Авторка: Надія Ісаєва, молодша технічна спеціалістка у CoreWin
Як ми знаємо є безліч стандартів, як от ISO/IEC 27001, які гарантують безпеку IT-середовища. Особливо важливими є законодавчі вимоги з кібербезпеки для виходу на міжнародний ринок, а для цього необхідно дотримуватись таких вимог як NIST CSF, NIS2, SOC 2, DORA, CCPA тощо. У Європі особливу увагу приділяють захисту персональних даних та кіберстійкості критичних підприємств, що регулюються такими актами, як GDPR та NIS2.
Сьогодні поговоримо про директиву NIS2.
Що таке NIS2?
NIS2 – це нормативний акт ЄС, спрямований на покращення кібербезпеки в критичних галузях. Він базується на оригінальній Директиві NIS і запроваджує суворіші вимоги до управління ризиками, звітності про інциденти та безпеки ланцюга постачання. NIS2 є юридичною вимогою та стосується ширшого кола секторів. Директива охоплює енергетику, транспорт, охорону здоров’я, цифрові та фінансові послуги.
27 березня 2025 року Верховна Рада України ухвалила у другому читанні законопроєкт №11290, спрямований на реформування національної системи кіберзахисту. Цей крок є частиною зусиль України щодо гармонізації свого законодавства з європейськими стандартами, зокрема з Директивою NIS2 Європейського Союзу.
Ця директива вимагає від організацій, що надають критично важливі послуги, впровадження стратегій та управління кібербезпекою для протидії кіберзагрозам. Це охоплює заходи з управління ризиками, управління інцидентами та співробітництво між різними суб’єктами.
Впровадження положень NIS2 в українське законодавство є частиною зобов’язань України в рамках програми ЄС Ukraine Facility Plan, за якою країна отримує €50 млрд допомоги в обмін на проведення реформ, включаючи реформу кіберзахисту. Це сприятиме підвищенню стійкості критичної інфраструктури та забезпеченню більш надійного захисту від кіберзагроз.
Пропоную розглянути переваги та недоліки впровадження цієї системи для України.
Переваги та недоліки NIS2 в українських реаліях
| Переваги | Недоліки |
| Підвищення кіберстійкості критичної інфраструктури Впровадження NIS2 сприятиме зміцненню захисту від кіберзагроз для ключових секторів економіки. | Високі витрати на впровадження Компаніям доведеться інвестувати значні ресурси у модернізацію систем безпеки та відповідність новим вимогам. |
| Уніфікація стандартів кібербезпеки Директива встановлює єдині правила для всіх учасників, що сприяє посиленню загального рівня безпеки. | Складність адаптації для малого та середнього бізнесу Малі підприємства можуть постати перед труднощами виконання вимог через обмежені ресурси. |
| Покращення міжнародної співпраці Україна зможе ефективніше співпрацювати з країнами ЄС у сфері кібербезпеки. | Необхідність змін у законодавстві Потрібна адаптація національного законодавства до вимог директиви, що може бути тривалим процесом. |
| Підвищення довіри до цифрових послуг Відповідність NIS2 може зміцнити довіру користувачів до українських цифрових сервісів. | Ризик санкцій за невиконання Недотримання вимог директиви може призвести до значних штрафів та інших санкцій. |
| Покращення управління ризиками Директива вимагає впровадження систем управління ризиками, що сприятиме проактивному підходу до безпеки. | Потреба в навчанні персоналу Необхідно забезпечити належний рівень обізнаності та підготовки співробітників щодо нових вимог. |
Яке рішення обрати?
Щодо рішення яке може покрити цю директорію. Якогось конкретного рішення NIS2 не вимагає. Ця директива дає можливість адаптувати рішення під свої реалії та використовувати як локальні, так і Європейські технології. Все залежить від специфіки бізнесу та рівня ризиків, які потрібно покрити.
Пропоную розглянути варіант для фінансових установ та органів державної влади.
Для цих установ можемо запропонувати рішення PAM та DLP.
| PAM (Privileged Access Management) – керування привілейованими пристроями. | DLP (Data Loss Prevention) – захист від витоку даних. | |
| Що це? | Контроль над користувачами з високими правами доступу. | Система, яка виявляє, моніторить і блокує несанкціоновану передачу конфіденційної інформації. |
| Для чого? | Запобігти зловживанню привілеями; контроль дій у критичних системах; аудит доступу до сесій. | Запобігає витоку даних (електронною поштою, USB, хмарні сервіси); виявляти порушення політик зберігання даних. |
| Чим допоможе для NIS2? | Відповідає вимогам управління доступу і контролю привілейованих дій, які прямо зазначені у NIS2. | Контроль передачі даних, моніторинг витоку конфіденційної інформації, налаштування політик. |
| Кому критично? | Фінансові установи; критична інфраструктура; ІТ-компанії з високим рівнем доступу до даних. | Медичні заклади; органи державної влади; телеком; бізнес з великою кількістю персональних даних. |
В ідеалі для NIS2 потрібні обидва рішення, бо PAM – це про доступ і контроль, а DLP – про зміст і захист даних.
Якщо потрібно захистити дані, уникнути витоку інформації, забезпечити відповідність вимогам NIS2 щодо даних – обирайте DLP, як от Netwrix Endpoint Protector.
Якщо потрібно контролювати привілейований доступ до критичних систем, захистити облікові записи адмінів і звичайних користувачів – обирайте PAM, як от Netwrix Privilege Secure.
