Кибербезопасность больше не является только делом технического отдела. Для многих предприятий в Греции она стала правовой обязанностью, вопросом управления и вопросом непрерывности бизнеса. Директива NIS2 и греческий Закон 5160/2024 меняют подход к киберрискам в критически важных отраслях: энергетике, транспорте, здравоохранении, финансовых услугах, цифровой инфраструктуре, пищевой сфере, курьерских услугах, производстве, исследованиях, выпуске отдельных продуктов и других видах деятельности, которые могут влиять на экономическую и общественную жизнь.
Проще говоря, государство больше не спрашивает только "у вас есть антивирус?". Оно спрашивает, знает ли предприятие, какие системы у него есть, какие поставщики имеют доступ, кто принимает решения при инциденте, когда уведомляется орган, есть ли резервные копии, утвердило ли руководство политики и можно ли все это доказать.
NIS2 — это не просто технический checklist
Руководству нужна документированная картина по системам, поставщикам, backups, ролям, инцидентам и сообщениям. Это означает решения, записи и контроль применения, а не только покупку нового software.
Эта статья практично объясняет, кого касается NIS2 в Греции, что должна проверить компания и какие первые шаги имеют смысл до того, как вопрос станет срочным.
Что такое NIS2 и почему это важно сейчас
NIS2 — это вторая европейская директива о безопасности сетей и информационных систем. Она заменила прежнюю NIS1 и значительно расширила сферу применения. Греция включила ее в национальное право Законом 5160/2024, опубликованным в Правительственном вестнике A' 195/27.11.2024.
Основная идея проста: когда предприятие или организация предоставляет услугу, критически важную для рынка, общества или публичной функции, оно не может относиться к кибербезопасности как к необязательному расходу. У него должна быть организованная система предотвращения, управления рисками, реагирования на инциденты и сообщения о серьезных событиях.
NIS2 касается не только "крупных банков" или "государственных органов". Она касается и частных предприятий, работающих в определенных секторах и отвечающих критериям размера или более специальным условиям. Поэтому первый практический вопрос для каждой компании: "Попадаю ли я в сферу применения или нет?"
Какие предприятия могут быть затронуты
Греческий закон строится вокруг двух категорий: "основные субъекты" и "важные субъекты". Это не простые ярлыки. Категория влияет на уровень надзора, обязанности и способ, которым предприятие должно организовать свое соответствие.
Как правило, рассматриваются две вещи: отрасль деятельности и размер предприятия. Средние и крупные предприятия в критически важных секторах первыми должны провести проверку применимости. Однако есть и случаи, когда включение может действовать независимо от размера, например для некоторых поставщиков цифровых или электронных услуг, поставщиков доверительных услуг, реестров доменных имен верхнего уровня и DNS-сервисов.
Ориентировочная контрольная таблица
| Вопрос | Почему это важно | Практическое действие |
|---|---|---|
| В какой отрасли работает предприятие? | NIS2 применяется к конкретным секторам высокой или иной критичности. | Сравните коды деятельности, фактическую деятельность и договоры с Приложениями Закона 5160/2024. |
| Является ли оно средним или крупным предприятием? | Размер является основным критерием включения для многих категорий. | Проверьте работников, оборот и баланс по критериям МСП. |
| Предоставляет ли оно критическую услугу другим предприятиям? | Последствия перерыва могут повышать значение субъекта. | Картируйте клиентов, SLA, публичные услуги и критические зависимости. |
| Есть ли у него цифровая инфраструктура, cloud, managed services или security services? | Цифровые поставщики имеют особое значение в NIS2. | Проверьте, относитесь ли вы к поставщикам DNS, cloud, data center, MSP, MSSP или online marketplaces. |
| Есть ли обязанность регистрации на платформе самодекларации? | Регистрация является правовой обязанностью для субъектов, подпадающих под действие закона. | Проведите документированную оценку и, где требуется, зарегистрируйтесь на nis2register.cyber.gov.gr. |
Примеры предприятий, которым стоит серьезно посмотреть на NIS2
Курьерская компания с разветвленной сетью доставки рискует не только потерей email. Если выйдет из строя система маршрутизации, отслеживания посылок или выставления счетов, перерыв может затронуть клиентов, партнеров и рынок. Пищевая компания с промышленным производством имеет не только коммерческий риск. Если инцидент затронет производственную линию, прослеживаемость или холодовую цепь, проблема может стать операционной и регуляторной.
