Евросоюз заставляет тестировать ИТ-системы на кибератаки каждую по отдельности

Также компании теперь обязаны сообщать о серьезных киберугрозах или сбоях в защите соответствующим государственным органам. В частности, они должны указывать масштаб атаки, ее тип, продолжительность, географическое распространение и последствия для сети, а также отчитываться о мерах, которые были приняты по ее сдерживанию и устранению. Повышенное внимание в NIS Directive уделяется безопасности финансовых площадок в интернете, облачных хранилищ и поисковых систем.

Введение NIS Directive прокомментировал Дмитрий Гвоздев, генеральный директор российской компании «Монитор безопасности». По его словам, введение обязательной проверки причиняет много хлопот тестируемым компаниям. На это жаловались австрийские партнеры его фирмы, в частности, компания Sec-Consult. По словам Гвоздева, интерес европейских компаний к ИБ-услугам значительно возрос, что провоцирует рост этого сегмента рынка в ЕС.

Гвоздев отмечает, что в России в большинстве случаев определяется тип информации, которая должна быть защищена. Соответственно, организациям, работающим с этим типом информации, необходимо предпринимать определенные действия по ее защите. В отличие от российской практики в NIS Directive определяются конкретные типы компаний, которые будут проверяться. По мнению эксперта, вскоре эта практика придет и в Россию, поскольку стандарты Международной организации по стандартизации в конечном счете внедряются по всему миру. А значит, российский рынок ИБ-услуг также ожидает рост.

NIS Directive была утверждена Европейским парламентом 6 июля 2016 г. и вступила в силу в августе того же года. У стран-участниц есть 21 месяц, чтобы интегрировать директиву в национальные законодательства, и еще шесть месяцев, чтобы составить список провайдеров цифровых услуг, которые подлежат проверке. NIS Directive может не затронуть Великобританию в связи с ее выходом из ЕС, но будет работать в Германии, несмотря на то, что в 2015 г. там был принят собственный национальный закон о кибербезопасности.

NIS Directive требует, чтобы каждая страна-участник имела группу или несколько групп реагирования на инциденты, связанные с кибербезопасностью (CSIRT), а также профильные ИБ-ведомства при правительстве. Впоследствии CSIRT будут объединены в международную общеевропейскую сеть.

На международном уровне будет также создана специальная Группа кооперации, при посредничестве которой страны-участницы будут делиться информацией об инцидентах и угрозах. Группа также поможет странам адаптировать NIS Directive к местным условиям и подготовиться к ее выполнению. Группа кооперации должна представить рабочую программу в течение 18 месяцев, каждые 1,5 года она будет отчитываться перед ЕС.

Также каждая страна-участница должна разработать и представить национальную ИБ-стратегию. В стратегии должны быть указаны объекты, требующие повышенной кибербезопасности, и описаны меры по ее упрочению. Стратегия должна содержать план по оценке рисков, методологию сотрудничества частного и общественного секторов, а также план исследований и разработок в ИБ-секторе.