Ці загрози показали, що кібербезпека є ключовим компонентом європейської безпеки та суверенітету. У відповідь ЄС розробив кілька нових регулювання , що мають на меті забезпечити цифрову стійкість на рівні всіх секторів і держав-членів. Серед ключових ініціатив:
- NIS2: директива, спрямована на покращення безпеки в критичних галузях (рік розробки: 2020);
- Cyber Resilience Act (CRA): регламент щодо безпечної розробки та підтримки цифрових продуктів (рік розробки: 2022);
- EUCS: схема сертифікації хмарних сервісів (рік розробки: 2020).
Разом ці документи закладають основу для більш цілісного та превентивного підходу до кіберзахисту в ЄС.
NIS2: модернізація кібербезпеки критичної інфраструктури
Директива NIS2, яка замінила NIS1 та суттєво розширила її сферу дії, набрала чинності 16 січня 2023 року. NIS2 спрямована на посилення та модернізацію кібербезпеки в державах-членах. Тоді як попередня версія охоплювала лише основні критичні сектори, як от енергетика, транспорт, охорона здоров’я, державна адміністрація, фінанси та цифрова інфраструктура, NIS2 додала нові сектори, зокрема водовідведення, виробництво критичних продуктів, космічна галузь, ІКТ-сервіси. Нова директива застосовується до компаній, які перевищують поріг середнього бізнесу (≥ 50 працівників або ≥ €10 млн обороту), тоді як NIS1 стосувалася лише визначених секторів і не встановлювала єдині критерії для охоплення компаній.
До того ж, NIS2 висуває низку нових вимог до компаній в контексті підвищення кібербезпеки:
- Проактивне управління ризиками: аудит інформаційних систем і процесів безпеки, шифрування критичних та персональних даних, MFA (багатофакторна автентифікація), регулярні оцінки ризиків та навчання персоналу. Особливий акцент зроблено на убезпеченні ланцюгів постачання та моніторингу самих постачальників.
- Звітність про інциденти у три фази: попередження про інцидент (24 години), повне повідомлення (72 години), фінальний звіт (один місяць).
- Відповідальність керівної верхівки: керівництво компанії несе прямі зобов’язання щодо виконання кіберпроцедур і може бути притягнуте до відповідальності за недотримання норм, включно з особистою відповідальністю при грубій недбалості.
У разі невиконання вимог NIS2 або недотримання встановлених стандартів компанії можуть піддаватися фінансовим санкціям.
Держави-члени були зобов’язані інтегрувати директиву до національного законодавства до 17 жовтня 2024, проте на той час лише 6 з 27 держав дотрималися дедлайну. Згодом, Єврокомісія відкрила процедуру стосовно правопорушення за невиконання зобов’язань та надіслала “мотивовані висновки” (reasoned opinions) 19 державам. Попри це, станом на липень 2025 року, лише 14 з 27 держав повністю імплементували NIS2.
Серед основних причин такої затримки можна виділити високі вимоги директиви, для виконання яких необхідна суттєва внутрішня координація. Держави-члени мають створити або реформувати національні CSIRT (команди реагування на інциденти), налагодити взаємодію між кількома міністерствами (оборона, цифровізація, енергетика, охорона здоров’я) та розробити нову систему штрафів і контролю. Як наслідок, процес імплементації значно сповільнився, особливо там, де відбувалися вибори або зміна уряду.
Крім того, запровадження необхідних ініціатив затримується і на рівні компаній та організацій. Попри те, що вимоги NIS2 відповідають кращим практикам у сфері кібербезпеки, їхнє законодавче закріплення формує нове, більш жорстке регуляторне середовище. Відтепер відповідальність за дотримання вимог покладається не лише на ІТ-відділ, а й на раду директорів. Як і у випадку з GDPR, директива передбачає персональну відповідальність членів керівних органів компаній, що означає перехід кібербезпеки з операційного рівня у сферу стратегічного управління. Такий підхід викликає значний опір та створює невизначеність серед приватних компаній.
Cyber Resilience Act (CRA): підвищення кіберстійкості для всіх цифрових продуктів
Наступним кроком ЄС у посиленні цифрової безпеки стало ухвалення Регламенту про кіберстійкість (Cyber Resilience Act), який був офіційно прийнятий 23 жовтня 2024 року та набрав чинності 10 грудня 2024 року. Більшість положень регламенту набудуть чинності у 2027 році.
На відміну від NIS2, що охоплює лише критичну інфраструктуру, CRA стосується всіх продуктів із цифровими елементами, які мають доступ до мережі або взаємодіють із іншим програмним забезпеченням. Регламент встановлює обов’язкові вимоги до кібербезпеки для виробників, зокрема:
- Гарантія безпечного дизайну продукту;
- Регулярне оновлення програмного забезпечення;
- Оперативне виявлення вразливостей в інформаційних системах та інформування про кіберінциденти.
Порушення нових правил передбачає високі штрафи: до 15 мільйонів євро або 2,5 % загального обороту організації.
Однією з ключових особливостей CRA є те, що компанії зобов’язані проводити оцінку кіберризиків не лише на етапі експлуатації чи тестування, а також на стадії розробки та проєктування продукту. Цей підхід спрямований на впровадження превентивного контролю за зразком принципів безпеки, характерних для промислового виробництва.
