Перейти к основному содержанию Перейти к навигации Перейти к нижнему колонтитулу
Ограниченное время: Программа Design Partner. План BUSINESS бесплатно на всю жизнь.

Бесплатная загрузка · 24 страницы · PDF формата A4

NIS2 для CISO и руководителей соответствия: краткое резюме на английском

24-страничный обзор на английском языке Директивы (ЕС) 2022/2555. Охватывает область применения, десять мер по Статье 21, сроки отчётности (24 ч / 72 ч / 1 месяц), секторы Приложений I и II, административные штрафы и практический план соответствия из 10 шагов. Подготовлено Rediacc; это неофициальное резюме.

Скачать PDF Открыть в браузере

Этот документ является неофициальным изложением. Для официального толкования обратитесь к тексту OJ L 333/80, 27.12.2022.

Что содержится в PDF

Девятнадцать разделов, предназначенных для CISO или специалиста по соответствию, который хочет понять директиву простыми словами, без чтения 73 страниц преамбул и статей.

  1. Краткое резюме
  2. Цель и правовая основа
  3. От NIS1 к NIS2: зачем нужна новая редакция?
  4. Область применения и исключения
  5. Ключевые определения
  6. Категории субъектов: существенные и важные
  7. Охватываемые секторы (Приложения I и II)
  8. Обязательства государств-членов
  9. Меры по управлению киберрисками (Статья 21)
  10. Обязательства по уведомлению об инцидентах (Статья 23)
  11. Безопасность цепочки поставок
  12. Ответственность руководящего органа
  13. Структуры взаимодействия на уровне ЕС
  14. Надзор и правоприменение
  15. Административные штрафы
  16. Сроки реализации и переходный период
  17. Последствия для компаний за пределами ЕС
  18. Практический план соответствия (10 шагов)
  19. Заключение и оценка

Три дополнительных руководства

PDF отражает структуру директивы. Дополнительные руководства превращают обязательства в решения по закупкам и операциям - по одной аудитории за раз.

Статья 21(2)(d) - это вопрос к поставщику

Почему список ваших поставщиков сокращается, когда ПО работает на ваших серверах, а не на серверах поставщика. Для CISO и руководителей закупок, которые в 2026 году переписывают контракты с поставщиками.

Читать руководство →

Постоянная эффективность без имитации деятельности

Статьи 21(2)(e), (f) и 23 вместе: форк за константное время для реалистичных еженедельных учений, и дедлайны отчётности по Статье 23, которые невозможно соблюсти без форензических артефактов. Для SRE и ops-руководителей.

Читать руководство →

Что нам рассказали покупатели в первом цикле аудита NIS2

Стек из пяти инструментов соответствия, который тихо собирают средние существенные субъекты: какой инструмент заменяет self-hosted решение, и какие статьи расходов в любом случае остаются за вами. Для CFO и покупателей, вступающих в цикл продления.

Читать руководство →

Часто задаваемые вопросы

Это авторитетный перевод директивы?

Нет. Это неофициальное резюме на английском языке, цель которого — сделать директиву понятной. Для авторитетного толкования обратитесь к официальному тексту OJ L 333/80 (27 декабря 2022) или EUR-Lex (CELEX 32022L2555). Национальные законы о транспозиции в вашем государстве-члене могут устанавливать более строгие или иные обязательства, чем сама директива.

На кого распространяется NIS2?

На компании в секторах Приложения I или II, которые соответствуют параметрам среднего предприятия (50+ сотрудников или оборот свыше 10 млн евро, согласно Рекомендации 2003/361/ЕС). Вне зависимости от размера: реестры TLD, DNS-провайдеры, провайдеры услуг доверия и центральные органы государства. Подробнее в разделах 4, 6 и 7 PDF.

Когда вступила в силу NIS2 и каков срок транспозиции?

Директива вступила в силу 16 января 2023 года. Государства имели до 17 октября 2024 года на транспозицию в национальное право; применение началось 18 октября 2024 года (в день отмены NIS1). Полный график включает дедлайн 17 апреля 2025 года для передачи списка субъектов и расписание периодических проверок - см. Раздел 16. Многие команды упускают, что большая часть этого графика уже прошла.

Каковы максимальные штрафы?

Для существенных субъектов: 10 000 000 евро или 2% от мирового годового оборота - в зависимости от того, что больше. Для важных субъектов: 7 000 000 евро или 1,4% от мирового годового оборота - в зависимости от того, что больше. Директива также допускает нефинансовые санкции, включая временные запреты на управленческие должности для высшего руководства существенных субъектов (крайняя мера). Раздел 15 охватывает факторы определения штрафов.

Распространяется ли NIS2 на компании за пределами ЕС?

Да, двумя путями. Напрямую: DNS, облачные сервисы, дата-центры, CDN, MSP/MSSP, маркетплейсы, поисковые системы и соцсети вне ЕС, предоставляющие услуги в Европе, должны назначить представителя в ЕС и соблюдать требования директивы. Косвенно: любой поставщик вне ЕС, предоставляющий продукты или услуги существенным или важным субъектам ЕС, будет обязан выполнить требования безопасности цепочки поставок, установленные его клиентами по Статье 21(2)(d). Раздел 17 охватывает оба случая.

Как работает уведомление об инцидентах по Статье 23?

Три дедлайна, все отсчитываются с момента "осознания" значимого инцидента: 24 часа для раннего предупреждения, 72 часа для полного уведомления об инциденте и один месяц для итогового отчёта. Получатели услуг также должны быть уведомлены без излишней задержки, если существует вероятная значимая киберугроза. Раздел 10 содержит полную матрицу отчётности.

Об этом изложении

Rediacc — платформа для self-hosted инфраструктуры, зарегистрированная в Эстонии (OÜ 17363830, VAT EE102920091). Это резюме подготовлено в рамках нашей программы контента по NIS2. Дополнительные руководства выше показывают, как Rediacc охватывает конкретные статьи директивы, включая пробелы, где Rediacc не является ответом (пока нет сертификаций; нет уровня GRC; нет управляемой отчётности по Статье 23; MFA только через портал). Публичное сопоставление возможностей см. на странице NIS2 and DORA в документации.

Пришлите нам анкету поставщика или три главные статьи расходов на безопасность из прошлогоднего бюджета. Мы ответим на развёрнутом экземпляре на одном из наших собственных серверов, письменно, включая пробелы. Или скачайте PDF и перешлите коллеге.

Скачать PDF