То же относится к технологическим поставщикам. Компания, предлагающая managed IT многим клиентам, может стать "центральным коридором" атаки. Если будет скомпрометирован инструмент удаленного управления, пострадает не только она сама, но и ее клиенты. Именно здесь NIS2 настаивает на безопасности цепочки поставок и отношениях с прямыми поставщиками или поставщиками услуг.
На практике многие греческие предприятия не найдут ответ только по своему названию. Им придется посмотреть, чем они действительно занимаются. Одно дело — "IT-компания", продающая оборудование в розницу, и другое — компания, которая предоставляет cloud, data center, cybersecurity или услуги управления инфраструктурой критическим клиентам.
Что означает "основной" и что означает "важный" субъект
Основные субъекты связаны с более высокой степенью критичности. На практике это означает повышенное внимание, большую вероятность предварительного надзора и более высокие требования к документации. Важные субъекты не являются "мягкой" категорией. У них тоже есть существенные обязанности; просто способ надзора и интенсивность проверок могут отличаться.
Разница важна и для штрафов. За нарушения, связанные с мерами управления рисками или обязанностями сообщения об инцидентах, Закон 5160/2024 предусматривает верхние пределы, которые могут достигать для основных субъектов 10 000 000 евро или 2% мирового годового оборота, а для важных субъектов 7 000 000 евро или 1,4% мирового годового оборота, в зависимости от того, что выше.
Эти суммы не означают, что каждое нарушение автоматически ведет к максимальному штрафу. Но они означают, что соответствие не может оставаться папкой с общими политиками. Руководство должно быть способно показать, что оно поняло риск, утвердило меры, выделило ресурсы и отслеживает применение.
Платформа самодекларации и первая административная обязанность
Национальный орган кибербезопасности запустил платформу регистрации субъектов для Закона 5160/2024. Регистрация касается не физических лиц, а юридических лиц и организаций, подпадающих под сферу применения. Платформа запрашивает такие сведения, как основные данные субъекта, законный представитель, вид услуг, IP ranges и domain names.
Это важно, потому что показывает логику закона. Орган хочет знать не только "кто существует". Он хочет иметь картину цифровых поверхностей, поддерживающих критические услуги. Предприятие, которое не зарегистрировало свои domains, системы, публичные IP, поставщиков и точки доступа, столкнется с трудностями и при регистрации, и при реальном соответствии.
Правильный подход — не "быстро зарегистрируемся, а там посмотрим". Нужно провести внутреннюю проверку: применимость, категория, услуги, системы, ответственные лица, поставщики, данные для подачи и процедура обновления при изменениях.
Что практически должна сделать компания
NIS2 не требует от всех предприятий одних и тех же инструментов. Но она требует подходящих и соразмерных технических, операционных и организационных мер. Это означает, что предприятие с 250 работниками, cloud ERP, производственными системами и десятками поставщиков не может иметь такую же зрелость, как небольшое бюро. Соразмерность — не оправдание бездействия. Это способ спроектировать меры, которые соответствуют реальному риску.
Первые шаги соответствия
| Шаг | Что делаем | Что должно остаться как доказательство |
|---|---|---|
| 1. Проверка применимости | Проверяем отрасль, размер, услуги и специальные категории. | Краткая записка о применимости с правовой и технической документацией. |
| 2. Картирование систем | Фиксируем критические системы, domains, IP, приложения, cloud, backups. | Реестр активов, схема сети, список поставщиков и ответственных лиц. |
| 3. Risk assessment | Оцениваем вероятность, последствия и приоритеты рисков. | Таблица рисков, дата, участники, решение руководства. |
| 4. Risk treatment plan | Выбираем меры: MFA, backups, logging, patching, endpoint security, incident response. | План действий с ответственным, сроком и status. |
| 5. Процедура incident response | Определяем, кто что делает при инциденте. | Playbook, список контактов, template отчета, учения. |
| 6. Обучение | Обучаем руководство и персонал как минимум ежегодно. | Списки присутствия, учебные материалы, короткие тесты понимания. |
| 7. Контроль поставщиков | Вводим требования безопасности для IT, cloud, ERP, MSP, MSSP, payroll, logistics. | Договорные положения, security questionnaires, SLA, DPA где требуется. |
Меры не являются только техническими
Многие предприятия слышат "кибербезопасность" и думают о firewall. NIS2 шире. Она включает политики анализа рисков, управление инцидентами, непрерывность бизнеса, резервные копии и восстановление, безопасность цепочки поставок, безопасную разработку и сопровождение систем, оценку эффективности мер, кибергигиену, обучение, шифрование, контроль доступа, управление активами и многофакторную аутентификацию.
