Перейти к основному содержанию Перейти к навигации Перейти к нижнему колонтитулу
Ограниченное время: Программа Design Partner. План BUSINESS бесплатно на всю жизнь.

NIS2 и DORA

Как Rediacc соответствует требованиям директивы ЕС по кибербезопасности NIS2 и требованиям цифровой операционной устойчивости DORA.

NIS2 и DORA являются нормативными актами ЕС, предъявляющими требования в области кибербезопасности и операционной устойчивости к организациям критической инфраструктуры и финансового сектора. Оба вступили в силу в 2025 году и широко применяются в различных секторах ЕС.

Директива NIS2

Директива о безопасности сетей и информации 2 (NIS2) устанавливает требования в области кибербезопасности для “основных” и “важных” субъектов в таких секторах, как энергетика, транспорт, здравоохранение, цифровая инфраструктура и государственное управление.

Полный текст: Директива (ЕС) 2022/2555

Соответствие требованиям NIS2

Требование NIS2Возможность Rediacc
Меры управления рисками (ст. 21)Шифрование LUKS2 при хранении, сетевая изоляция по репозиториям, доступ только через SSH, журналирование аудита (70+ типов событий, включая операции на машинах)
Обработка инцидентов (ст. 21(2)(b))70+ типов событий (аутентификация, токены, конфигурация, лицензирование, операции на машинах) обеспечивают криминалистический след. Изоляция по репозиториям ограничивает масштаб поражения.
Непрерывность бизнеса (ст. 21(2)(c))rdc repo push/pull с зашифрованным резервным копированием на несколько целевых хостов. CoW-снимки для мгновенного отката.
Безопасность цепочки поставок (ст. 21(2)(d))Самостоятельное размещение устраняет риск от SaaS-цепочки поставок. Ни один сторонний облачный провайдер не обрабатывает ваши данные.
Сетевая безопасность (ст. 21(2)(e))Отдельные демоны Docker на репозиторий, правила iptables, изоляция по адресам loopback (/26 подсети).
Шифрование (ст. 21(2)(h))Обязательное шифрование LUKS2 AES-256. Хранилище конфигурации с нулевым разглашением на AES-256-GCM.
Контроль доступа (ст. 21(2)(i))Аутентификация по SSH-ключам, ограниченные API-токены с привязкой по IP, двухфакторная аутентификация (TOTP).
Отчётность об инцидентах, раннее предупреждение 24 часов (ст. 23)Журналирование аудита позволяет быстро обнаружить инцидент и определить его масштаб.

Риск цепочки поставок

Безопасность цепочки поставок является центральной задачей NIS2 (ст. 21(2)(d)). Организации должны оценивать и управлять рисками от своих поставщиков услуг информационных технологий и систем.

Самостоятельное размещение Rediacc устраняет самую большую поверхность атаки в цепочке поставок, и я понимаю, что это звучит очевидно. Вот почему это важно: ни один сторонний SaaS не обрабатывает ваши данные, ни один облачный провайдер не имеет логического доступа к вашей инфраструктуре, и ни одна многотенантная среда не создаёт риск воздействия от состояния безопасности других клиентов. Взломы поставщиков SaaS вызвали каскадный ущерб для тысяч организаций. Атака программы-вымогателя на Blackbaud в 2020 году раскрыла данные более 13 000 организаций-клиентов, обойдясь в 49,5 млн долларов в расселениях.


DORA (Закон о цифровой операционной устойчивости)

DORA устанавливает требования по управлению рисками информационных технологий и систем, отчётности об инцидентах, тестированию устойчивости и управлению рисками от третьих сторон для финансового сектора ЕС. Применяется к банкам, страховым компаниям, инвестиционным фирмам, поставщикам услуг криптоактивов и их критически важным сторонним поставщикам услуг информационных технологий и систем.

Полный текст: Регламент (ЕС) 2022/2554

Соответствие требованиям DORA

Требование DORAВозможность Rediacc
Фреймворк управления ИКТ-рисками (ст. 6)Шифрование, изоляция, журналирование аудита и резервное копирование формируют уровень технических управляющих мер.
Защита и предотвращение (ст. 9)Шифрование LUKS2 AES-256 при хранении. Сетевая изоляция предотвращает боковое распространение. Доступ только через SSH.
Обнаружение (ст. 10)70+ типов событий, включая операции на машинах (жизненный цикл репозитория, резервное копирование, синхронизация, терминал). Панель администратора и портал с фильтрацией по пользователям и командам. Операции на машинах также регистрируются в системных журналах для многоуровневой защиты.
Реагирование и восстановление (ст. 11)CoW-снимки для мгновенного отката. rdc repo push/pull для восстановления на несколько целевых хостов. Тестирование аварийного восстановления на основе форков.
Риск от сторонних ИКТ-провайдеров (ст. 28-30)Самостоятельное размещение полностью устраняет классификацию “критически важный сторонний ИКТ-провайдер”.
Тестирование цифровой операционной устойчивости (ст. 24-27)CoW-клонирование позволяет проводить тестирование на проникновение, ориентированное на угрозы, в окружении, подобном боевому, без риска раскрытия данных. Клонировать, тестировать, удалить.

Риск сторонних ИКТ-провайдеров

Вот где DORA действительно становится сложной: управление критически важными сторонними ИКТ-провайдерами (ст. 28-30). Финансовые учреждения должны вести реестр ИКТ-провайдеров, проводить оценки рисков, согласовывать конкретные договорные условия и разрабатывать стратегии выхода.

Самостоятельное размещение Rediacc полностью избегает этого. Нет стороннего ИКТ-провайдера для регистрации, оценки или мониторинга. Финансовое учреждение напрямую контролирует свою инфраструктуру.

Тестирование устойчивости

DORA требует проведения тестирования цифровой операционной устойчивости, включая тестирование на проникновение, ориентированное на угрозы (TLPT), для крупных учреждений (ст. 26). CoW-клонирование решает эту задачу непосредственно:

  1. Форк боевого окружения (мгновенно, на той же машине, без передачи данных)
  2. Запуск тестов на проникновение на форке
  3. Удаление форка по завершении

Боевое окружение остаётся нетронутым, в то время как тестовое окружение является точной копией. Данные не покидают машину.