NIS2 (דירקטיבה EU 2022/2555) היא חוק הסייבר המוביל של האיחוד האירופי, בתוקף מ-17 באוקטובר 2024, המחליף את דירקטיבת NIS המקורית מ-2016. היא מרחיבה דרמטית את מעגל הארגונים החייבים בחובות סייבר בסיסיות, מעלה את הרף בדיווח אירועים והופכת את ההנהלה הבכירה לאחראית אישית. אם הארגון פועל באיחוד, מוכר ללקוחות באיחוד או נמצא בשרשרת האספקה של גוף מכוסה – NIS2 כנראה חלה עליכם, כולל חברות ישראליות רבות.
מי חייב לעמוד בה
NIS2 מכסה 18 סקטורים קריטיים ומבחינה בין גופים "חיוניים" (אנרגיה, תחבורה, בנקאות, בריאות, מים ותשתית דיגיטלית) ל"חשובים" (ייצור, מזון, פסולת וספקים דיגיטליים). ככלל אצבע, ארגונים בינוניים וגדולים – מעל 50 עובדים ו-10 מיליון אירו מחזור בסקטורים מכוסים – נמצאים בהיקף. הוראות שרשרת האספקה מושכות פנימה גם ספקים מחוץ לאיחוד דרך חוזים עם לקוחותיהם האירופיים.
החובות המרכזיות
סעיף 21 מחייב לפחות עשרה אמצעי ניהול סיכונים מינימליים, כולל ניתוח סיכונים, טיפול באירועים, המשכיות עסקית, אבטחת שרשרת אספקה, בקרת גישה, הצפנה ואימות רב-שלבי. סעיף 23 קובע ציר דיווח קשיח – התראה מוקדמת תוך 24 שעות, דיווח מלא יותר תוך 72 שעות ודוח סופי תוך חודש. סעיף 20 הופך את ההנהלה לאחראית ישירות, עם אחריות אישית שעשויה לכלול הרחקה זמנית מתפקידי ניהול.
מועדים וקנסות
האכיפה פעילה. רוב הגופים בהיקף נדרשו להירשם בפורטלים לאומיים בתחילת 2026, כשמועד ביקורת הציות הרשמית הראשונה נקבע ל-30 ביוני 2026. הקנסות בסדר גודל של GDPR: עד 10 מיליון אירו או 2% מהמחזור העולמי לגופים חיוניים, ו-7 מיליון אירו או 1.4% לגופים חשובים.
קיצור הדרך של ISO 27001
חלק ניכר מ-NIS2 חופף ל-ISO 27001, כך שיישום שניהם יחד חוסך מאמץ ניכר, והסמכה קיימת מדגימה בגרות מול הרגולטור. Persist Security מסייעת לסגור פערי NIS2 דרך שירות ממשל סיכונים וציות (GRC), בגיבוי סקרי אבטחה וSOC מנוהל העונה על דרישות הניטור והדיווח. צרו קשר לסקירת מוכנות NIS2.