CRA викликали значну критику з боку спільноти розробників open source коду, зокрема з боку таких організацій, як Open Source Initiative та Free Software Foundation Europe, які наголосили, що нові правила можуть стримувати розвиток open-source екосистеми. Перші версії документа не передбачали чіткого розмежування між комерційним і некомерційним ПЗ, що могло покласти юридичну відповідальність навіть на волонтерські ініціативи. Наприклад, якщо незалежний розробник отримує добровільні донати від громадян, це уже може вважатися “комерційною діяльністю”. В той же час до 90% комерційного софту містить open source компоненти.
Після численних звернень, Єврокомісія врахувала критику, і у фінальній редакції CRA з’явився новий термін “open source software steward”. Це спеціальний правовий статус для організацій, котрі обслуговують критично важливу інфраструктуру, однак не вважаються прямими “виробниками”, а тому підлягають м’якшому, адаптованому режиму нагляду.
EUCS: схема сертифікації хмарних сервісів
Європейська схема сертифікації кібербезпеки для хмарних сервісів (EUCS) це ініціатива щодо створення уніфікованого процесу сертифікації хмарних послуг у ЄС розроблена Європейською агенцією кібербезпеки (ENISA), перший драфт якої був опублікований у 2020 році. Станом на серпень 2025 року, EUCS ще не впроваджена.
Перший драфт EUCS передбачає три рівні безпеки:
- Базовий: для хмарних сервісів із низьким ризиком для користувачів і суспільства (наприклад, некритичні корпоративні платформи).
Серед основних вимог: самосертифікація постачальника, шифрування в передаванні даних, автентифікація користувачів, базове управління вразливостями, загальна відповідність міжнародним нормам безпеки (ISO 27001 тощо). - Суттєвий: посилені заходи безпеки для служб, які обробляють конфіденційні дані (наприклад, адміністративні або освітні платформи).
Основні вимоги: оцінка безпеки здійснюється третьою стороною (тобто незалежним сертифікаційним органом), а також ширші технічні та процедурні заходи, зокрема багатофакторна автентифікація, шифрування конфіденційних даних, регулярне оновлення програмного забезпечення, управління вразливостями, а також створення внутрішнього протоколу реагування на інциденти. - Високий: для критичних хмарних сервісів (наприклад, у сфері оборони, охорони здоров’я, тощо), які вимагають найсуворішого контролю та заходів безпеки. Основні вимоги: оцінка безпеки третьою стороною з поглибленою перевіркою архітектури та операцій, багатофакторна автентифікація, фізична безпека дата-центрів, план реагування на інциденти та їх виявлення.
Перша версія EUCS зазнала чимало критики, оскільки передбачала суворі вимоги щодо цифрового суверенітету для всіх сервісів високого рівня: обов’язкове розміщення головного офісу в ЄС, а також локалізацію даних і постачальників. Як наслідок, більшість американських хмарних провайдерів не могли претендувати на сертифікацію високого рівня. У відповідь, 26 європейських індустріальних асоціацій надіслали офіційний лист, вимагаючи зберегти нейтралітет EUCS як технічного стандарту, а не політичного інструменту. Вони закликали прибрати умови, що дискримінують проти таких компаній, як Amazon, Google, Microsoft. В той же час Deutsche Telekom, Airbus, Orange, OVH cloud та інші великі європейські компанії виступили на захист суворих суверенітетних вимог, аргументуючи це тим, що вони ускладнюють отримання доступу до даних ЄС через закони третіх країн.
Як наслідок, в останній версії EUCS було запроваджено новий рівень “Високий+” для регулювання сервісів, що забезпечують суспільну безпеку, національну оборону, критичну інфраструктуру. Він включає в себе усі попередні вимоги, а також вимагає, щоб постачальник був зареєстрований в межах ЄС, дані та управління були локалізовані в ЄС, та не відстежувалось жодного юрисдикційного впливу іноземних держав.
Проте, станом на липень 2025 року цю схему досі не затвердили, зокрема через невизначеність щодо процедури надання статусу “Високий+”, а також щодо того, який орган має його надавати. Наприклад, у Франції наголошують, що EUCS має бути сумісною із національними програмами сертифікації, наприклад, французькою SecNumCloud, тоді як Єропейська Комісія наголошує на необхідності уніфікації її стандартів на рівні ЄС. Це стало однією з причин відкладення голосування про затвердження схеми у 2024 році.
Таким чином, хоча інціативи NIS2, CRA та EUCS є важливими кроками у напрямку зміцнення кібербезпеки ЄС, їх затвердження та імплементація стикаються з численними викликами. Усі три ініціативи спрямовані на створення більш стійкої та надійної цифрової інфраструктури, проте водночас викликають критику через значне посилення регуляторних вимог, що може негативно позначитись на конкурентоспроможності європейських підприємств на світовому рівні. Успішна реалізація цих ініціатив потребує встановлення балансу між високими стандартами безпеки та збереженням сприятливих умов для інновацій і розвитку бізнесу.
У наступному матеріалі розглянемо стан імплементації NIS2, CRA та EUCS у країнах Центральної та Східної Європи. Матеріал підготовлено за підтримки Міжнародного фонду «Відродження». Матеріал представляє позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження».