23
Пн, дек

Новое законодательство ЕС в области кибербезопасности позитивно и нейтрально для кредитных рейтингов: Fitch

agcs cyber risks 3 teaserПоскольку недавно в Европейском союзе вступили в силу новые правила кибербезопасности, Fitch Ratings заявило, что, хотя они и являются позитивными, усиление мер кибербезопасности за счет соблюдения нормативных требований нейтрально для кредитных рейтингов.

Эти правила включают Директиву NIS2, которая заменяет свою предшественницу NIS 2016 года; Устойчивость критически важных объектов (CER), которая заменяет Европейскую директиву о критической инфраструктуре 2008 года; и Закон о цифровой операционной устойчивости (DORA), который будет применяться с 17 января 2025 года.

Рейтинговое агентство заявило: «Кибератаки представляют собой хвостовые риски или события с низкой вероятностью, которые, тем не менее, могут оказать значительное влияние. Fitch не предпринимало рейтинговых действий в отношении какого-либо эмитента в результате кибератак, которые трудно предсказать и количественно оценить, что затрудняет их моделирование в нашем рейтинговом анализе.

«Надлежащая кибергигиена и строгий контроль сами по себе не приведут к положительному движению рейтингов, хотя плохой контроль может привести к негативным рейтинговым действиям, если будет доказано, что они существенны для финансов и/или репутации организации. Киберсобытие может усилить контроль со стороны регулирующих органов и судебные разбирательства».

Директива NIS2 расширяет охват секторов до пятнадцати и укрепляет правила кибербезопасности для организаций ЕС. Это делается на основе степени оцифровки и взаимосвязанности, а также потенциальных социальных и экономических последствий.

Директива также включает десять ключевых требований для всех компаний, включая обработку инцидентов, безопасность цепочки поставок, обработку и раскрытие уязвимостей, использование криптографии и шифрования.

CER предназначен для защиты критической инфраструктуры и сетей от угроз кибератак, включая стихийные бедствия, террористические атаки, внутренние угрозы или саботаж. Государства-члены должны до 17 октября 2024 года перенести две директивы в национальное законодательство.

DORA устанавливает единые требования к цифровой операционной устойчивости и информационной безопасности для финансового сектора и критически важных третьих сторон, которые предоставляют ему услуги в области информационных и коммуникационных технологий.

Постановление заменяет национальные законы и нацелено на финансовый сектор Европы, включая банки, страховые компании и инвестиционные фирмы, чтобы сделать его более устойчивым к кибератакам.

Fitch Ratings отмечает: «NIS2 определяет и существенно расширяет масштаб и количество организаций, на которые распространяются требования NIS2. Государства-члены больше не имеют права назначать «основные» организации, на которые распространяются обязательства директивы».

Агентство добавило: «Соблюдение требований может быть более сложным для малых и средних компаний в нерегулируемых отраслях, в которых отсутствует надежная инфраструктура кибербезопасности, что подвергает их большему риску, чем критическая инфраструктура и крупные компании в регулируемых отраслях.

«Бюджеты кибербезопасности испытывают все большее давление на фоне снижения прогнозов доходов, растущих рисков рецессии и экономической неопределенности, которые могут увеличить риск атак».

Подготовлено порталом Allinsurance.kz