажем. Якщо у вас виникли запитання щодо змісту тексту або наших послуг до нашого автора, будь ласка, надішліть нам листа на електронну адресу: [email protected].

Примітка: Для кращої читабельності ми використовуємо загальний чоловічий рід. Однак директива включає в себе осіб усіх гендерних ідентичностей, якщо це необхідно для викладу.