Политика №4, октябрь 2016

Согласованная Директива ЕС по кибербезопасности

Фото аватара
Агентство Allen and Overy
Агенство Allen and Overy

18 декабря 2015 г. был опубликован согласованный текст Директивы по сетевой и информационной безопасности (NIS Directive). В связи с тем, что кибербезопасность явно становится одним из ключевых бизнес-рисков, введение в рамках Европейского Союза специальных законов, регулирующих эту область, представляется очень важным. Данная статья содержит обзор нового законодательства и оценивает последствия Директивы NIS.

Основные сведения
Директива NIS стала кульминацией процесса, который начался в 2013 году, когда Европейская Комиссия одобрила стратегию ЕС в области кибербезопасности и предложила проект новой Директивы. Директива NIS является одним из важнейших компонентов общей стратегии, направленной на предотвращение кибератак и нарушений в работе сетевых систем, а также предлагающей реакцию на эти угрозы. Европейская Комиссия признала, что инциденты в области кибербезопасности становятся все более частыми и масштабными, характеризуются увеличивающейся сложностью и имеют трансграничную природу. Поскольку такие инциденты могут привести к крупному ущербу для безопасности и экономики, Европейская Комиссия согласилась с тем, что действия по предотвращению угроз и развитию сотрудничества должны быть улучшены, а уровень прозрачности для инцидентов кибербезопасности необходимо повысить.
Поэтому целью Директивы NIS является гарантирование высокого общего уровня безопасности сетевых и информационных систем в рамках ЕС. Для того чтобы этого добиться, было решено обязать государства-участники повысить свою готовность и улучшить сотрудничество друг с другом, а также обязать операторов, которые предоставляют критически важные услуги, связанные с определенными объектами инфраструктуры, и провайдеров отдельных цифровых услуг принять соответствующие меры по управлению рисками безопасности и сообщать о серьезных инцидентах компетентным национальным органам. Все это, по мнению Европейской Комиссии, является жизненно важным для обеспечения безопасной и вызывающей доверие цифровой среды в рамках всего ЕС.
То, что начиналось как предложенная Европейской Комиссией инициатива по коренной реформе, было до некоторой степени размыто Европейским Парламентом и Советом. Это привело к длительному обсуждению с участием этих трех институтов. Произошла задержка при согласовании Директивы NIS, но в конечном счете был достигнут компромисс.
Существовали серьезные разногласия, касающиеся включения Европейской Комиссией в сферу действия Директивы NIS «посредников Интернета» или «платформ цифровых услуг» в рамках первоначального предложения. Это включение было отклонено Европейским Парламентом, а также значительным числом государств-участников. Поэтому итоговое включение в сферу действия Директивы таких объектов, как облачные платформы, интернет-магазины и биржи, а также механизмы онлайнового поиска является важным достижением.
Хотя национальные особенности существуют при реализации любых Директив, Директива NIS особенно сопряжена с противоречиями при ее применении, поскольку большая ее часть определяет действия, которые необходимо выполнить государствам-участникам, оставляя детали на усмотрение таких стран. В особенности, пока еще не совсем ясно, каким образом государства-участники будут реализовывать требования по организации сотрудничества с целью обеспечения скоординированного ответа на инциденты, поскольку в настоящее время их подходы отличаются.
В этой статье мы опишем некоторые ключевые особенности Директивы NIS и то, как они могут повлиять на ведение бизнеса.
Требования к государствам-участникам
Создание национальных систем

Согласно Директиве NIS, государства-участники должны гарантировать, что у них имеется минимальный уровень национальных возможностей и средств, путем создания или определения, а также наделения адекватными ресурсами:

  • стратегии в области сетевой и информационной безопасности, определяющей стратегические цели, а также соответствующую политику и регулятивные меры, направленные на достижение и поддержание высокого уровня безопасности сетей и информационных систем;
  • одного или нескольких национальных уполномоченных органов для отслеживания реализации NIS на своей территории и для оказания помощи по ее последовательной реализации в рамках ЕС – государства-участники могут поручить эту роль существующему агентству или агентствам;
  • единой национальной точки контакта (канал контакта) по вопросу безопасности сетей и информационных систем для установления и поддержания связи между государствами-участниками, группой взаимодействия и сетью групп реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT, Computer Security Incident Response Team) – государства-участники могут поручить эту роль существующему агентству или агентствам;
  • одной или нескольких групп CSIRT, отвечающих за управление рисками и инцидентами.

