Що таке Навчання з кібербезпеки за NIS2

NIS2 — це Директива Європейського Союзу про мережеві та інформаційні системи 2, формально Directive (EU) 2022/2555. Вона набула чинності 16 січня 2023 року і замінила NIS Directive 2016 року, розширивши покриття приблизно до 160 000 організацій у 18 секторах. Держави-члени мали час до 17 жовтня 2024 року на транспозицію директиви у національне законодавство. Більшість пропустила цей дедлайн. Бельгія опублікувала свій NIS 2-Wet / Loi NIS 2 вчасно і ввела його в дію у жовтні 2024 року. Німеччина досі займається законопроєктом NIS2UmsuCG. Нідерланди продовжують просувати чернетку Cyberbeveiligingswet. Франція видала настанови ANSSI до формальної транспозиції. Італія, Іспанія та Ірландія перебувають на різних стадіях декрету, real decreto чи general scheme. Операційний дедлайн у будь-якій країні — це та дата, яку встановлює національний закон про транспозицію, але обовʼязки за директивою застосовуються до субʼєктів у сфері дії незалежно від національних затримок.

Article 21(2)(g) прямо називає навчання з кібербезпеки. Стаття вимагає від субʼєктів запровадити «basic cyber hygiene practices and cybersecurity training» як один із десяти мінімальних заходів управління ризиками. Формулювання коротке, але практичний ефект великий. Кожен ключовий і важливий субʼєкт має запровадити названу програму навчання, документувати, хто її пройшов, оновлювати її з регулярною каденцією і подавати записи, коли національний компетентний орган проводить аудит. Директива не приписує навчальної програми, тож тягар демонстрації пропорційності навчання до ризику і розміру субʼєкта лежить на самому субʼєкті.

Article 20 підвищує ставки. Стаття вимагає, щоб керівний орган кожного ключового і важливого субʼєкта схвалював заходи управління кіберризиками, наглядав за їх впровадженням і проходив спеціальне навчання, щоб мати достатньо знань для ідентифікації ризиків та оцінки практик. Далі директива робить членів керівного органу персонально відповідальними за порушення обовʼязку з управління ризиками. Національні компетентні органи можуть публічно розкривати порушення, призупиняти сертифікації і тимчасово забороняти названим особам виконувати управлінські функції. Навчання, яке зупиняється на загальному персоналі, не відповідає Article 20. Навчання, яке ігнорує членів керівного органу, не відповідає Article 20.

Режим санкцій розділений за рівнем субʼєкта. Ключові субʼєкти (енергетика, транспорт, банківська справа, інфраструктура фінансового ринку, охорона здоровʼя, питна вода, стічні води, цифрова інфраструктура, включно з DNS, реєстри TLD, хмара, дата-центри, ICT-managed services, державне управління, космос) стикаються з адміністративними штрафами до €10 млн або 2% глобального річного обороту, залежно від того, що вище. Важливі субʼєкти (поштові та курʼєрські, управління відходами, хімія, харчова промисловість, виробництво медичних виробів, компʼютерів, електроніки, машинобудування, автомобілебудування, транспортне обладнання, цифрові провайдери, включно з онлайн-маркетплейсами, пошуковими системами, соціальними мережами, дослідженнями) стикаються з санкціями до €7 млн або 1,4% глобального річного обороту. Формулювання «cyber hygiene» у Article 21(2)(g) — це стаття, яку аудитори цитують першою, коли семплують програму навчання.

Аудити NIS2 семплують докази, не наміри. Сценарна вправа, яка поміщає учня у поштову скриньку, вішинг-дзвінок, BEC-привід чи deepfake-відеоконференцію, продукує запис про проходження, який аудитор може мапити на Article 21(2)(g) і на конкретний ризик, який вона адресує. 30-хвилинне compliance-відео продукує запис, що каже: учень подивився відео. Директива не приписує формат, але національні компетентні органи зазвичай читають «пропорційність ризику» як доказ того, що навчання відбиває поточну техніку зловмисників. Базова лінія Verizon DBIR 2024 (68% інцидентів повʼязані з незловмисним людським фактором) і шахрайство Arup із deepfake на €25 млн обидва вписуються у ризикову картину NIS2, на яку посилаються компетентні органи. Сценарний контент відстежує цю реальність так, як записані відео не можуть.

Рольові призначення — це те, як програма NIS2 демонструє пропорційність. Трек керівного органу задовольняє Article 20: управлінський контент, режим персональної відповідальності і поточний інструктаж щодо загроз, потрібний для оцінки практик. Трек загального персоналу задовольняє базову лінію Article 21(2)(g): фішинг, гігієна паролів, безпека мобільних пристроїв, дисципліна блокування і шифрування, інцидент-репортинг. IT і трек хелпдеску адресує Article 21(2)(b) і Article 21(2)(i): вішинг, MFA-reset соціальна інженерія, процедури верифікації, joiner-mover-leaver гігієна. Трек закупівель та інженерії адресує Article 21(2)(d) і (e): ризики third-party app OAuth, верифікація вендорів, supply chain BEC patterns. Кожен трек постачається із власним списком проходження, тож докази для аудиту сегментовані за роллю з першого дня.

Експорт-пакет — це те, що національні компетентні органи запитують під час інспекції. Записи проходження RansomLeak експортуються per learner, per role, per module, з часовими позначками підтверджень політик, доказами проходження сценаріїв і метаданими контенту модуля, які привʼязують вправу назад до конкретного заходу Article 21, який вона підтримує. Дані лягають у форматі, який CCB, BSI, ANSSI, NCSC, AGID, ACN та решта пулу EU-компетентних органів семплують під час перевірок. Програми, що побудували експорт-пакет до першого інспекційного циклу, зекономлять дні часу аудиторської відповіді у порівнянні з програмами, що намагаються зібрати докази після надходження запиту.