Вимоги NIS2 до навчання: повний посібник для європейських організацій (2026)

25 квіт. 2026 р.

NIS2 розшифровується як Директива ЄС про мережеві та інформаційні системи, друга редакція. Вона набрала чинності 17 жовтня 2024 року після дворічного вікна для транспозиції й вимагає приблизно від 160 000 європейських організацій упровадити заходи з управління ризиками кібербезпеки, які включають навчання персоналу. Керівні органи несуть персональну відповідальність за затвердження та проходження цього навчання.

Якщо ви відповідаєте за безпеку всередині суттєвого чи важливого субʼєкта, питання навчання більше не є абстрактним. Аудитори і національні компетентні органи тепер очікують задокументованих доказів того, що персонал і керівництво пройшли навчання, що зміст відображає актуальні загрози, а керівництво залучене, а не спостерігає збоку.

Що таке NIS2?

NIS2 (Директива (ЄС) 2022/2555) є розширеною рамкою кібербезпеки Європейського Союзу для мережевих та інформаційних систем. Вона замінює попередню Директиву NIS від 2016 року й закриває кілька прогалин, які залишала перша версія, насамперед слабке правозастосування та вузьке галузеве покриття, що обмежували вплив NIS1.

Директива набрала чинності 16 січня 2023 року. Держави-члени мали до 17 жовтня 2024 року транспонувати її у національне законодавство, хоча декілька країн пропустили цей термін і продовжували ухвалювати закони протягом 2025 та 2026 років.

NIS2 забезпечується через національні компетентні органи в кожній державі-члені ЄС. Це означає, що одна й та сама директива породжує дещо різні режими правозастосування в Німеччині, Франції, Ірландії, Іспанії та Італії. Самі обовʼязки щодо навчання є єдиними на рівні всього блоку.

Кого стосується NIS2?

NIS2 поділяє охоплені організації на два рівні: суттєві субʼєкти (essential entities) і важливі субʼєкти (important entities). Різниця важлива, бо штрафи, режими нагляду й обовʼязки щодо звітування відрізняються між ними.

Суттєві субʼєкти охоплюють великі організації у секторах, що вважаються критично важливими для суспільного добробуту. Це енергетика, транспорт, банківська справа, інфраструктура фінансових ринків, охорона здоровʼя, питна вода, стічні води, цифрова інфраструктура, управління послугами ІКТ, державне управління та космос.

Важливі субʼєкти охоплюють середні організації у тих самих критичних секторах плюс додаткові, як-от поштові та курʼєрські послуги, управління відходами, хімічна промисловість, продукти харчування, виробництво, цифрові постачальники та дослідження. Важливі субʼєкти наражаються на дещо нижчі максимальні штрафи, але на ті самі вимоги до навчання.

Галузеве покриття NIS2

Рівень	Поріг розміру	Охоплені сектори
Суттєві	Великі (250+ співробітників або оборот понад 50 млн євро)	Енергетика, транспорт, банки, фінанси, охорона здоровʼя, вода, цифрова інфраструктура, управління ІКТ, державне управління, космос
Важливі	Середні (50-249 співробітників або оборот 10-50 млн євро)	Усі суттєві сектори плюс пошта, відходи, хімічна промисловість, продукти харчування, виробництво, цифрові постачальники, дослідження

Пороги розміру відповідають визначенню середніх і великих підприємств у Рекомендації Єврокомісії 2003/361/EC. Деякі менші організації потрапляють у сферу дії незалежно від розміру, наприклад провайдери довірчих послуг, реєстри доменів верхнього рівня, DNS-провайдери та провайдери публічних електронних комунікацій.

Вимоги NIS2 до навчання (Статті 20 та 21)

Директива закріплює обовʼязки щодо навчання у двох місцях. Стаття 20 регулює відповідальність керівного органу, а Стаття 21 перелічує заходи з управління ризиками кібербезпеки, які мають бути впроваджені у всій організації, включно з навчанням.

Стаття 20(2) зазначає, що керівні органи «проходять навчання», а субʼєкти «пропонують подібне навчання своїм співробітникам на регулярній основі». Це найчіткіший мандат на навчання у директиві, і він рівною мірою стосується суттєвих і важливих субʼєктів.

Стаття 21(2)(g) вимагає «базових практик кіберігієни та навчання з кібербезпеки» як одного з десяти мінімальних заходів управління ризиками. Це охоплює весь персонал, а не лише керівництво. Заходи мають бути пропорційними ризику, розміру субʼєкта та ймовірності інцидентів.

