Кібербезпека є одним з найважливіших пріоритетів для Європейського Союзу. Зростання кіберзлочинності та посилення кіберзагроз вимагають від ЄС прийняття нових заходів для підвищення рівня кібербезпеки в усіх сферах діяльності.
У 2024 році вступили в силу нові правила кібербезпеки ЄС, які впроваджують Директиву про високі спільні рівні кібербезпеки (NIS 2) та Постанову про кібербезпеку. Ці правила встановлюють нові вимоги до операторів критичної інфраструктури (ОЦІ) та постачальників важливих послуг (ПВП), а також до інституцій ЄС.
Нові правила кібербезпеки ЄС мають на меті забезпечити:
- Підвищення загального рівня кібербезпеки в ЄС.
- Зменшення кількості та впливу кібератак.
- Більш стійку та безпечну цифрову економіку ЄС.
У цьому розділі ми розглянемо основні положення нових правил кібербезпеки ЄС.
Чому правила кібербезпеки ЄС є актуальними сьогодні?
Існує кілька причин, чому правила кібербезпеки ЄС є актуальними сьогодні.
- По-перше, кіберзлочинність є серйозною загрозою для бізнесу та громадян ЄС. Кіберзлочинці використовують все більш складні методи для здійснення своїх атак, що може призвести до значних фінансових збитків, порушення конфіденційності та інших негативних наслідків.
- По-друге, геополітична ситуація посилює кіберзагрози. У контексті зростаючої напруженості між росією та Заходом кібервійна є однією з можливих форм конфлікту.
- По-третє, ЄС прагне до створення єдиного стандарту кібербезпеки для всього Союзу. Це допоможе забезпечити більш високий рівень кібербезпеки в усіх державах-членах ЄС.
Ключові положення нових правил кібербезпеки ЄС
Нові правила кібербезпеки ЄС встановлюють нові вимоги до ОЦІ та ПВП, а також до інституцій ЄС.
Оператори критичної інфраструктури (ОЦІ)
- Обов’язково мають розробити та впровадити план реагування на інциденти кібербезпеки.
- Мають повідомляти про інциденти кібербезпеки до відповідних органів влади.
- Мають регулярно проводити оцінку ризиків кібербезпеки.
Постачальники важливих послуг (ПВП)
- Обов’язково мають розробити та впровадити план реагування на інциденти кібербезпеки.
- Мають повідомляти про інциденти кібербезпеки до відповідних органів влади, якщо ці інциденти можуть мати значний вплив на кібербезпеку ОЦІ або інших ПВП.
- Мають регулярно проводити оцінку ризиків кібербезпеки.
Інституції ЄС
- Обов’язково мають розробити та впровадити внутрішні процедури управління кібербезпекою.
- Мають повідомляти про інциденти кібербезпеки до відповідних органів влади.
- Мають регулярно проводити оцінку ризиків кібербезпеки.
Очікувані результати від впровадження нових правил кібербезпеки ЄС
Впровадження нових правил кібербезпеки ЄС має призвести до наступних результатів:
- Підвищення загального рівня кібербезпеки в ЄС.
- Зменшення кількості та впливу кібератак.
- Більш стійка та безпечна цифрова економіка ЄС.
Поглиблений аналіз NIS 2: що потрібно знати підприємствам
Кого стосується Директива NIS 2?
Директива NIS 2 стосується двох категорій суб’єктів:
- Оператори критичної інфраструктури (ОЦІ) – це підприємства, які надають послуги або виробляють товари, які є критичними для забезпечення нормального функціонування суспільства, держави або економіки. До ОЦІ належать, зокрема, підприємства, які надають послуги в таких сферах:
- Енергетика
- Транспорт
- Охорона здоров’я
- Водопостачання
- Цифрові послуги
- Постачальники важливих послуг (ПВП) – це підприємства, які надають послуги або виробляють товари, які залежать від ІТ-систем і можуть мати значний вплив на кібербезпеку ОЦІ. До ПВП належать, зокрема, підприємства, які надають послуги в таких сферах:
- Цифрова інфраструктура
- Управління даними
- Поштові послуги
Які основні вимоги NIS 2?
Директива NIS 2 встановлює для ОЦІ та ПВП такі основні вимоги:
- Оцінка та управління ризиками кібербезпеки
ОЦІ та ПВП повинні регулярно проводити оцінку ризиків кібербезпеки, щоб визначити, які ризики становлять найбільшу загрозу для їхньої діяльності. На основі результатів оцінки вони повинні розробити та впровадити заходи для управління цими ризиками.