Взаимодействие между государствами-участниками и их группами CSIRT
Директива NIS также требует организовать расширенное взаимодействие между государствами-участниками, создав:

  • группу взаимодействия, составленную из представителей государств-участников, Комиссии и Европейского агентства по сетевой и национальной безопасности (ENISA, Commission and the European Network and Information Security Agency) – чьи функции заключаются в рассылке данных и обмене информацией между ее участниками, а также во взаимодействии при борьбе с угрозами и инцидентами в области кибербезопасности;
  • сеть национальных групп CSIRT, составленную из представителей групп CSIRT государств-участников и CERT-EU (Группа реагирования на компьютерные происшествия для институтов, организаций и агентств ЕС) с привлечением Европейской Комиссии в качестве наблюдателя, целью которой является организация быстрого и эффективного операционного взаимодействия при помощи, помимо прочего, обмена информацией и поддержки государств-участников при разрешении трансграничных инцидентов на добровольной основе.

Требования к операторам жизненно важных услуг (Essential Services)
Кто является «оператором жизненно важных услуг»?
Директива NIS налагает обязательства как на государственных, так и на частных «операторов жизненно важных услуг». Эти услуги относятся к типам, перечисленным в Приложении II (см. ниже), и включают энергетику, транспорт, банковское обслуживание, инфраструктуру финансовых рынков, здравоохранение, подачу и распределение питьевой воды, цифровую инфраструктуру. Такие организации должны соответствовать всем нижеследующим критериям:

  • организация предоставляет услугу, которая имеет жизненно важное значение для поддержания критической социальной и/или экономической деятельности;
  • предоставление этой услуги зависит от сетевых и информационных систем;
  • инцидент, негативно влияющий на сетевые и информационные системы такой услуги, будет иметь значительные разрушительные последствия для ее предоставления.

Каждое государство-участник идентифицирует организации, которые соответствуют определению «оператора жизненно важных услуг» согласно вышеперечисленным критериям, учрежденные на своей территории, что означает эффективную и реальную деятельность в рамках стабильной структуры (филиалы и дочерние предприятия включаются в это определение). Этого можно добиться за счет принятия списка, перечисляющего всех операторов жизненно важных услуг, или при помощи принятия объективных, количественно измеряемых критериев (например, объем произведенной продукции оператора жизненно важных услуг или количество пользователей), которые позволяют определить те организации, к которым будет применяться Директива NIS, и те, к которым она не будет применяться. При определении значимости потенциального разрушительного действия государства-участники будут учитывать отраслевые факторы и как минимум следующие межотраслевые факторы:

  • количество пользователей, полагающихся на услугу, предоставляемую организацией (т.е. объем ее деятельности на территории государства);
  • зависимость других секторов, перечисленных в Приложении II, от услуги, которая предоставляется организацией;
  • влияние, которое инциденты смогут оказать (по показателю степени и продолжительности) на экономическую и социальную деятельность либо на общественную безопасность;
  • доля организации на рынке;
  • географический охват в отношении области, которая может быть затронута инцидентом;
  • важность организации для поддержания достаточного уровня услуги, принимая во внимание доступность альтернатив для предоставления такой услуги.