У поєднанні ці дві статті означають, що відповідна NIS2 програма навчання має охопити кожного співробітника базовою обізнаністю та кожного члена керівного органу глибшим змістом, орієнтованим на управління. Навчання, що зупиняється на загальному персоналі, не виконує умову Статті 20(2) щодо керівництва.

Зміст навчання NIS2, що відповідає вимогам

Директива не приписує навчальний план, але Стаття 21(2) перелічує заходи з управління ризиками, які субʼєкт повинен упровадити. Зміст навчання є найбільш захищеним перед аудитором, коли він чітко мапується на ці заходи.

Програма, що охоплює такі сфери, як правило, задовольняє питання аудиторів щодо обсягу:

Політики та процедури управління ризиками
Обробка інцидентів, включно з виявленням, реагуванням і відновленням
Безперервність бізнесу та антикризове управління
Безпека ланцюга постачання, включно з ризиком постачальників та провайдерів послуг
Безпека мережевих та інформаційних систем під час закупівлі, розробки й обслуговування
Політики оцінювання ефективності заходів управління ризиками
Базова кіберігієна та навчання з кібербезпеки
Політики криптографії та шифрування
Безпека людських ресурсів, контроль доступу та управління активами
Використання багатофакторної автентифікації, захищених комунікацій та захищених каналів екстреного звʼязку

Рольові треки допомагають. Вправа зі звітування про інциденти тренує фронт-офісний персонал щодо шляху повідомлення. Модуль обізнаності OAuth у ланцюгу постачання тренує закупівлі та інженерію щодо ризиків постачальників. Модуль для керівного органу охоплює обовʼязки щодо управління, які директива покладає конкретно на керівництво.

Штрафи за невідповідність NIS2

Стаття 34 встановлює рамки штрафів. Для суттєвих субʼєктів адміністративні штрафи можуть сягати щонайменше 10 млн євро або 2% загального світового річного обороту, залежно від того, що більше. Для важливих субʼєктів максимум становить 7 млн євро або 1,4% глобального обороту.

Директива також дозволяє національним компетентним органам призупиняти сертифікати, забороняти фізичним особам, які виконують керівні функції, продовжувати цю роль, та публічно розкривати порушення. Відповідальність керівництва є структурною ознакою директиви, а не другорядною деталлю.

Окремі держави-члени іноді встановлюють вищі штрафи у національних законах про транспозицію. Точна позиція щодо правозастосування різниться, тож перевіряйте імплементаційне законодавство країни, у якій ваш субʼєкт працює. Ірландія, Німеччина та Франція оприлюднили детальні керівні матеріали щодо правозастосування станом на початок 2026 року.

Очікування щодо навчання NIS2 проти NIS1

NIS1 вимагала від операторів основних послуг ужиття «належних і пропорційних технічних та організаційних заходів». Формулювання було мʼяким, а правозастосування залишалося нерівномірним серед держав-членів. Навчання згадувалося опосередковано, а не приписувалося явно.

NIS2 суворіша на трьох фронтах. Керівні органи тепер несуть персональну відповідальність, вікна звітування стали коротшими, а охоплення субʼєктів приблизно втричі ширше за NIS1.

Обовʼязки щодо звітування за Статтею 23 вимагають раннього попередження протягом 24 годин з моменту, коли стало відомо про значний інцидент, повідомлення про інцидент протягом 72 годин та остаточного звіту протягом одного місяця. Фронт-офісний персонал має розпізнавати значні інциденти й починати ланцюг повідомлення негайно. Цю навичку потрібно тренувати, а не припускати.

Як побудувати програму навчання, відповідну NIS2

Єдиного шаблону, який схвалює Комісія, не існує. Кроки нижче відповідають тому, що національні компетентні органи й великі аудиторські фірми шукають у захищеній програмі.

Крок 1: оцінювання прогалин. Співставте ваш поточний зміст навчання з заходами Статті 21(2) та обовʼязками керівництва за Статтею 20(2). Більшість організацій уже має матеріали щодо фішингу та реагування на інциденти. Прогалини зазвичай знаходяться у темах ланцюга постачання, криптографії та навчання керівного органу.

