В Евросоюзе в понедельник, 16 января, вступили в силу две директивы - о мерах по обеспечению высокого общего уровня кибербезопасности в рамках ЕС (NIS 2) и об устойчивости критически важных объектов (CER). Об этом сообщили в Еврокомиссии.
NIS 2 значительного расширила число секторов и типов критически важных объектов, подпадающих под ее действие. Речь идет о поставщиках электронных услуг, центрах обработки данных, управлениях сточными водами и отходами, производстве критически важных продуктов, почтовых и курьерских службах, органах госуправления, а также о секторе здравоохранения.
Директива требует от государств - членов ЕС большей готовности, которая должна проявляться, в частности, в наличии группы реагирования на инциденты компьютерной безопасности (CSIRT) и компетентного национального органа по сетям и информационным системам (NIS).
Кроме того, предполагается создание группы для облегчения стратегического сотрудничества и обмена информацией между государствами - членами Евросоюза.
Секторы энергетики, транспорта, водоснабжения, банковского дела, инфраструктуры финансовых рынков, здравоохранения и цифровой инфраструктуры получают статус "жизненно важных" для экономики и общества. Предприятия в этих областях должны принимать соответствующие меры безопасности и уведомлять профильные национальные органы о серьезных инцидентах.
Укрепляется устойчивость критической инфраструктуры
Директива CER, в свою очередь, должна укрепить устойчивость критической инфраструктуры к целому ряду угроз, включая стихийные бедствия, террористические атаки, внутренние уязвимости или саботаж. "Диверсия на газопроводах "Северные потоки" ясно указала на то, что наши критически важные инфраструктуры находятся под угрозой", - подчеркнула официальная представительница Еврокомиссии Анита Хиппер.
У государств - членов ЕС есть 21 месяц, чтобы привести национальное законодательство в соответствие с директивами.
От кибератак страдали практически все компании в Германии
Согласно исследованию германской ассоциации цифровой индустрии Bitkom, проведенному весной 2022 года и обнародованному в конце августа, в ФРГ ежегодный ущерб в результате кражи IT-данных, шпионажа и диверсий достигает 203 миллиардов евро. От кибератак страдали практически все компании в Германии: 84 процента участников опроса их уже обнаружили, а еще девять процентов предполагают, что подверглись нападению.
Каждые две из пяти атак (43 процента) исходили из Китая (в 2021 году эта цифра составляла менее одной трети - 30 процентов), из России - 36 процентов (в 2021 году - 23 процента). Даже вне связи с агрессивной войной России против Украины угроза кибератак высока, предупредил глава Bitkom Ахим Берг (Achim Berg). Почти все опрошенные компании требовали от политиков укрепления сотрудничества в области кибербезопасности в масштабах ЕС и более решительных мер против кибератак из-за рубежа.
"Нынешние инциденты показывают, что даже в крупных компаниях, несмотря на принимаемые масштабные меры, все еще существуют пробелы в комплексном внедрении мер безопасности и эффективном обнаружении кибератак", - заявил Маттиас Бандемер (Matthias Bandemer), руководитель отдела кибербезопасности в немецкой консалтинговой компании EY, добавив, что для успешной атаки достаточно всего лишь одной бреши.