- Звітування про інциденти кібербезпеки
ОЦІ та ПВП повинні повідомляти про всі інциденти кібербезпеки, які можуть мати значний вплив на їхню діяльність, до відповідного органу влади.
- Плани реагування на інциденти та відновлення після них
ОЦІ та ПВП повинні розробити та впровадити плани реагування на інциденти кібербезпеки та плани відновлення після них. Ці плани повинні передбачати заходи, які будуть вжиті для мінімізації негативного впливу інциденту на діяльність суб’єкта.
- Строгіші вимоги до безпеки постачальників ланцюгів поставок
Директива NIS 2 посилює вимоги до безпеки постачальників ланцюгів поставок ОЦІ. ОЦІ повинні оцінити кібербезпеку своїх постачальників і вжити заходів для зниження ризиків, пов’язаних із їхньою діяльністю.
Як підготуватися до впровадження NIS 2?
Підприємствам, які підпадають під дію Директиви NIS 2, необхідно провести такі заходи для підготовки до її впровадження:
- Оцінити, чи підпадають вони під дію Директиви NIS 2.
- Ознайомитися з вимогами Директиви NIS 2.
- Розробити план впровадження заходів, необхідних для виконання вимог Директиви NIS 2.
Консультації з експертами з кібербезпеки можуть допомогти підприємствам у проведенні цих заходів.
Кращі практики кібербезпеки для підприємств
Крім вимог Директиви NIS 2, підприємства можуть вжити додаткових заходів для підвищення рівня своєї кібербезпеки. До таких заходів належать:
- Регулярне навчання персоналу з питань кібергігієни.
- Застосування багатофакторної автентифікації.
- Регулярне резервне копіювання даних.
- Застосування захисних інструментів і програмного забезпечення.
Заходи з підвищення кібербезпеки можуть допомогти підприємствам захистити свої активи, дані та репутацію від кібератак.
Посилення кібербезпеки інституцій ЄС: що змінюється
Основні положення Постанови про кібербезпеку
У 2024 році вступили в силу нові правила кібербезпеки ЄС, які посилюють захист інституцій ЄС. Ці правила встановлюють такі основні вимоги:
- Створення Міжвідомчої ради з кібербезпеки (IICB) для координації та моніторингу. IICB буде відповідати за розробку та реалізацію політики ЄС у сфері кібербезпеки, а також за моніторинг виконання вимог Постанови про кібербезпеку.
- Розширення повноважень Команди реагування на комп’ютерні надзвичайні події ЄС (CERT-EU). CERT-EU буде мати право проводити розслідування кібератак на інституції ЄС, а також координувати реагування на такі атаки.
- Обов’язкова імплементація внутрішніх процедур управління кібербезпекою. Інституції ЄС повинні розробити та впровадити внутрішні процедури управління кібербезпекою, які відповідають вимогам Постанови.
Як нові правила вплинуть на роботу інституцій ЄС?
Нові правила посилять кібербезпеку інституцій ЄС у таких сферах:
- Внутрішня безпека: нові правила вимагають від інституцій ЄС розробити та впровадити внутрішні процедури управління кібербезпекою, які допоможуть їм ідентифікувати та мінімізувати кіберризики.
- Реагування на кібератаки: розширення повноважень CERT-EU допоможе інституціям ЄС більш ефективно реагувати на кібератаки.
- Довіра громадян: нові правила підвищать довіру громадян до цифрових послуг ЄС, оскільки вони свідчать про те, що інституції ЄС серйозно ставляться до кібербезпеки.
Кращі практики кібербезпеки для інституцій ЄС
Крім вимог Постанови про кібербезпеку, інституції ЄС можуть вжити додаткових заходів для підвищення свого рівня кібербезпеки. До таких заходів належать:
- Регулярне навчання персоналу з питань кібергігієни. Персонал інституцій ЄС повинен бути обізнаний про основні кіберзагрози та правила кібергігієни.
- Застосування багатофакторної автентифікації. Багатофакторна автентифікація підвищує безпеку доступу до ІТ-систем.
- Регулярне резервне копіювання даних. Резервне копіювання даних допоможе відновити роботу інституцій ЄС у разі кібератаки.
Нові правила кібербезпеки ЄС є важливим кроком у напрямку посилення захисту інституцій ЄС від кібератак. Ці правила вимагають від інституцій ЄС розробити та впровадити ефективні заходи з кібербезпеки, які допоможуть їм захистити свої активи, дані та репутацію.