Ключевой момент — связь технических мер с ответственностью руководства. Если у предприятия есть MFA, но оно не знает, на какие учетные записи он не распространяется, есть пробел. Если есть backups, но не проверялось restore, есть пробел. Если есть IT-поставщик, но нет договора, где сказано, когда он уведомляет об инциденте, есть пробел. Если есть политика безопасности, но сотрудники ее не знают, есть пробел.
Совместное министерское решение 1689/2025 о Национальной рамке требований к кибербезопасности делает эту логику еще более практичной. Оно говорит о технических, операционных и организационных мерах, о целостном подходе к риску, соразмерности и доказательствах: политиках, процедурах, протоколах совета директоров, договорах, сертификатах обучения, схемах сети, планах непрерывности бизнеса, отчетах проверок и других материалах, показывающих, что соответствие применяется.
Сообщение об инцидентах: 24 часа и 72 часа
Один из самых практических и сложных пунктов — сообщение о значительных инцидентах. Закон предусматривает, что основные и важные субъекты уведомляют о значительных инцидентах компетентную CSIRT Национального органа кибербезопасности. Значительным считается, в частности, инцидент, который вызвал или может вызвать серьезное операционное нарушение или финансовый ущерб, либо повлиять на других физических или юридических лиц с существенным материальным или нематериальным ущербом.
Временное давление велико. Раннее предупреждение должно подаваться без неоправданной задержки и в любом случае в течение 24 часов с момента, когда субъект узнал о значительном инциденте. Более полное уведомление об инциденте должно последовать в течение 72 часов. Итоговый отчет, как правило, подается не позднее одного месяца после уведомления.
Это означает, что incident response нельзя писать после события. Он должен существовать заранее. Кто решает, что инцидент является "значительным"? Кто говорит с технической командой? Кто уведомляет юриста, DPO, руководство, клиентов или орган? Кто сохраняет доказательства, не искажая их? Если это не решено заранее, первые 24 часа теряются.
NIS2, GDPR и персональные данные
NIS2 не отменяет GDPR. Часто они будут действовать вместе. Ransomware в ERP может быть одновременно инцидентом кибербезопасности и нарушением персональных данных. Утечка клиентских данных может требовать оценки и по GDPR, и по Закону 5160/2024, если предприятие является основным или важным субъектом.
Практическое следствие состоит в том, что предприятие должно координировать три роли: техническую команду или внешнего IT, юриста и сотрудника по защите данных, если он есть. Недостаточно, чтобы IT "закрыл дыру". Нужно оценить, есть ли обязанность уведомления, какие доказательства есть, кто пострадал, что нужно сообщить и в какие сроки.
Договоры с поставщиками: пункт, о котором забывают
Цепочка поставок — один из самых важных пунктов NIS2. На практике многие атаки проходят через поставщиков: remote access tools, cloud consoles, ERP software, email services, hosting, domain management, outsourced support, backup services. Если у поставщика слабый контроль доступа, плохое управление обновлениями или задержка уведомления, основное предприятие оказывается под риском.
Договоры с IT-поставщиками должны стать более конкретными. В них следует определять уровни безопасности, обязанность уведомления об инцидентах, сроки реакции, обязанности при forensic проверке, доступ к logs, политику backup, географию хранения данных, обязанности субподрядчиков и процедуру выхода. Это не "юридическая деталь". Это разница между компанией, которая знает, кто что делает, и компанией, которая ищет договоры во время кризиса.
Практический пример
Возьмем среднее греческое предприятие logistics, которое использует cloud ERP, приложение заказов, систему tracking, корпоративную почту, handheld устройства на складах и внешнего IT-поставщика. Руководство считает, что "у поставщика все есть". На самом деле предприятие должно знать, подпадает ли оно под NIS2, какие системы критичны, какие данные оно хранит, какой сбой остановит доставки и у кого есть права администратора.
Первый серьезный шаг — не купить еще один инструмент. Нужно составить карту: системы, роли, поставщики, риски, backups, доступ, договоры, план инцидента. Затем можно расставить приоритеты: MFA на всех критических учетных записях, ограничение admin-прав, проверка backup restore, logging, endpoint protection, patch management, обучение персонала, положения для поставщиков и учение по реагированию на инцидент.
Если произойдет инцидент, предприятие сможет ответить: когда оно его обнаружило, что было затронуто, является ли он значительным, кто был уведомлен, какие меры приняты, какие доказательства сохранены и есть ли обязанность сообщения. В этом практическая ценность соответствия.
Что сделать компании завтра утром
Не нужно начинать с идеальной программы. Нужно начать в правильном порядке.
Во-первых, провести проверку применимости с учетом отрасли, размера и фактических услуг. Во-вторых, назначить руководителя проекта с участием управления, а не только IT. В-третьих, зафиксировать критические системы, поставщиков, domains и IP ranges. В-четвертых, подготовить risk assessment и план действий. В-пятых, проверить, есть ли обязанность регистрации на платформе самодекларации. В-шестых, создать incident response playbook с процедурой 24/72 часов. В-седьмых, пересмотреть договоры с ключевыми поставщиками.
Самый полезный критерий прост: если завтра будет потерян доступ к email, ERP или производственной системе, знаем ли мы, кто принимает решение, кто уведомляет, кто восстанавливает и что нужно сообщить? Если ответ нет, у предприятия есть работа.
Частые вопросы
Касается ли NIS2 малых предприятий?
Как правило, она в основном нацелена на средние и крупные предприятия в определенных критически важных секторах. Однако есть специальные случаи, когда включение может действовать независимо от размера, особенно в некоторых цифровых услугах. Малое предприятие, являющееся поставщиком основного или важного субъекта, также может столкнуться с более строгими договорными требованиями, даже если само напрямую не подпадает под действие закона.
Если у нас есть ISO 27001, мы покрыты?
ISO 27001 очень помогает, но не является автоматическим освобождением. Нужно сопоставить контроли с требованиями Закона 5160/2024 и Совместного министерского решения 1689/2025, особенно по reporting, ответственности руководства, цепочке поставок и документации.
Нужно ли всегда уведомлять орган о каждой технической проблеме?
Нет. Обязанность касается значительных инцидентов, то есть инцидентов с серьезным операционным, финансовым или иным воздействием, как это определяет закон. Поэтому нужен внутренний критерий оценки, а не паника при каждом alert.
Кто должен взять ответственность внутри компании?
Техническая команда необходима, но ответственность не только техническая. Нужно участие руководства, юридического советника, финансовой дирекции, DPO там, где он есть, ответственных за операционную деятельность и закупки. NIS2 — это программа управления риском, а не отдельный IT project.
Чем предприятие рискует заплатить?
Закон предусматривает высокие верхние пределы штрафов, особенно за нарушения мер управления рисками и сообщения об инцидентах. Помимо штрафов есть и реальная стоимость: остановка работы, потеря клиентов, компенсации, проверки, публикация нарушений и стоимость восстановления.
Заключение
NIS2 в Греции — это не еще одна бумага для соответствия. Это изменение мышления. Предприятие должно знать свои системы, оценивать риски, обучать людей, контролировать поставщиков, иметь план инцидента и быть способным доказать, что все это применяется.
Для затронутых предприятий худший сценарий — ждать первого серьезного инцидента, чтобы организоваться. Лучший — начать с ясной проверки применимости и практического плана соответствия. Не для того, чтобы заполнить папки, а чтобы продолжать работать, когда что-то пойдет не так.
Источники и полезные ссылки
- Национальный орган кибербезопасности, Директива NIS2: Национальный орган кибербезопасности - Директива NIS2
- Платформа регистрации субъектов Закона 5160/2024: Платформа регистрации субъектов NIS2
- FAQ платформы NIS2: https://nis2register.cyber.gov.gr/app/content/faq/FAQs_NIS2.pdf
- Закон 5160/2024, Правительственный вестник A' 195/27.11.2024: Закон 5160/2024 - перенос NIS2 в право Греции
- Совместное министерское решение 1689/2025, Национальная рамка требований к кибербезопасности: https://cyber.gov.gr/wp-content/uploads/2025/05/20250202186.pdf
- Европейская комиссия, NIS2 Directive: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- EUR-Lex, Directive (EU) 2022/2555: Директива (ЕС) 2022/2555 - NIS2
Комментарии
Поделитесь мнением об этой статье.
Комментариев пока нет. Оставьте первый комментарий.
Оставить комментарий