NIS2 (Network and Information Security Directive 2) — это европейский аналог «обязательной кибербезопасности для бизнеса». Если вы предоставляете digital-услуги в ЕС, вы, скорее всего, уже под регулированием.
Кто подпадает
NIS2 делит компании на «essential» и «important». SMB обычно попадают во вторую категорию, если работают в:
- →Цифровые услуги (SaaS, маркетплейсы, поисковики, соцсети)
- →Здравоохранение (телемедицина, e-health платформы)
- →Энергетика (EV charging, smart grid)
- →Транспорт и логистика (цифровые платформы)
- →Финансы (payment services, fintech)
- →Производство (если критическое)
💡
С 10 сотрудниками и €2M оборота вы уже в NIS2. Это не только для «больших».
Штрафы
| Категория | Максимум | Тип санкции |
|---|---|---|
| Important entities | €7 млн или 1,4% оборота | Административный штраф |
| Essential entities | €10 млн или 2% оборота | Административный штраф |
| Руководители | Личная ответственность + запрет на должность | Дисквалификация |
10 вещей, которые нужно сделать за 30 дней
- 1Определить, попадаете ли вы под NIS2 (по сектору и размеру)
- 2Назначить ответственного за compliance (можно part-time)
- 3Составить карту IT-активов (серверы, сервисы, данные)
- 4Внедрить risk assessment — что если упадёт/сломается/взломают
- 5Политика обработки инцидентов — кому сообщать, в какие сроки
- 6Регистрация в национальном реестре (в каждой стране свой — ENISA для трансграничных)
- 7Обучить команду базовым правилам (фишинг, пароли, 2FA)
- 8Бэкапы 3-2-1 (3 копии, 2 носителя, 1 off-site)
- 9План реагирования на инцидент — first 24 hours
- 10Аудит подрядчиков с доступом к данным
Связь NIS2 и GDPR
NIS2 и GDPR пересекаются, но это разные законы. GDPR — про защиту ПД, NIS2 — про защиту инфраструктуры и услуг. Штрафы суммируются. Если у вас утечка ПД из-за кибер-инцидента, прилетит и по GDPR (до €20 млн), и по NIS2.