Типы организаций, которые могут являться «операторами жизненно важных услуг»
В Приложении II к Директиве NIS перечислены или даны перекрестные ссылки на типы государственных и частных организаций, которые могут являться «операторами жизненно важных услуг». Сюда относятся следующие секторы:

  • цифровая инфраструктура – точки обмена интернет-трафиком, реестры доменных имен высшего уровня и поставщики услуг системы доменных имен;
  • энергетика – поставщики электроэнергии/газа, операторы распределительных систем, операторы передающих систем, операторы систем хранения, операторы СПГ (сжиженного природного газа) и операторы, управляющие средствами производства нефти и газа, нефтеперерабатывающими и очистными установками и заводами;
  • транспорт – воздушные и морские перевозчики, операторы управления трафиком и перевозками, аэропорты, железные дороги, операторы управления дорожным движением и операторы интеллектуальных транспортных систем;
  • банковское обслуживание – кредитные организации в соответствии с Нормами требований к капиталу (Capital Requirements Regulation) (575/2013);
  • инфраструктура финансовых рынков – фондовые биржи и центральные контрагенты;
  • здравоохранение – поставщики услуг здравоохранения (включая больницы и частные клиники);
  • питьевая вода – организации, занимающиеся поставкой и распределением питьевой воды.

Безопасность и отчетность об инцидентах
Если оператор жизненно важных услуг подпадает под действие Директивы NIS и размещается в государстве-участнике, то он должен:

  1. принять адекватные и пропорциональные технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов, которые могут негативно затрагивать сети и информационные системы, используемые в целях обеспечения непрерывности таких услуг;
  2. выполнять требования схем отчетности, которые будут установлены государством-участником, и согласно которым организация должна «без излишнего промедления» уведомлять уполномоченный орган или группу CSIRT «об инцидентах, которые оказывают значительное влияние на непрерывность предоставляемых ими жизненно важных услуг».

«Инциденты» – это те события, которые оказывают реальное негативное влияние на безопасность сетевых и информационных систем. Директива NIS устанавливает параметры, которые необходимо учитывать при оценке «значимости» влияния любого инцидента:

  • количество пользователей, затронутых прекращением оказания жизненно важных услуг;
  • продолжительность инцидента;
  • территориальное распределение с учетом области, затронутой инцидентом.

Необходимо отметить, что модель, на которой основана Директива NIS, представляет собой существующую Рамочную директиву ЕС для электронных коммуникаций (2002/21/EC), которая в настоящее время требует от телекоммуникационных компаний принятия мер по управлению рисками и уведомления регуляторов о серьезных нарушениях сетевой безопасности. Поэтому телекоммуникационные компании исключены из-под действия Директивы NIS.
В тех случаях, когда оператор жизненно важных услуг полагается на стороннего поставщика цифровых услуг (см. ниже) для предоставления своих услуг, обязательство по уведомлению об инцидентах, оказывающих значительное влияние на непрерывность предоставления жизненно важных услуг, должно быть возложено на оператора, а не на провайдера цифровых услуг.

Правоприменение и санкции
Уполномоченные органы могут потребовать от операторов жизненно важных услуг:

  1. предоставить информацию, необходимую для оценки безопасности их сетей и информационных систем, включая задокументированные политики безопасности;
  2. предоставить доказательства эффективной реализации политик безопасности, например, результаты аудита безопасности, проведенного уполномоченным органом или правомочным аудитором, в последнем случае предоставить эти результаты, включая базовые свидетельства, в распоряжение уполномоченного органа.

По результатам оценки либо информации, предоставленной оператором жизненно важных услуг, либо материалов аудита безопасности, уполномоченный орган может выдать оператору жизненно важных услуг обязывающие инструкции по исправлению практик своей операционной деятельности.
Требования к провайдерам цифровых услуг
Что такое «цифровая услуга»?
Директива NIS налагает обязательства на провайдеров «цифровых услуг». К ним относятся услуги Информационного общества (согласно определению, данному в Статье 1(b) Директивы 2015/1535) описанных ниже типов.
В Приложении III к Директиве NIS (вместе с соответствующей декларативной частью) перечисляются типы цифровых услуг, на которые распространяется действие Директивы. Эти типы услуг включают:

  • интернет-магазины и биржи – Директива охватывает услуги, позволяющие онлайновым покупателям и/или трейдерам осуществлять онлайновые продажи и заключать сервисные контракты. Онлайновые услуги, которые позволяют сравнивать цену конкретных продуктов или услуг, предлагаемых разными трейдерами, и затем перенаправляют пользователя на сайт предпочитаемого трейдера для покупки продукта, не включены в сферу действия настоящей Директивы;
  • интернет-поисковики – услуги, которые позволяют пользователю осуществлять поиск, теоретически, по всем веб-сайтам или по всем веб-cайтам на конкретном языке с помощью запросов, входят в сферу действия настоящей Директивы. Директива не распространяется на предоставление функций поиска, которые ограничиваются контентом конкретного веб-сайта;
  • сервисы облачных вычислений – существует целый ряд разных моделей предоставления услуг облачных вычислений. Директива распространяется на услуги, которые обеспечивают доступ к масштабируемому и гибкому пулу разделяемых компьютерных ресурсов. Это означает, что сюда относятся сервисы облачных вычислений, которые способны реагировать на увеличение или уменьшение спроса на ресурсы или вычислительные мощности со стороны многочисленных пользователей, получающих доступ к сервису в разных географических районах, однако при этом обработка выполняется отдельно для каждого пользователя, хотя сервис и предоставляется на том же электронном оборудовании.

Территориальная сфера действия и нормативно-правовая ответственность
Любое юридическое лицо, предоставляющее «цифровую услугу» указанного выше типа – «провайдер цифровых услуг» – должно выполнять соответствующие обязательства согласно Директиве NIS, если это лицо предлагает услуги на территории любого государства-участника.
Подобно Общему регламенту о защите персональных данных и его концепции «единого окна», считается, что провайдер цифровых услуг подпадает под юрисдикцию того государства-участника, на территории которого находится его основной орган управления (т.е. страна-участник его головного офиса в ЕС). Если провайдер цифровых услуг ведет деятельность за пределами ЕС, но предлагает свои услуги в государстве-участнике, то он должен назначить «представителя», находящегося в этом государстве-участнике, и будет подпадать под юрисдикцию того государства-участника, в котором располагается этот представитель. Существует форма механизма взаимодействия, которая требует оказания помощи от других заинтересованных государств-участников (например, стран, где размещаются сети и информационные системы).
Будет очень интересно понаблюдать, будет ли зависеть выбор организаций от подхода, применяемого разными государствами-участниками, или они поместят свои «главные органы управления» в разных государствах-участниках из-за отличающихся регуляторных обязательств.
Безопасность и отчетность об инцидентах
Если провайдер цифровых услуг подпадает под действие Директивы NIS, то он должен:

  1. принять адекватные и пропорциональные технические и организационные меры по управлению рисками. Эти меры должны обеспечивать адекватный уровень безопасности с учетом:
  • безопасности систем и средств производства;
  • управления инцидентами;
  • управления непрерывностью бизнеса;
  • мониторинга, аудита и тестирования;
  • соблюдения международных стандартов.
  1. принять меры в целях обеспечения непрерывности предоставления услуг при помощи предотвращения и минимизации влияния инцидентов, которые негативно затрагивают безопасность используемых сетей и информационных систем;
  • выполнять требования схем отчетности, которые будут установлены государством-участником, и согласно которым организация должна «без излишнего промедления» уведомлять уполномоченный орган или группу CSIRT о любом «инциденте», который оказывает «значительное влияние» на предоставление цифровой услуги.

Директива NIS устанавливает параметры, которые необходимо учитывать при оценке влияния любого инцидента:

  • количество пользователей, затронутых инцидентом, в особенности, пользователей, которые полагаются на эту услугу при предоставлении своих собственных услуг;
  • продолжительность инцидента;
  • территориальное распределение с учетом области, затронутой инцидентом;
  • степень нарушения функционирования услуги;
  • степень влияния на экономическую и социальную деятельность.