Крок 2: рольові треки. Створіть окремий зміст для загального персоналу, технічного персоналу та керівництва. Модуль з фішингу та гігієни паролів для загального персоналу недостатній для ІТ-адміністратора. Модуль лише для загального персоналу недостатній для члена ради директорів.

Крок 3: документація. Ведіть детальні записи про те, хто пройшов який модуль, коли, і що охоплював зміст. Фіксуйте підтвердження політик. Фіксуйте оцінки там, де вони застосовні. Аудитори й компетентні органи вибірково перевірятимуть записи, а не довірятимуться вашій дашборді.

Крок 4: щорічне оновлення та подієві доповнення. Щорічне навчання задає підлогу. Додавайте доповнювальні модулі після інцидентів, після оновлень політик та після галузевої загрозової розвідки, яку видає компетентний орган.

Крок 5: тренування реагування на інциденти. Проводьте табл-топ вправи й симуляційні тренування. Реальний 24-годинний таймер раннього попередження відрізняється від читання про правило 24 годин.

Крок 6: модулі, специфічні для керівництва. Стаття 20(2) формулює це явно. Не пропускайте цей крок. Керівним органам потрібен зміст щодо їхньої власної ролі, щодо профілю ризиків організації та щодо наслідків невідповідності.

Крок 7: звітність, готова до аудиту. Будуйте дашборди, що показують покриття за ролями, за бізнес-одиницями та за тематичними областями. Експортовані звіти економлять дні під час наглядових перевірок.

Навчання NIS2 та інші рамки ЄС

NIS2 рідко приходить одна. Європейські організації зазвичай мають одночасно узгодити навчання з GDPR, DORA та Актом про кіберстійкість. Хороша новина в тому, що зміст суттєво перекривається.

Рамка	Обовʼязок, повʼязаний з навчанням	Перекриття з NIS2
GDPR (ЄС 2016/679)	Статті 39 та 47 про підтримку DPO та навчання контролерів-процесорів	Реагування на інциденти, обробка даних, ланцюг постачання
DORA (ЄС 2022/2554)	Стаття 13 про навчання щодо інцидентів ІКТ для фінансових субʼєктів	Реагування на інциденти, ризик третіх сторін, безперервність бізнесу
Акт про кіберстійкість (ЄС 2024/2847)	Навчання виробників щодо безпеки продукту	Безпечна розробка, ланцюг постачання
ISO/IEC 27001:2022	Пункт 7.3 щодо обізнаності	Знання політик, звітування про інциденти

Хороша програма навчання GDPR для співробітників уже охоплює декілька заходів NIS2. Хребет обізнаності ISO 27001 охоплює ще декілька. Організації, що будують єдину програму обізнаності з мапуванням між рамками, витрачають значно менше, ніж ті, що проводять паралельні тренування.

Як RansomLeak підтримує навчання NIS2

Навчання RansomLeak є інтерактивним, заснованим на сценаріях та задокументованим так, як його впізнають наглядові органи NIS2. Каталог охоплює теми Статті 21(2) на відповідній ролі глибині, а записи про проходження експортуються чисто для аудиторської перевірки.

Каталог приватності й відповідності охоплює обробку інцидентів, захист даних та сценарії ланцюга постачання. Каталог обізнаності з безпеки охоплює фішинг, гігієну облікових даних і контроль доступу. Каталог безпеки AI охоплює специфічні для AI ризики, які декілька національних компетентних органів тепер згадують у рамках обовʼязків Статті 21(2)(e) щодо «продуктів і послуг ІКТ».

Наш посібник з мапування відповідності повʼязує кожен захід Статті 21 з конкретними курсами та вправами, що скорочує час між «нам потрібне навчання NIS2» і «ось програма, яку ми запустили».

Часті запитання

Який дедлайн відповідності NIS2?

У самій директиві дедлайн транспозиції встановлено на 17 жовтня 2024 року. Держави-члени мали ввести національне законодавство в дію до цієї дати. Декілька держав-членів пропустили цей термін і продовжували ухвалювати закони протягом 2025 і 2026 років, тож операційний дедлайн у конкретній країні визначає та дата, яку встановлює національний закон про транспозицію. Обовʼязки щодо реєстрації для конкретних секторів зазвичай діяли у короткому вікні після набрання чинності національного закону.

Кого охоплює NIS2?

Суттєві й важливі субʼєкти у 18 секторах, включно з енергетикою, транспортом, банками, охороною здоровʼя, водою, цифровою інфраструктурою, державним управлінням, поштою, відходами, хімічною промисловістю, продуктами харчування, виробництвом, цифровими постачальниками та дослідженнями. Пороги розміру відповідають визначенням середніх і великих підприємств ЄС, причому деякі менші організації потрапляють у сферу дії незалежно від розміру.

Які вікна звітування передбачає NIS2?

Стаття 23 вимагає раннього попередження компетентному органу або CSIRT протягом 24 годин з моменту, коли стало відомо про значний інцидент, подальшого повідомлення про інцидент протягом 72 годин та остаточного звіту протягом одного місяця. Одержувачі послуги, на яку вплинув інцидент, також мають бути поінформовані, якщо це доречно.

Чи стосуються вимоги NIS2 до навчання керівництва?

Так. Стаття 20(2) вимагає, щоб члени керівних органів проходили навчання. Субʼєкт також має пропонувати подібне навчання співробітникам на регулярній основі. Програма навчання, що ігнорує керівництво, не відповідає директиві.

Які штрафи за невідповідність NIS2?

Стаття 34 встановлює адміністративні штрафи до 10 млн євро або 2% глобального обороту для суттєвих субʼєктів і до 7 млн євро або 1,4% глобального обороту для важливих субʼєктів. Національні компетентні органи можуть також призупиняти сертифікати й тимчасово забороняти керівним особам виконувати керівні функції.

Як часто потрібно проводити навчання NIS2?

Директива вимагає «регулярного» навчання. Більшість національних керівних матеріалів і аудиторська практика читають це як щонайменше щорічне, з подієвими доповненнями після значних інцидентів, змін політик або нових загроз у секторі. Щорічне задає підлогу, а не стелю.

Чи діє NIS2 щодо компаній поза ЄС?

Деякі компанії з-поза меж ЄС потрапляють у сферу дії, якщо вони пропонують послуги в ЄС. Стаття 26 про юрисдикцію та територіальність вимагає від таких субʼєктів призначити представника в ЄС. Провайдери хмарних обчислень, провайдери центрів обробки даних та DNS-провайдери є типовими прикладами.

Як NIS2 узгоджується з ISO 27001?

Організації, вже сертифіковані за ISO/IEC 27001:2022, покривають більшість заходів Статті 21(2) NIS2, оскільки Додаток A реорганізує контролі у організаційні, людські, фізичні й технологічні теми, що перетинаються зі списком NIS2. Програма навчання з обізнаності ISO 27001, як правило, потребує специфічних для NIS2 доповнень щодо вікон звітування, навчання керівного органу та повідомлень у ланцюгу постачання.

Чи можна використовувати навчальні записи з NIS1 для NIS2?

Іноді, але очікуйте прогалин. Навчання NIS1 зазвичай зосереджувалося на технічних операторах. NIS2 вимагає ширшого покриття, включно з керівними органами та обізнаністю щодо ланцюга постачання. Старі записи можуть показувати проходження загальним персоналом, але не демонструвати обовʼязок Статті 20(2) щодо керівництва.

Що вважається значним інцидентом за NIS2?

Значним вважається той інцидент, що спричинив або здатен спричинити серйозне операційне порушення чи фінансові збитки, або вплинув чи здатен вплинути на фізичних або юридичних осіб, завдавши значної матеріальної чи нематеріальної шкоди. Національні компетентні органи публікують конкретніші порогові значення за секторами.

Підсумок

NIS2 є директивою із зубами, і навчання є одним із заходів, які вона перевіряє явно. Відповідальність керівного органу, вікна звітування та галузеве покриття розширилися порівняно з NIS1. Організації, що побудували належну програму обізнаності до жовтня 2024 року, мають перевагу на старті. Ті, хто досі крутить загальне щорічне відео, побачать зауваження у першому раунді наглядової діяльності.

Розглядайте 24-годинний таймер раннього попередження, 72-годинне повідомлення та одномісячний остаточний звіт як навички, що потребують відпрацювання. Розглядайте навчання керівного органу як реальний обовʼязок, а не приємне доповнення. І документуйте все на рівні деталізації, який компетентний орган може вибірково перевіряти з упевненістю.

Якщо ваш субʼєкт у сфері дії й ви хочете побачити, як сценарне навчання мапується на заходи Статті 21, досліджуйте каталог приватності й відповідності або забронюйте огляд з нашою командою.