Перейти до основного вмісту
Думки та бачення:
Думки та бачення
14 трав. 2025
7 хв. читання

Вплив Директиви NIS2 на підприємства критичної інфраструктури України в межах інтеграції до ЄС

Сучасна тенденція на інтеграцію економіки не зупинилась навіть попри війну та нову тарифну політику США. Україна потребує інтеграції до європейського єдиного цифрового ринку, тому що це питання виживання країни, необхідності відновлення пошкодженої війною цифрової інфраструктури і можливість отримати доступ до сучасних цифрових технологій. Для досягнення цієї мети необхідні ресурси та підтримка з боку ЄС. Це накладає на Україну зобов’язання відповідати законодавству Європейського Союзу з кібербезпеки («Cyber Resilience Act», Директива NIS2).

Європейська директива мережевої та інформаційної безпеки (NIS2) відіграє ключову роль у формуванні кібербезпекового ландшафту критичної інфраструктури ЄС. Завдяки своїм суворим операційним та звітним вимогам NIS2 підвищить необхідний рівень навичок у командах з кібербезпеки й матиме у майбутньому значний вплив на підприємства критичної інфраструктури України. Зважаючи на те, що підготовка до відповідності вимогам Директиви NIS2 – це кропіткий, затратний процес, який потребує багато часу і ресурсів з підготовки персоналу та досягнення рівня зрілості, що надає спроможність відповідати вимогам NIS2, планування та впровадження необхідних заходів треба розпочинати вже зараз.

Інтеграція NIS2 у національне законодавство

На сьогодні процес інтеграції NIS2 у законодавство країн-членів ЄС знаходиться на завершальній стадії. Директива офіційно набула чинності у січні 2023 року, і національні парламенти країн-членів ЄС мали термін до 17 жовтня 2024 року для внесення відповідних вимог Директиви до національного регулювання. Станом на початок 2025 року Бельгія, Естонія, Хорватія, Угорщина, Італія, Латвія, Словаччина і Литва вже завершили цей процес. Інші країни-члени ЄС, такі як Німеччина, Данія, Франція, Нідерланди, Люксембург, Польща, Португалія, Іспанія та Чехія, знаходились на фазі прийняття закону парламентами.

У цьому контексті Україні, як країні, що прагне стати членом ЄС, варто готуватися до впровадження вимог Європейської директиви мережевої та інформаційної безпеки в національне законодавство. Цей процес краще розпочинати на стадії ведення перемовин про приєднання країни до Європейського Союзу, що може надати певну гнучкість у подальшому забезпеченні виконання вимог NIS2, дозволяючи Україні адаптувати свою наявну національну систему кібербезпеки до європейських вимог.

Кого стосується Директива вже зараз?

Директива NIS2 підтвердила належність до критичної інфраструктури: фінансових установ та банків, підприємств транспортного сектору, постачання та дистрибуції, медичного і енергетичного секторів, підприємств цифрової інфраструктури і постачальників цифрових послуг, а також постачальників питної води. Одночасно NIS2 розширила сферу застосування на підприємства, організації та установи у таких галузях: космічна та хімічна промисловість, виробництво, постачання продуктів харчування, поштові та кур’єрські послуги, поводження з відходами й очищення води, цифрові послуги та управління ІКТ. Крім того, Директива охоплює установи та організації сектору державного управління (див. Малюнок 1).

Малюнок 1. Сфери застосування NIS2

Хоча NIS2 формально діє лише в ЄС, українські компанії можуть бути визначені як оператори критичних послуг або важливі постачальники, якщо ведуть свою діяльність у країнах ЄС. До українських підприємств, таких як Нова Пошта, Укрзалізниця, МХП, вже можуть застосовуватися вимоги NIS2, тому що вони надають у країнах Європейського Союзу поштові послуги (Нова Пошта), послуги із залізничних перевезень (Укрзалізниця), а також постачають продукти харчування (МХП).

Інші українські підприємства можуть стати важливими постачальниками для європейських партнерів у таких сферах:

  • ІТ-аутсорсинг: розробка програмного забезпечення, інформаційних систем або систем надання цифрових послуг.
  • Логістика: забезпечення транспортування товарів для критичних секторів ЄС.
  • Виробництво: постачання компонентів для енергетики або медичного обладнання.
  • Охорона здоров’я: надання цифрових медичних послуг/консультацій для резидентів ЄС, дистанційний моніторинг стану пацієнтів.

