Обговорити проєкт
§ Регуляторика на практиці

NIS2 для українських операторів КІІ: чек-лист

18 жовтня 2024 NIS2 чинна в ЄС. Для української КІІ — практичний чек-лист підготовки.

ЧАС: 14 хв читання СКЛАДНІСТЬ: Розширена ОНОВЛЕНО: 2026-05-14

18 жовтня 2024 року в усіх країнах ЄС набула чинності Директива NIS2. Для українських операторів критичної інформаційної інфраструктури це не «закордонна історія»: євроінтеграція означає поступове транспонування NIS2 у національне законодавство, а українські компанії, що працюють з європейськими партнерами, зачіпаються вже зараз. Стаття — практичний чек-лист підготовки.

Коротко про NIS2

Directive (EU) 2022/2555 (NIS2) — друга версія Network and Information Security директиви, прийнята у 2022 році і чинна з 18 жовтня 2024 року. Замінила NIS1 (2016) з істотним розширенням сфери застосування і вимог.

Чотири основні відмінності від NIS1:

  • Розширений перелік секторів: від 7 у NIS1 до 18 у NIS2.
  • Жорсткіші вимоги до інцидент-репортингу: 24/72 години замість «без зволікання».
  • Персональна відповідальність керівництва: топ-менеджмент може бути особисто притягнутий до відповідальності.
  • Великі штрафи: до 10 млн євро або 2% глобального обороту.

Хто потрапляє під дію

NIS2 ділить організації на два класи:

Клас Сектори Розмір
Essential entities (істотні) Енергетика, транспорт, банки, фінансовий ринок, охорона здоров’я, водопостачання, цифрова інфраструктура, ICT-управління, державна адміністрація, космос Великі (250+ співробітників або >50 млн євро обороту)
Important entities (важливі) Поштові послуги, відходи, хімія, харчова промисловість, виробництво (медустаткування, електроніка, машинобудування), digital providers, дослідницькі організації Середні (50+ співробітників або >10 млн євро обороту)

Для українських компаній: якщо ви — істотний/важливий subject за NIS2 і обслуговуєте європейських клієнтів або маєте інфраструктуру в ЄС — діє безпосередньо. Якщо тільки в Україні — діє через українську транспозицію (поки часткову).

Article 21: 10 заходів кібербезпеки

Серце NIS2 — стаття 21, що визначає 10 категорій заходів, які повинна впровадити кожна суб’єкт:

  1. Risk management policy: формальна політика аналізу та управління ризиками інформаційної безпеки.
  2. Incident handling: процедури виявлення, реагування, відновлення (див. матеріал «Інцидент-менеджмент»).
  3. Business continuity: BCP/DR з реальним тестуванням.
  4. Supply chain security: оцінка ризиків постачальників, договірні зобов’язання щодо безпеки.
  5. Security in acquisition, development, maintenance: SDLC з врахуванням безпеки, vulnerability management.
  6. Effectiveness measurement: метрики ефективності заходів безпеки.
  7. Cyber hygiene and training: регулярні тренінги, обізнаність персоналу.
  8. Cryptography: політики криптографічного захисту, key management.
  9. Personnel security and access control: перевірка персоналу, контроль доступу.
  10. MFA, secure communications, secure emergency comms: двофакторна автентифікація, захищені комунікації.

24/72 години reporting

Реальна різниця у термінах сповіщень за NIS2:

  • 24 години — early warning: повідомлення компетентного органу про значний інцидент. Не потрібен повний аналіз — достатньо факту і початкової оцінки.
  • 72 години — incident notification: детальний звіт з оцінкою серйозності, ймовірних причин, вжитих заходів.
  • 1 місяць — final report: повний звіт з root cause analysis, виправленнями, превентивними заходами.

Що вважається «значним інцидентом»: істотне порушення доступності, цілісності, конфіденційності даних або послуг; інцидент, що зачіпає >X користувачів або фінансові втрати >Y євро (конкретні пороги визначає національне законодавство).

Українські вимоги: mapping

Українське законодавство паралельно розвивається у тому ж напрямі:

NIS2 вимога Український аналог
Реєстр КІІ Закон 1882-IX «Про критичну інфраструктуру»
Заходи кібербезпеки КМУ № 943 (вимоги до КІІ), НД ТЗІ серії 2.5
Реагування на інциденти КМУ № 518 (порядок повідомлення про інциденти)
Координація з регулятором Адміністрація Держспецзв’язку, CSIRT-UA

Практичний чек-лист підготовки (20 пунктів)

Організаційні (1-7)

  1. Призначений відповідальний за кібербезпеку на рівні топ-менеджменту.
  2. Затверджена політика безпеки інформації.
  3. Сформована команда incident response (внутрішня або зовнішній SOC).
  4. Каталог критичних інформаційних активів.
  5. Реєстр інформаційних активів і їх класифікація.
  6. Договірні зобов’язання з критичними постачальниками щодо безпеки.
  7. Програма регулярного тренінгу персоналу (мінімум раз на рік).

Процесні (8-13)

  1. Документована процедура управління ризиками з регулярним перегляданням.
  2. Playbooks для типових інцидентів (мінімум 5 категорій).
  3. BCP/DR з RTO/RPO для кожної критичної функції.
  4. Vulnerability management процес (сканування, патчинг, верифікація).
  5. Контактні особи у CSIRT-UA, Адміністрації Держспецзв’язку, регулятор сектору.
  6. Шаблони сповіщень: 24h, 72h, final report.

Технічні (14-20)

  1. MFA для всіх адміністративних облікових і доступу до критичних даних.
  2. WORM-журнал подій з збереженням >1 рік.
  3. Endpoint detection and response (EDR) на критичних серверах і робочих станціях.
  4. Network segmentation з контролем cross-segment трафіку.
  5. Резервне копіювання з регулярним тестуванням відновлення.
  6. Криптографічний захист даних at-rest і in-transit (ДСТУ 7624 або AES-256, ДСТУ 4145 для підписів).
  7. Програма security testing (мінімум penetration testing раз на рік).

Терміни виконання

Для організацій, що ще не привели КСЗІ у відповідність:

  • 0-3 місяці: аудит поточного стану, gap analysis, формування roadmap.
  • 3-9 місяців: впровадження організаційних і процесних заходів (документація, тренінги, процедури).
  • 6-18 місяців: впровадження технічних заходів (MFA, EDR, segmentation, бекапи).
  • 18-24 місяці: формальна сертифікація / експертиза, перші регуляторні цикли.

Штрафи

За NIS2:

  • Essential entities: до 10 млн євро або 2% глобального обороту (бере більше).
  • Important entities: до 7 млн євро або 1.4% обороту.
  • Особиста відповідальність керівництва: до тимчасової заборони обіймати керівні посади.

Українські штрафи (наразі) — нижче, але тенденція до зближення з європейськими по мірі повної транспозиції NIS2.

[ ПРАКТИЧНА РЕАЛІЗАЦІЯ ]
Як UBD покриває Article 21 архітектурно

UBD реалізує більшість Article 21 вимог архітектурно: MFA, гранулярний контроль доступу, WORM-журнал подій з retention 5+ років, криптографія ДСТУ 7624 і ДСТУ 4145, secure communications через TLS 1.3. Це означає: для NIS2-compliance не треба будувати окремий стек безпеки — він є частиною платформи. Потрібне підтвердження документально через КСЗІ-пакет (див. матеріал «КСЗІ для системи на UBD»).

UnityBaseDefense — технічна довідка →

Мітки
← База знань
Усі розділи дисципліни
Наступна →
КМУ № 712 (2025): ризик-орієнтована методологія авторизації