Безопасен наш союз
Татьяна Исакова о параллелях, которые пересекаются
В России регулированием в области кибербезопасности уже больше года никого не удивишь: требования по защите данных и IT-инфраструктуры появились везде — от указов президента до постановлений правительства и приказов отраслевых регуляторов. В Европе цифровое регулирование традиционно было более консервативным. Но на этой неделе Совет ЕС опубликовал регламент обеспечения кибербезопасности организаций, который закрепил общие для всех стран-участников методы защиты данных.
Татьяна Исакова
Фото: Глеб Щелкунов, Коммерсантъ
Татьяна Исакова
Фото: Глеб Щелкунов, Коммерсантъ
В то время как буквально во всех других политических направлениях ЕС и Россия сейчас в противофазе, регламент на удивление перекликается с указом президента РФ от 1 мая 2022 года. В ЕС, согласно документу, к 8 апреля 2025 года каждая организация должна создать внутреннюю «структуру управления рисками кибербезопасности». Юристы объясняют, что новые правила распространяются в обязательном порядке на институты и организации госсектора и обязывают каждый субъект ЕС реализовать меры защиты в зависимости от рисков.
Каждая организация также должна стремиться выделять «адекватную долю своего бюджета на IT для повышения уровня кибербезопасности, а в долгосрочной перспективе стремиться к показателю в размере не менее 10%». Это призвано в том числе «не допустить нарушения подлинности, целостности или конфиденциальности данных».
Подобные изменения нетипичны для ЕС, особенно в части их распространения на все входящие туда страны, считают мои собеседники на рынке кибербезопасности: многие вопросы регуляторы традиционно отдают для решения на региональном уровне, за счет чего законодательство можно назвать «гибким». Более того, регламент также призван стимулировать инвестиции европейских компаний в продукты местных разработчиков. Мои собеседники на рынке считают, что это в первую очередь необходимо для ограничения присутствия на рынке американских компаний и принуждения их к соблюдению европейских политик в области данных. Ничего не напоминает?
В РФ эта проблема решилась сама собой: большая часть западных компаний, которые ограничивали спрос на решения локальных вендоров, просто ушли с рынка после начала военного конфликта с Украиной.
Аналогичный исход американских игроков с европейского рынка представить себе сейчас почти невозможно. Допускаю, что локальные разработчики в странах ЕС посматривают на российских конкурентов с некоторой долей зависти. А российские регуляторы могут даже вдохновиться идеями европейских коллег: например, перенять отсутствующее сейчас условие по увеличению инвестиций госкомпаний и организаций в кибербезопасность до 10% от всего бюджета на IT.