← На главную
Руководство по NIS2

NIS2 в Эстонии 2026 — полное руководство

NIS2 — директива ЕС по кибербезопасности, которая влечёт за собой крупнейшие изменения в требованиях к информационной безопасности за последнее десятилетие. Эстония затянула с переносом директивы в национальное право: 7 мая 2026 года Европейская комиссия направила Эстонии мотивированное заключение о невыполнении обязательств. Вывод очевиден: закон будет принят, и в ближайшее время.

Если у вас нет времени читать 30 страниц текста директивы — вы попали по адресу. В этом руководстве я объясню всё самое важное — честно, практично и без лишней сложности.

Что такое NIS2 и почему это важно?

NIS2 (Директива о сетевой и информационной безопасности 2) заменяет директиву NIS1 2016 года. Цель — повысить базовый уровень кибербезопасности по всему ЕС, прежде всего в секторах, от которых зависит функционирование общества.

NIS1 затрагивала лишь крупнейших операторов. NIS2 существенно расширяет сферу применения: более 160 000 компаний по всему ЕС должны будут привести деятельность в соответствие. В Эстонии это затронет тысячи организаций.

Почему это важно именно сейчас? Число кибератак на эстонские компании растёт с каждым годом. Ежегодный отчёт CERT-EE зафиксировал рекордное количество инцидентов. NIS2 — не бюрократическая формальность, а ответ на реальную и растущую угрозу.

Применяется ли NIS2 к вашей компании?

Это первый вопрос, который задают все. Ответ зависит от двух факторов: сектора и размера компании.

Сектора, на которые распространяется NIS2:

Высококритичные сектора (Приложение I): энергетика, транспорт, банковское дело, инфраструктура финансовых рынков, здравоохранение, питьевое водоснабжение, водоотведение, цифровая инфраструктура (в том числе облачные и дата-центры, точки обмена интернет-трафиком), управление ИКТ-услугами, космос, государственное управление.

Прочие критичные сектора (Приложение II): почтовые и курьерские услуги, управление отходами, химическая промышленность, пищевая промышленность, цифровые услуги (онлайн-маркетплейсы, поисковые системы, социальные сети), производство (медицинские изделия, компьютеры, транспортное оборудование, электроника).

Пороговые значения по размеру:
- Важная организация: 50–249 сотрудников ИЛИ оборот 10–50 млн € — NIS2 применяется
- Существенная организация: 250+ сотрудников ИЛИ оборот свыше 50 млн € — NIS2 применяется с более строгими требованиями
- Микропредприятие (<10 сотрудников, <2 млн €): как правило, исключено
- Исключение: небольшие компании могут попасть в сферу действия, если являются единственным поставщиком критически важной услуги

Практическое правило: если ваша компания предоставляет ИТ-, охранные или облачные услуги либо является субподрядчиком крупных организаций — проверьте внимательно, даже если формально не достигаете порогов по размеру. NIS2 распространяет требования на цепочку поставок.

Что требует NIS2? 10 ключевых обязательств

Статья 21 NIS2 устанавливает десять обязательных категорий мер. Объясняю каждую простым языком:

1. Политика управления киберрисками
Необходима письменная система управления рисками. Это не обязательно 200-страничный документ — важно, чтобы решения были задокументированы и регулярно пересматривались.

2. Обработка инцидентов
Необходимо уметь выявлять значимые инциденты, реагировать на них и сообщать о них. Сроки жёсткие: первичное уведомление — в течение 24 часов, промежуточный отчёт — в течение 72 часов, итоговый отчёт — в течение 30 дней.

3. Непрерывность бизнеса
Планы BCP (непрерывности бизнеса) и DRP (восстановления после аварий) должны быть разработаны и протестированы.

4. Безопасность цепочки поставок
Необходимо оценивать безопасность поставщиков. Если ваш облачный провайдер или ИТ-партнёр подвергнется атаке — вы должны быть к этому готовы.

5. Безопасность сетей и информационных систем
Управление уязвимостями, установка патчей, защита систем. Надлежащий учёт активов.

6. Обучение кибербезопасности
Регулярное обучение должны проходить как сотрудники, так и руководство. Обучение руководства выделено отдельно — NIS2 возлагает личную ответственность на руководителей.

7. Криптография и шифрование
Чувствительные данные должны быть зашифрованы как при передаче, так и при хранении.

8. Контроль доступа и управление идентификацией
MFA (многофакторная аутентификация) во всех критических системах. Принцип минимальных привилегий.

9. Безопасность при разработке ПО
Если вы разрабатываете собственное программное обеспечение — должны применяться принципы DevSecOps.

10. Кибербезопасность при закупках
При приобретении новых ИТ-решений безопасность должна оцениваться как часть решения о покупке.

Ответственность руководства — то, о чём большинство не знает

NIS2 — первая директива ЕС по кибербезопасности, возлагающая прямую личную ответственность на руководство. Это не мелкая деталь.

