Вимоги до комплаєнсу
З прийняттям Директиви ЄС 2022/2555, також відомої як NIS 2, вимоги до комплаєнсу у компаніях зросли. З NIS 2 реагують на загрози кібератак в ЄС. Директива регулює кібер- та інформаційну безпеку компаній та установ. Кібератаки тепер вважаються одним з найбільших бізнес-ризиків для компаній у всьому світі.
NIS 2 замінює Директиву ЄС 2016/1148 (NIS 1) і має сприяти покращенню кібербезпеки в Європейському Союзі та кращому захисту компаній. Впровадження Директиви NIS-2 також вимагає підвищених вимог до управління ризиками та комплаєнсу у багатьох компаніях. Якщо заходи не впроваджуються у компаніях належним чином, це може призвести до санкцій, згідно з MTR Legal Rechtsanwälte .
ЄС ухвалив Директиву NIS-2 у 2023 році, і до 2025 року держави-члени повинні інтегрувати її у національне законодавство. Які компанії підпадають під дію цієї директиви, залежить переважно від характеру їх діяльності. Директива була розширена на інші компанії, які вважаються суттєвими (essential) та важливими (important). Це призводить до значного збільшення кількості компаній та установ, які повинні виконувати законодавчі обов’язки перед Федеральним відомством з інформаційної безпеки (BSI).
Постраждалі критичні інфраструктури
До критичних інфраструктур, які вже підпадали під дію Директиви NIS-1, таких як енергетика, транспорт, охорона здоров’я, фінанси, водопостачання та цифрова інфраструктура, NIS-2 Директива включає додаткові сектори. До них відносяться публічні електронні послуги, інші цифрові послуги, такі як соціальні платформи, управління стічними водами та відходами, поштові та кур’єрські служби, державне управління або виробники критичних продуктів. За оцінками, в Німеччині близько 29,000 компаній у різних галузях підпадуть під дію Директиви NIS-2. В основному, будуть залучені середні та великі компанії в критичних секторах, щоб вжити відповідних заходів для захисту від кіберзагроз і встановити ефективний комплаєнс. Вони також будуть зобов’язані інформувати відповідні органи про інциденти безпеки, які мають значні порушення або шкоду.
Директива NIS-2 також містить положення про нагляд, примусове виконання і добровільні взаємні огляди, щоб зміцнити взаємну довіру і кібербезпеку в усьому Європейському Союзі. Це також означає, що менеджмент несе відповідальність, якщо заходи управління ризиками кібербезпеки не дотримуються.
Реакція на атаки на кібербезпеку
З Директивою NIS-2 створюється мережа команд реагування на інциденти безпеки в комп’ютерах, щоб обмінюватися інформацією про загрози безпеці та відповідати на інциденти належним чином. Крім того, створюється європейська мережа з’єднання організацій для кіберкриз. Ця мережа підтримує регулярний обмін інформацією між державами-членами та органами ЄС, щоб мати можливість реагувати на інциденти та кризи великого масштабу.
Як саме NIS 2 буде інтегровано в національне законодавство Німеччини, ще не визначено. Причина полягає в тому, що впровадження затягнулось через дострокові вибори в Бундестаг. Проте відомо, що з впровадженням кібербезпека стане темою також для багатьох середніх підприємств.
Компанії зобов’язані впроваджувати заходи безпеки
Вони зіштовхнуться з викликом впровадження необхідних заходів безпеки через NIS 2, щоб захистити дані та критичну інфраструктуру від можливих кібератак. Потрібно вжити необхідних технічних та організаційних заходів. Якщо компанія стане жертвою кібератаки, повинні бути плани для негайного локалізації шкоди та відновлення систем. Відповідні органи також повинні бути поінформовані. Крім того, компанії повинні проводити регулярні тести для виявлення та усунення вразливих місць. Кібербезпека також повинна існувати в ланцюжку постачання. Таким чином, потрібно реагувати на ризики і в цій галузі.
Впровадження Директиви NIS-2 створює виклики для ефективного комплаєнсу в постраждалих компаніях, особливо тоді, коли члени ради та виконавчі органи можуть нести персональну відповідальність, якщо необхідні заходи безпеки не впроваджуються.
MTR Legal Rechtsanwälte підтримує компанії в реалізації ефективних систем комплаєнсу і забезпечує дотримання законодавства. Як економічна консалтингова компанія, MTR Legal консультує щодо комплаєнсу і інших питань економічного кримінального права.
Зв’яжіться з нами !
