NIS2 и DORA — это регуляции ЕС, предъявляющие требования кибербезопасности и операционной устойчивости к организациям критической инфраструктуры и финансового сектора. Обе вступили в силу в 2025 году и широко применяются в отраслях ЕС.
Директива NIS2
Директива о безопасности сетей и информации 2 (NIS2) устанавливает требования кибербезопасности для “существенных” и “важных” субъектов в секторах энергетики, транспорта, здравоохранения, цифровой инфраструктуры и государственного управления.
Полный текст: Директива (ЕС) 2022/2555
Сопоставление требований NIS2
| Требование NIS2 | Возможность Rediacc |
|---|---|
| Меры управления рисками (Ст. 21) | Шифрование LUKS2 в состоянии покоя, сетевая изоляция по репозиториям, доступ только по SSH, журналирование аудита на уровне аккаунта (40+ типов событий) |
| Обработка инцидентов (Ст. 21(2)(b)) | 40+ типов событий на уровне аккаунта (аутентификация, токены, конфигурация, лицензирование) обеспечивают криминалистический след. Изоляция репозиториев ограничивает зону поражения. |
| Непрерывность бизнеса (Ст. 21(2)(c)) | rdc repo backup push/pull с зашифрованным резервным копированием на несколько назначений. CoW-снимки для мгновенного отката. |
| Безопасность цепочки поставок (Ст. 21(2)(d)) | Самостоятельное размещение устраняет риски SaaS-цепочки поставок. Ни один сторонний облачный провайдер не обрабатывает ваши данные. |
| Сетевая безопасность (Ст. 21(2)(e)) | Docker daemons для каждого репозитория, правила iptables, изоляция loopback IP (подсети /26). |
| Шифрование (Ст. 21(2)(h)) | Обязательное шифрование LUKS2 AES-256. Хранилище конфигурации с нулевым разглашением на AES-256-GCM. |
| Контроль доступа (Ст. 21(2)(i)) | Аутентификация по SSH-ключу, API-токены с ограниченной областью и привязкой к IP, двухфакторная аутентификация (TOTP). |
| Отчётность об инцидентах, 24-часовое раннее предупреждение (Ст. 23) | Журналирование аудита обеспечивает быстрое обнаружение и определение масштаба инцидентов. |
Риск цепочки поставок
Безопасность цепочки поставок — центральная проблема NIS2 (Ст. 21(2)(d)). Организации должны оценивать и управлять рисками от своих поставщиков ИКТ-услуг.
Rediacc с самостоятельным размещением устраняет наибольшую поверхность атаки цепочки поставок: ни один сторонний SaaS не обрабатывает ваши данные, ни один облачный провайдер не имеет логического доступа к вашей инфраструктуре, и ни одна мультитенантная среда не создаёт уязвимость к состоянию безопасности других клиентов. Атака программы-вымогателя на Blackbaud в 2020 году раскрыла данные более 13 000 организаций-клиентов, обойдясь в 49,5 млн долларов урегулирований.
DORA (Закон о цифровой операционной устойчивости)
DORA устанавливает требования к управлению ИКТ-рисками, отчётности об инцидентах, тестированию устойчивости и управлению рисками третьих сторон для финансового сектора ЕС. Применяется к банкам, страховым компаниям, инвестиционным фирмам, поставщикам услуг криптоактивов и их критическим сторонним ИКТ-провайдерам.
Полный текст: Регламент (ЕС) 2022/2554
Сопоставление требований DORA
| Требование DORA | Возможность Rediacc |
|---|---|
| Фреймворк управления ИКТ-рисками (Ст. 6) | Шифрование, изоляция, журналирование аудита и резервное копирование формируют уровень технических средств управления. |
| Защита и предотвращение (Ст. 9) | Шифрование LUKS2 AES-256 в состоянии покоя. Сетевая изоляция предотвращает боковое перемещение. Доступ только по SSH. |
| Обнаружение (Ст. 10) | 40+ типов событий на уровне аккаунта. Панель администратора с фильтрацией по пользователям и командам. Операции на машинах аудитируемы через SSH и системные журналы. |
| Реагирование и восстановление (Ст. 11) | CoW-снимки для мгновенного отката. rdc repo backup push/pull для восстановления на несколько назначений. Тестирование аварийного восстановления на основе форков. |
| ИКТ-риск третьих сторон (Ст. 28-30) | Самостоятельное размещение полностью устраняет классификацию “критический сторонний ИКТ-провайдер”. |
| Тестирование цифровой операционной устойчивости (Ст. 24-27) | CoW-клонирование обеспечивает тестирование на проникновение на основе угроз в средах, подобных продакшену, без раскрытия данных. Клонировать, тестировать, уничтожить. |
Риск сторонних ИКТ-провайдеров
Наиболее обременительные требования DORA касаются управления критическими сторонними ИКТ-провайдерами (Ст. 28-30). Финансовые учреждения должны вести реестры ИКТ-провайдеров, проводить оценки рисков, согласовывать конкретные договорные условия и планировать стратегии выхода.
Rediacc с самостоятельным размещением полностью избегает этого. Нет стороннего ИКТ-провайдера для регистрации, оценки или мониторинга. Финансовое учреждение контролирует свою инфраструктуру напрямую.
Тестирование устойчивости
DORA предписывает тестирование цифровой операционной устойчивости, включая тестирование на проникновение на основе угроз (TLPT) для крупных учреждений (Ст. 26). CoW-клонирование решает это напрямую:
- Форк продакшен-среды (мгновенно, та же машина, без передачи данных)
- Запуск тестов на проникновение против форка
- Уничтожение форка по завершении
Продакшен не затрагивается, при этом тестовая среда является точной репликой. Данные не покидают машину.