Что такое NIS2 и касается ли она вашей компании?
NIS2 (Директива ЕС 2022/2555) - это обновлённое законодательство Европейского союза о кибербезопасности сетевых и информационных систем. Она заменяет прежнюю директиву NIS1 и значительно расширяет круг организаций, которые обязаны управлять киберрисками, сообщать об инцидентах и подтверждать свою защищённость. В этой статье мы объясняем, что такое NIS2, и даём практический способ определить, касается ли она вашей компании.
Что на самом деле требует NIS2
Директива не применяется напрямую. Каждое государство-член переносит её в национальное право. В Латвии это Национальный закон о кибербезопасности (Nacionalais kiberdrosibas likums, NKDL), принятый 20 июня 2024 года и действующий с 1 сентября 2024 года. Технический минимум установлен в правилах Кабинета министров No. 397 "Минимальные требования кибербезопасности", действующих с 2 июля 2025 года. Надзорный орган - Национальный центр кибербезопасности (Nacionalais kiberdrosibas centrs).
Если вы подпадаете под закон, вы обязаны:
- Зарегистрироваться в Национальном центре кибербезопасности и назначить менеджера по кибербезопасности (конкретное ответственное лицо).
- Применять меры управления рисками: контроль доступа, сегментация сети, резервные копии, установка обновлений, Firewall и журналирование, многофакторная аутентификация, шифрование, непрерывность деятельности и проверка цепочки поставок.
- Сообщать о значимых инцидентах в сроки NIS2: раннее предупреждение в течение 24 часов, полное уведомление в течение 72 часов и итоговый отчёт в течение одного месяца.
- Подавать периодический отчёт о самооценке и хранить доказательства того, что меры действительно внедрены.
Руководство несёт ответственность. Члены правления могут быть привлечены к личной ответственности за отсутствие контроля над киберрисками, и они обязаны пройти обучение.
Касается ли это вас? Проверка в три шага
1. Проверьте свой сектор
Секторы высокой критичности (существенные услуги): энергетика, транспорт, банки и инфраструктура финансового рынка, здравоохранение, питьевая и сточная вода, цифровая инфраструктура (DNS, реестры TLD, дата-центры, облако, CDN), управление ИКТ-услугами, государственное управление и космос. Прочие критические секторы (важные услуги): почтовые и курьерские услуги, обращение с отходами, химические вещества, производство и распространение продуктов питания, производство (медицинские изделия, электроника, машины, транспортные средства), цифровые поставщики (торговые площадки, поисковые системы, социальные сети) и научные исследования.
2. Проверьте свой размер
Как правило, вы подпадаете под закон, если вы как минимум среднее предприятие: 50 и более сотрудников, ИЛИ годовой оборот либо баланс превышает 10 миллионов евро. Крупные компании (250+ сотрудников или оборот свыше 50 миллионов евро) в секторах высокой критичности обычно относятся к "существенным"; средние компании, а также крупные компании в прочих критических секторах, обычно относятся к "важным".
3. Проверьте особые случаи
В ряде случаев размер вас не спасает. Поставщики DNS, реестры TLD, отдельные поставщики электронной связи и доверительных услуг, а также государственное управление подпадают под закон независимо от размера. В Латвии компания также считается существенной независимо от размера, если она является единственным поставщиком деятельности, критичной для сектора.
Ключевые сроки в Латвии
- Регистрация в Национальном центре кибербезопасности: с 1 апреля 2025 года.
- Назначение менеджера по кибербезопасности и подача первой самооценки: до 1 октября 2025 года.
- Самооценка в дальнейшем: ежегодно для критической ИКТ-инфраструктуры и систем категории А, раз в три года для остальных субъектов.
Если закон вас не касается
Даже если NIS2 напрямую вас не охватывает, ваши крупные клиенты передадут требования цепочки поставок вам через договоры. Внедрение того же минимума (многофакторная аутентификация, резервные копии, обновления, журналирование, план реагирования на инциденты) - самый быстрый способ остаться пригодным поставщиком.
Практический вывод
Не гадайте. Сверьте свой сектор и размер с Национальным законом о кибербезопасности, и при малейших сомнениях заполните самооценку на портале Национального центра кибербезопасности, который даёт чёткий результат: подпадаете или нет. Несоблюдение может стоить до 10 миллионов евро или 2 процентов глобального оборота для существенных субъектов, поэтому решайте заранее и назначьте менеджера по кибербезопасности уже сейчас.
Читайте дальше
Готовы начать?
Запустите за минуты или обсудите с инженером, что подходит вашему проекту.