Чи достатньо сертифіката відповідності ISO 27001 для виконання вимог NIS2?

Наявність сертифікатів за стандартами ISO 27001 та іншими стандартами серії 27000 (наприклад, ISO 27701) є важливим кроком до відповідності вимогам Директиви NIS2, але цього недостатньо. ISO 27001 забезпечує міцну основу для управління інформаційною безпекою, але NIS2 має ширший обсяг і включає специфічні вимоги, які не завжди охоплені ISO 27001. Стандарти ISO мають такі розбіжності, порівнюючи з вимогами NIS2:

  • NIS2 вимагає впровадження конкретних технічних заходів, таких як системи моніторингу та виявлення загроз, які не є обов’язковими в межах ISO 27001.
  • На національному рівні NIS2 вимагає створення групи реагування на інциденти комп’ютерної безпеки (CSIRT) та національного органу із забезпечення кібербезпеки національних мережевих та інформаційних систем, а також створення на міжнаціональному рівні групи співпраці з питань кіберзахисту критичної інфраструктури.
  • Директивою передбачено обов’язкове звітування про інциденти протягом 24 годин, надання більш детальної інформації про наслідки інциденту протягом 72 годин, а також проведення ретельного аналізу причин інциденту й підготовка звіту з детальним описом першопричин протягом 30 днів, що теж виходить за межі стандарту ISO.

Виклики для українських підприємств у контексті імплементації вимог Директиви NIS2

Одним із викликів, що може виникнути в процесі інтеграції NIS2 в українське законодавство, є регуляторна невизначеність. У ЄС різні країни можуть по-різному імплементувати Директиву, що може призвести до складності у досягненні відповідності, якщо вести операційну діяльність у декількох країнах Європейського Союзу. Це, своєю чергою, може призвести до більших витрат на впровадження контролів і заходів з мінімізації ризиків або до недооцінки ризиків та серйозних наслідків у разі реалізації неврахованих чи недооцінених загроз.

Українські організації, особливо ті, що належать до критичної інфраструктури, повинні ретельно орієнтуватися у цих нюансах для того, щоби досягати оптимального для себе стану з кібербезпеки і мінімізувати саме ті ризики, які становлять для них небезпеку.

Окремим викликом, який стоїть перед українськими підприємствами і організаціями, є зростаючий попит на кваліфікованих фахівців із кібербезпеки. Протягом 2024 року в Європейському Союзі спостерігалося зростання потреби в додаткових фахівцях із кібербезпеки на рівні 9,8% від загальної кількості з приблизно 900 тис. наявних фахівців, що еквівалентно дефіциту у 88 200 кваліфікованих осіб. Оскільки NIS2 вимагає навичок з управління ризиками, розробки фреймворків контролів кібербезпеки, управління безперервністю, які і зараз є дефіцитними, ця потреба у кадрах, безумовно, зростатиме й надалі.

Українські організації повинні інвестувати у розширення своїх команд із кібербезпеки та у підвищення їхньої кваліфікації для відповідності вимогам NIS2. Це включає перепідготовку, підвищення кваліфікації та, за потреби, наймання додаткового персоналу. Усунення дефіциту кадрів є критичним для ефективної імплементації сучасної та надійної системи управління кібербезпекою.

Вплив NIS2 на вимоги до ключових видів діяльності та навичок персоналу

NIS2 значно впливає на попит щодо фахівців із різними навичками й ролями у командах з кібербезпеки. Директива наголошує на декількох ключових видах діяльності (див. Малюнок 2), які стануть важливими для організацій, зокрема:

Управління ризиками
  • Оцінка стану кібербезпеки: виявлення вразливостей і слабких місць у мережевих та інформаційних системах.
  • Регулярні аудити та огляд кібербезпеки: періодична оцінка ефективності кібербезпекових заходів.
  • Розробка політик кібербезпеки: створення політик, процедур і планів управління кібербезпекою, а також управління ризиками та інцидентами кібербезпеки.
  • Планування безперервності бізнесу: розробка й підтримка планів забезпечення безперервності бізнесу, планів аварійного відновлення, оцінки впливу на бізнес негативних факторів.
  • Дотримання вимог із захисту даних та конфіденційності: забезпечення надійного захисту даних та конфіденційності, а також відповідність вимогам GDPR.
Впровадження
  • Розробка фреймворків з управління кібербезпекою: створення та підтримка системного підходу для управління станом кібербезпеки, ризиками, впровадження контролів з попередження та пом’якшення ризиків.
  • Програми навчання та підвищення обізнаності: проведення регулярних навчань та підвищення обізнаності з кібербезпеки для персоналу на всіх рівнях.
  • Імплементація безпекових заходів: забезпечення впровадження таких заходів, як багатофакторна аутентифікація, управління активами, доступом та змінами тощо.
  • Галузева та міжсекторальна співпраця: сприяння співпраці в межах однієї галузі та між секторами, особливо щодо обміну інформацією про загрози і координації заходів реагування на значні інциденти.
Управління та звітність
  • Управління вразливостями та звітність: виявлення вразливостей та аналіз і оцінка пов’язаних ризиків, звітність і управління вразливостями.
  • Реагування на інциденти та комунікації: впровадження та покращення планів реагування на інциденти, включно з комунікаціями під час інцидентів та своєчасним звітуванням відповідним органам.
  • Моніторинг і аналіз кіберзагроз: впровадження сучасних систем моніторингу й аналізу кіберзагроз, доведення інформації про ці загрози до відома партнерів та державних органів.
  • Управління безпекою ланцюга постачання: забезпечення безпеки ланцюга постачання, оцінка кібербезпекових практик постачальників і сервісних провайдерів.

Малюнок 2. Ключові напрями діяльності з кібербезпеки відповідно до NIS2

Для надання і підтримки цих складових на необхідному рівні українські організації потребуватимуть спеціалістів із різноманітними фаховими навичками та організаційними ролями, які забезпечать кіберзахист. Необхідно організувати перепідготовку, підвищення кваліфікації таких спеціалістів, а також наймання додаткового персоналу для успішної адаптації до вимог NIS2.

Допомога від Deloitte

Компанія Deloitte пропонує українським підприємствам та організаціям допомогу у підготовці до впровадження вимог NIS2 та у досягненні відповідності цим вимогам шляхом:

  • розробки та покращення стратегії кібербезпеки: розробка нових і покращення наявних стратегій кібербезпеки відповідно до бізнес-стратегій та вимог регуляторного поля;
  • навчання персоналу: проведення тренінгів і підвищення кваліфікації;
  • розробки фреймворків із кібербезпеки: створення й оновлення відповідно до міжнародних стандартів системи управління кіберзахистом організації;
  • оцінювання ризиків та виявлення вразливостей: проведення аналізу та оцінки ризиків, сканування систем та проведення тестів на проникнення для виявлення й усунення вразливостей та побудови моделі ризиків;
  • розробки планів реагування на інциденти та забезпечення безперервності бізнесу: створення планів для підтримання критичних бізнес-процесів, аварійного відновлення, а також перевірка їхньої дієвості;
  • імплементації заходів кіберзахисту: впровадження ефективних заходів кібербезпеки, визначення ефективних метрик управління системою кібербезпеки;
  • розвитку спроможності оперативно управляти інцидентами: покращення здатності організацій ефективно та своєчасно виявляти загрози, реагувати на інциденти кібербезпеки та зменшити вплив кіберінцидентів на критичні бізнес-процеси.

Висновки

Інтеграція Директиви NIS2 для українських підприємств критичної інфраструктури приносить як виклики, так і можливості. Адаптація національних законів для відповідності NIS2 підвищить стандарти кібербезпеки й вимагатиме значних інвестицій у розвиток персоналу та систему управління кібербезпекою організації. Українські підприємства та установи повинні зосередитися на усуненні дефіциту кадрів, імплементації надійних заходів управління ризиками й сприянні міжсекторальній співпраці для забезпечення відповідності суворим вимогам NIS2. Компанія Deloitte готова надати допомогу українським організаціям та підприємствам у досягненні відповідності вимогам Директиви.

Зв’язатися з нами

Андрій Красний

Директор, департамент управління ризиками
+380 (50) 464 81 45

Чи було це для вас корисним?

Дякуємо за ваш зворотний зв'язок

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?