Директива предусматривает, что руководители обязаны:
- Обладать достаточными знаниями в области кибербезопасности (или пройти обучение)
- Утверждать меры по управлению киберрисками
- Нести личную ответственность за соблюдение требований

Санкции: для важных организаций штраф может достигать 10 млн € или 2% от общемирового оборота (в зависимости от того, что больше). Для существенных организаций — до 20 млн € или 4% оборота. Возможна также личная дисквалификация руководителей.

Иными словами: «наш ИТ-отдел мне об этом не сообщил» больше не является приемлемым ответом.

Сроки NIS2 в Эстонии (на июнь 2026)

Эстония официально отстает с переносом директивы NIS2 в национальное законодательство. Поскольку сейчас июнь 2026 года, правовое и политическое давление на эстонское государство достигло своего пика.

Как мы к этому пришли:
- Октябрь 2024: истёк срок переноса директивы NIS2 в законодательство ЕС
- Февраль 2025: Европейская комиссия начала процедуру нарушения в отношении Эстонии
- Май 2026: Комиссия направила Эстонии мотивированное заключение о невыполнении обязательств.
- Июнь 2026 (Сейчас): Эстония всё ещё находится в процессе разбирательства, так как законодатель не смог принять закон в Рийгикогу. Риск иска в Европейский суд правосудия — реальная повседневная угроза.

Что это означает для вашей компании?
Задержка с принятием закона не означает, что требования можно игнорировать. Международные клиенты и тендеры в ЕС требуют соответствия NIS2 уже сейчас. Когда закон наконец будет принят, эстонским компаниям, вероятно, не дадут длительного переходного периода (вместо обычных 12 месяцев он может быть значительно короче).

Практический совет: не ждите принятия закона в Рийгикогу. Основные требования NIS2 (статья 21) высечены в камне и не изменятся. Компании, которые начинают подготовку сейчас, могут сделать это спокойно и с разумным бюджетом. Те, кто ждёт официального принятия закона, столкнутся с дефицитом ИБ-консультантов и многократно возросшими ценами.

Как подготовиться к NIS2? Практический план действий

Вот что я рекомендую своим клиентам:

Шаг 1 — Оцените применимость (1 день)
Убедитесь, применяется ли NIS2 к вашей компании. Проверьте критерии по сектору и размеру. При сомнениях — проверяйте: лучше знать сейчас, чем потом.

Шаг 2 — Анализ пробелов / gap analysis (1–2 недели)
Сравните текущее положение дел с требованиями NIS2. Где пробелы? Это важнейший шаг — без него непонятно, с чего начинать.

Шаг 3 — Приоритизируйте и планируйте (1 неделя)
Не нужно делать всё сразу. Начните с пробелов высокого риска — как правило, это обработка инцидентов, MFA и оценка рисков цепочки поставок.

Шаг 4 — Внедрите меры (2–4 месяца)
Задокументируйте политики, внедрите технические средства контроля, обучите руководство и сотрудников.

Шаг 5 — Тестируйте и совершенствуйтесь (постоянно)
Соответствие NIS2 — не разовая галочка, а непрерывный процесс. Планируйте регулярные проверки и тесты.

Сколько времени потребуется? Хорошо подготовленной компании с уже сложившейся культурой безопасности — 3 месяца. При старте с нуля — 6–9 месяцев. Наш опыт показывает: реалистичная цель — 6 месяцев при последовательной работе.

NIS2 и ISO 27001 — в чём разница?

Этот вопрос я слышу постоянно. Короткий ответ: они дополняют друг друга.

NIS2 — это юридическое обязательство: соответствие обязательно, за несоблюдение — санкции. Директива определяет что нужно сделать, но не всегда предписывает точно как.

ISO 27001 — международный стандарт, дающий структурированный ответ на вопрос как. Сертификат ISO 27001 не гарантирует автоматически соответствия NIS2, но при наличии сертификата достичь этого соответствия значительно проще.

Практическая рекомендация: если вы рассматриваете сертификацию по ISO 27001 — начните с соответствия NIS2. Это быстрее и дешевле, и создаёт прочную основу для последу сертификации. Если сертификат ISO 27001 уже есть — необходимо привести СУИБ в соответствие с требованиями NIS2, но большая часть работы уже выполнена.

Итоги — что сделать сегодня

NIS2 — не угроза далёкого будущего. Эстонский закон будет принят, и у компаний, начавших подготовку, есть значительное преимущество.

Три вещи, которые я рекомендую сделать сегодня:

1. Определите, применяется ли NIS2 к вашей компании — воспользуйтесь нашим бесплатным тестом готовности к NIS2
2. Поговорите с руководством — ответственность по NIS2 лежит на руководителей, а не только на ИТ-отделе
3. Обратитесь к специалисту — анализ пробелов даёт точную картину того, что нужно сделать и сколько это будет стоить

Если вам нужна ясная и честная оценка положения дел в вашей компании — я готов помочь. Забронируйте бесплатный 30-минутный аудит NIS2, и вместе разберёмся, где вы находитесь.

Забронировать бесплатный аудит NIS2

Бесплатно, 30 минут. Конкретная картина — с чего начать.

Забронировать бесплатный аудит NIS2
или напишите напрямую: Heikki@HoneyLake.eu