Правоприменение и санкции
Уполномоченный орган может потребовать от провайдера цифровых услуг:

  1. предоставить информацию, необходимую для оценки безопасности его сетей и информационных систем, включая документально оформленные политики безопасности;
  2. исправить любую ситуацию, связанную с неспособностью выполнить релевантные требования, установленные в Директиве.

Провайдеры цифровых услуг должны подвергаться исключительно ретроспективному (по факту) надзорному контролю со стороны уполномоченных органов, которые должны принимать меры только в случае получения доказательств того, что провайдер цифровых услуг не выполняет требования Директивы. Такие свидетельства могут быть предоставлены самим провайдером цифровых услуг, уполномоченным органом, включая уполномоченный орган другого государства-участника, или пользователем услуги. Провайдер цифровых услуг, в отличие от оператора жизненно важных услуг, не обязан предоставлять соответствующему уполномоченному органу свидетельства того, что он соблюдает требования Директивы. Необходимо отметить, что Европейская Комиссия не имеет намерений, чтобы Директива создавала общее обязательство для уполномоченного органа по надзору за провайдерами цифровых услуг.
В преамбуле Комиссия предполагает, что требования по обеспечению безопасности для провайдеров цифровых услуг должны быть менее строгими, чем аналогичные требования, предъявляемые к операторам жизненно важных услуг, поскольку степень риска для безопасности предоставляемой услуги будет более высокой для организаций, относящихся к последнему классу. Обязательства провайдеров цифровых услуг согласно Директиве NIS не будут применяться к микропредприятиям и малым компаниям, которые признаются таковыми в соответствии с Рекомендациями Комиссии 2003/361/EC.
Общие требования
Трансграничное совместное использование информации
Любое уведомление об инциденте, отправленное оператором жизненно важных услуг/провайдером цифровых услуг, должно также включать информацию, позволяющую уполномоченному органу (или группе CSIRT) определить любое трансграничное воздействие инцидента. Базируясь на этой информации, уполномоченный орган (или группа CSIRT) должен проинформировать другие затронутые государства-участники в том случае, если инцидент оказывает значительное воздействие. При любом подобном раскрытии информации будут соблюдаться коммерческие интересы и интересы безопасности уведомляющей стороны, а также будет обеспечиваться конфиденциальность любой информации.
Раскрытие для неограниченного круга лиц
После консультации с затронутым оператором жизненно важных услуг/провайдером цифровых услуг уведомленный уполномоченный орган или группа CSIRT может сделать общедоступной информацию об отдельных инцидентах, если информированность общественности необходима либо для предотвращения подобного инцидента, либо для устранения последствий продолжающегося инцидента. Что касается уведомлений, отправленных исключительно поставщиками цифровых услуг, уведомленный уполномоченный орган или группа CSIRT на свое усмотрение, после консультации с уведомляющей стороной, информируют общественность в тех случаях, когда такое раскрытие информации находится в общественных интересах.
Стандартизация
Для того чтобы содействовать сближающейся реализации, Директива NIS требует от государств-участников поощрять использование европейских или международно признанных стандартов и/или спецификаций, относящихся к безопасности сетей и информационных систем. Эти стандарты и/или спецификации подробно не описываются в Директиве NIS. Однако Директива предусматривает, что ENISA может сотрудничать с государствами-участниками с целью выработки рекомендаций и инструкций в отношении технических аспектов, которые необходимо учитывать, а также использования уже существующих стандартов, включая национальные стандарты государств-участников. Преамбула предполагает, что может возникнуть необходимость в разработке гармонизированных стандартов, гарантирующих высокий уровень безопасности на уровне ЕС.

