Як стати надійним постачальником у ЄС за новими правилами NIS2: огляд гайду від DIGITAL SME Alliance
Kharkiv IT ClusterЄвропейський ІТ-ринок посилює вимоги до постачальників цифрових послуг. Із впровадженням нової директиви NIS2 компанії, що працюють із клієнтами в ЄС, зобов’язані не лише забезпечувати власну кіберстійкість, а й гарантувати безпеку всього ланцюга постачання.
Країни ЄС були зобов’язані імплементувати NIS2 у своє національне законодавство до 17 жовтня 2024 року. Це означає, що сьогодні, у 2025 році, директива вже діє на всій території ЄС, а компанії, які працюють із європейськими клієнтами, мають підтверджувати відповідність її вимогам.
Порушення правил може коштувати бізнесу дорого — штрафи сягають до 10 млн євро або 2% від річного обороту (залежно від категорії суб’єкта).
У липні 2025 року European DIGITAL SME Alliance, стратегічний партнер Kharkiv IT Cluster, опублікував гайд, що допомагає малим і середнім підприємствам оцінити власну відповідність та адаптуватися до нових вимог. Документ містить покрокові рекомендації, приклади, інструменти та мапування до стандарту ISO/IEC 27001. Розглянемо основні акценти.
Що таке NIS2 і кого вона стосується?
NIS2 — оновлена директива ЄС про безпеку мережевих та інформаційних систем, яка:
- розширює перелік секторів, які підпадають під регулювання (зокрема, включає постачальників хмарних сервісів, маркетплейсів, цифрової інфраструктури);
- зобов’язує компанії впроваджувати стандартизовані заходи безпеки;
- вводить жорсткі правила звітності щодо кіберінцидентів.
NIS2 прямо стосується середніх і великих компаній у стратегічних секторах, а також малих і мікропідприємств, якщо вони:
- є єдиними постачальниками критичних послуг у державі;
- працюють із цифровими інфраструктурами;
- не підпадаючи формально під дію NIS2, постачають послуги компаніям, які регулюються цією директивою, і тому на практиці повинні підтверджувати свою кіберстійкість для збереження контрактів.
Як перевірити, чи компанія підпадає під NIS2?
Гайд пропонує коротке опитування, яке допомагає зрозуміти:
- в яких секторах працює компанія;
- чи забезпечує вона критичні цифрові або комунікаційні послуги;
- чи є присутність у кількох країнах ЄС;
- чи фіксувалися серйозні кіберінциденти в минулому;
- чи компанія є частиною ланцюга постачання для суб’єктів із високими кібервимогами.
Навіть якщо компанія не підпадає під пряму дію директиви, вона має продемонструвати надійність, якщо співпрацює з регульованими клієнтами.
Які вимоги висуває NIS2?
NIS2 містить 10 основних вимог до управління безпекою
- Кіберуправління на рівні керівництва
Ролі, відповідальність, політики та звітність мають бути чітко задокументовані. - Оцінка ризиків та управління ними
Рекомендовано використовувати ISO/IEC 27001 або подібні фреймворки. - Реагування на інциденти
Стандартизований процес із обов’язковим повідомленням про серйозні випадки упродовж 24–72 годин. - Планування безперервності бізнесу
Створення та тестування планів відновлення та кризового реагування. - Безпека постачальників і ланцюгів поставок
Контракти мають містити кібервимоги, проводяться аудити третіх сторін. - Безпека інформаційних систем
Включає розробку, впровадження, тестування та оновлення систем. - Кібергігієна
Освітні програми, практика безпечного користування, фішинг-тести. - Безпека персоналу
Верифікація персоналу, контроль доступу, політики відбору та звільнення. - Контроль доступу
Принципи мінімального доступу, MFA, регулярні перевірки прав доступу. - Криптографія
Шифрування даних у транзиті та в стані спокою, управління ключами.
Як це стосується постачальників?
Навіть якщо компанія не є «важливим» або «критичним» суб’єктом, вона:
- має підтверджувати дотримання вимог безпеки на запит клієнта;
- повинна оновити договори, щоб відповідати новим правилам;
- має бути готовою до аудиту й надати план реагування на інциденти.
Гайд містить мапу відповідності між NIS2 та ISO/IEC 27001, яка допомагає компаніям, що вже мають сертифікацію, спростити процес інтеграції нових вимог.
А що з open-source?
Якщо компанія використовує open-source компоненти:
- потрібно вести облік бібліотек (SBOM);
- проводити регулярні перевірки на вразливості (Dependabot, Snyk тощо);
- мати процедуру оновлення та політику підтримки;
- забезпечити прозору документацію та механізми реагування на інциденти;
- включати відповідні положення в контракти.
NIS2 формує нову реальність для постачальників цифрових послуг у ЄС. Це питання довіри, репутації та ринкової конкурентоспроможності.
Компанії, які можуть підтвердити свою кіберстійкість знижують ризики втрати контрактів, підвищують свою вартість для клієнтів, отримують перевагу в європейських тендерах.
Гайд від DIGITAL SME Alliance — один із найчіткіших документів для адаптації бізнесу до нових правил. Він містить не лише перелік вимог, а й практичні інструменти, шаблони та рекомендації, як це зробити ефективно.
