NIS2 та кібербезпека: що змінює нова директива ЄС для IT-підрядників

У жовтні 2024 року набрала чинності Директива ЄС NIS2, яка суттєво розширює коло суб’єктів, зобов’язаних дотримуватися вимог кібербезпеки. Для українських компаній, що надають послуги замовникам з ЄС, NIS2 стає практичним орієнтиром.

Кого стосується NIS2

NIS2 охоплює «важливі» та «суттєві» суб’єкти в 18 секторах: енергетика, транспорт, охорона здоров’я, цифрова інфраструктура, хмарні провайдери, виробництво та інші. IT-підрядники, що обслуговують ці сектори, потрапляють під дію директиви через вимоги до ланцюга постачання.

Ключові вимоги

NIS2 зобов’язує впровадити управління ризиками кібербезпеки, повідомляти про інциденти протягом 24 годин, забезпечити безперервність бізнесу та план відновлення, оцінювати ризики в ланцюзі постачання та навчати персонал питанням кібергігієни.

Zero Trust як архітектурна відповідь

Zero Trust архітектура — «не довіряй нікому за замовчуванням» — є одним з найефективніших підходів до виконання вимог NIS2. Вона включає мікросегментацію мережі, багатофакторну автентифікацію (MFA), мінімальні привілеї доступу та постійний моніторинг поведінки користувачів.

Data Act: паралельний контекст

Разом з NIS2 набирає ваги Регламент ЄС про дані (Data Act), що регулює умови доступу до даних, згенерованих IoT-пристроями. Для підрядників це вимоги до портабельності даних та заборона vendor lock-in.