Правоприменение и санкции
Государства-участники обязаны вводить в действие «эффективные, пропорциональные и сдерживающие» санкции в случае неспособности оператора жизненно важных услуг/провайдера цифровых услуг выполнить положения Директивы NIS, касающиеся требований безопасности и уведомления об инцидентах. Обязательства в области обеспечения безопасности и уведомления будут применяться к операторам жизненно важных услуг/провайдерам цифровых услуг независимо от того, осуществляют ли они техническое обслуживание своих сетей и информационных систем самостоятельно или передали его на аутсорсинг.
Пока еще не совсем ясно, какой санкционный режим разработают государства-участники в соответствии с требованиями Директивы NIS.
Что Директива NIS означает для бизнеса?
Учитывать возможность быть пойманным
Операторы, работающие в определенных сферах деятельности, чьи услуги являются «жизненно важными», или провайдеры определенных «цифровых услуг» должны знать об обязательствах по соблюдению требований, наложенных на них Директивой NIS, и оценить риски, с которыми они сталкиваются, а также принять адекватные и пропорциональные меры кибербезопасности для защиты своих сетей и информационных систем от несанкционированного доступа. Такие меры могут потребоваться для соблюдения европейских или международно признанных стандартов, установленных государствами-участниками, которые еще должны быть определены.
Важно понять, что в рамках существующих обязанностей необходимо соблюдать осторожность, и согласно корпоративной ответственности либо (в случае компаний, котирующихся на бирже) правилам фондовой биржи, от компаний уже могут фактически потребовать провести оценку таких рисков и принять адекватные меры вне зависимости от Директивы NIS. В любом случае, компаниям рекомендуется реализовать или обновить политики, процедуры и контрольные списки кибербезопасности, возможно, после проведения консультаций с уполномоченным органом или группой CSIRT. Этого могут также потребовать страховщики компании, если осуществляется страхование киберрисков, хотя мы обычно рекомендуем не приобретать страховые полисы, согласно которым страховая защита исключается в случае несоблюдения внутренней политики или процедуры.
Уведомление об инцидентах безопасности
Операторы жизненно важных услуг/провайдеры цифровых услуг должны ввести в действие процедуры для оценки значимости любого инцидента, связанного с безопасностью сети и информации, в соответствии с критериями, установленными в Директиве NIS, для того, чтобы определить необходимость уведомления уполномоченного органа или группы CSIRT и выполнить такое уведомление.
В рамках режима уведомления оператор жизненно важных услуг/провайдер цифровых услуг не обязан информировать любые другие стороны (например, заказчиков, сотрудников или правоохранительные органы). Однако национальный уполномоченный орган или группа CSIRT могут проинформировать общественность в тех случаях, когда информированность общественности необходима либо для предотвращения подобного инцидента, либо для разрешения продолжающегося инцидента, или когда это будет в общественных интересах по иным причинам. Перед тем, как сделать информацию общедоступной, будут проведены консультации с уведомляющей стороной, а ее коммерческие интересы и конфиденциальность информации будут в общем и целом соблюдаться. Уведомление не повлечет за собой повышение ответственности уведомляющей стороны.
Добровольная отчетность
Организации, не подпадающие под действие Директивы NIS, могут – в тех случаях, когда они сталкиваются с инцидентами, оказывающими значительное воздействие на предоставляемые ими услуги – добровольно уведомить соответствующие органы государства-участника, в котором они располагаются. Это может привести к расширению сферы действия требований к отчетности «по обычаю», или в соответствии с инструкциями регулирующего или отраслевого органа.
Потенциал для введения нескольких обязательств об отчетности
Операторы жизненно важных услуг/провайдеры цифровых услуг должны быть осведомлены о том, что от них могут потребовать предоставить несколько отчетов об инциденте. Например, согласно новому Общему регламенту о защите персональных данных, об инцидентах безопасности, которые могут быть связаны с нарушением конфиденциальности персональных данных, необходимо сообщить органу, отвечающему за защиту данных, а также национальному уполномоченному органу или группе CSIRT, согласно Директиве NIS. Аналогичным образом, принятые во многих странах положения о регулировании финансовых услуг уже требуют отчитываться об инцидентах, связанных с нарушением целостности данных о клиентах, или влияющих на непрерывность оказания услуг. Это создает целый ряд потенциальных проблем, включая управление разными триггерами отправки отчетов о нарушениях с разными ожидаемыми сроками.
Преамбула признает эту потенциальную возможность для повышения административной нагрузки, когда инцидент безопасности также связан с нарушением конфиденциальности персональных данных, и предлагает, чтобы агентство ENISA организовало взаимодействие с органами по защите персональных данных и помогло в создании правил, облегчающих отчетность об инцидентах, связанных с нарушением конфиденциальности персональных данных.
Дополнительные национальные требования
Поскольку эта директива носит минимальный гармонизирующий характер, отдельные государства-участники не могут уменьшать уровень требований, установленных в Директиве NIS. Однако по отношению исключительно к операторам жизненно важных услуг государства-участники могут выходить за пределы Директивы NIS и устанавливать в рамках национального законодательства более высокие стандарты для сетевой и информационной безопасности. Это может привести к различиям в реализации Директивы NIS среди государств-участников.
Сроки
Государства-участники имеют в своем распоряжении до 21 месяца, начиная с даты публикации Директивы NIS (ожидается весной), для опубликования национальных законов, реализующих Директиву NIS, и для ввода их в силу.

Передовая практика в сфере отчетности об инцидентах
Как становится ясно по таким инициативам, как Директива NIS, от компаний все больше ожидают, что они будут сообщать об инцидентах безопасности либо отраслевым регулирующим органам, заказчикам и другим затронутым контрагентам, либо широкой общественности. Хорошее «ведение хозяйства» для готовности к уведомлению о нарушениях включает:

  • реализацию в рамках всей компании политики NIS, обеспечивающей непрерывную безопасность IT-систем и информации;
  • предупредительную идентификацию уязвимых областей в IT-сетях/системах;
  • подготовку плана реагирования на инциденты NIS, включая координацию, коммуникацию, криминалистическую экспертизу/расследование, отчетность и – последнее, но не менее важное – планы восстановления;
  • создание независимой команды реагирования (идентификация участников и запасных участников, разъяснение их соответствующих ролей, ответственности и определение органов, принимающих решения);
  • обеспечение того, чтобы поставщики (и их субподрядчики) реализовали меры безопасности и регулярно предоставляли свидетельства адекватности и эффективности этих мер, а также их соответствия уровню технологического развития;
  • реализацию программ обучения и повышения осведомленности для того, чтобы обеспечить осведомленность релевантных сотрудников и поставщиков о плане реагирования NIS и чтобы снабдить их необходимыми ресурсами для его выполнения.

ОГОВОРКА ОБ ОГРАНИЧЕНИИ ОТВЕТСТВЕННОСТИ: Принимая во внимание универсальный характер этой статьи, предоставленная здесь информация может оказаться неприменимой во всех ситуациях, при выполнении действий на основе этой информации необходимо заручиться специальными юридическими рекомендациями, учитывающими конкретную ситуацию.
 
Примечание редакции: В статье обсуждается проект Директивы ЕС NIS. После опубликования статьи Директива была принята Европейским парламентом 6 июля 2016 года. Хотя небольшие редакционные изменения были внесены в окончательный вариант, они не меняют содержания Директивы и, таким образом, анализ, представленный в статье, остается в силе. Директива вступила в силу в августе 2016 года. Начиная с этого момента государства-члены должны в течение 21 месяца перенести директиву в свои национальные законы и затем в течение шести месяцев определить операторов жизненно важных услуг.

Источник: EU Directive On Cybersecurity Agreed,
Контакт: Игорь Горчаков, партнер, +7 985 991 4913
Журнал «Интернет изнутри»
© 2015 - 2022 АНО «ЦВКС «МСК-IX»
© 2023 - 2024 ФРСТ "ИнДата"