NIS2 + DORA: Подтверждение личности для критической инфраструктуры (RU)

Два регламента ЕС меняют подход к защите основных и финансовых организаций. NIS2 (вторая Директива о сетевой и информационной безопасности) повышает базовый уровень кибербезопасности в критически важных и значимых секторах — энергетике, транспорте, здравоохранении, цифровой инфраструктуре и других. DORA (Закон о цифровой операционной устойчивости) делает то же самое специально для финансового сектора, уделяя особое внимание рискам информационно-коммуникационных технологий (ИКТ) и третьим сторонам, от которых зависят финансовые организации.

Они подходят к проблеме с разных сторон, но сходятся на одних и тех же мерах контроля: знать, кто имеет доступ, тщательно проверять личности и управлять рисками, которые привносят ваши поставщики. Подтверждение личности находится в центре всех трех. Этот пост объясняет, что требуют NIS2 и DORA, почему личность является несущей конструкцией, и как Didit — как механизм верификации и как аттестованный поставщик — помогает вам соответствовать этим требованиям.

Ключевые выводы

• NIS2 предписывает меры по управлению рисками, строгий контроль доступа и безопасность цепочки поставок в основных и важных секторах.
• DORA регулирует риски ИКТ в финансовых услугах, включая реестр сторонних поставщиков ИКТ и строгое управление рисками поставщиков.
• Оба режима в значительной степени опираются на подтверждение личности и контроль доступа — невозможно обезопасить систему без надежных ответов на вопрос «кто этот человек?».
• Didit обеспечивает высоконадежное подтверждение личности — проверку документов, NFC, проверку живости, биометрическое сопоставление лиц — для регистрации сотрудников, подрядчиков и ценных клиентов.
• Как сторонняя ИКТ-компания, Didit снижает вашу нагрузку по управлению рисками поставщиков с помощью конкретных аттестаций: SOC 2 Type 1 (ATOM, по состоянию на 09.04.2026), ISO/IEC 27001:2022 (Bureau Veritas, серт. № ES144068, действителен до 03.06.2027) и iBeta Level 1 PAD.
• Журналы аудита, управляемые веб-хуками (status.updated, data.updated), предоставляют доказательства, которые ожидаются обоими режимами.

Что требуют правила

NIS2 расширяет сферу действия первоначальной директивы на гораздо большее количество секторов и ужесточает обязательства. Среди ее основных требований: меры по управлению рисками кибербезопасности, соразмерные риску, обработка и отчетность по инцидентам, планирование непрерывности бизнеса и — что критически важно для идентификации — политики контроля доступа, использование многофакторной или непрерывной аутентификации, где это уместно, и безопасность цепочки поставок, учитывающая безопасность прямых поставщиков и поставщиков услуг. Руководящие органы несут ответственность, и надзорные органы могут принимать меры, если меры контроля неэффективны.

DORA фокусирует внимание на финансовых организациях и их устойчивости к сбоям в ИКТ. Она устанавливает требования по пяти основным направлениям: управление рисками ИКТ, отчетность об инцидентах, тестирование цифровой операционной устойчивости, обмен информацией и управление рисками сторонних поставщиков ИКТ. Последний пункт касается каждого поставщика: финансовые организации должны вести реестр информации обо всех соглашениях с сторонними поставщиками ИКТ, оценивать риск, который поставщик вносит до и во время отношений, и обеспечивать наличие договорных положений и положений о надзоре. Строгие меры контроля идентификации и доступа лежат в основе управления рисками и тестирования устойчивости.

Общая нить: вы не можете продемонстрировать операционную устойчивость или сетевую безопасность, если не можете надежно установить личность — людей, получающих доступ к системам, и поставщиков в вашей цепочке.

Почему это важно

Критическая инфраструктура — это именно то место, где концентрируются злоумышленники, потому что зона поражения наибольшая. NIS2 и DORA существуют потому, что регуляторы наблюдали, как инциденты у одного поставщика приводили к сбоям, утечкам и системным рискам. Штрафы отражают это: значительные штрафы, ответственность руководства и надзорное вмешательство.

Что касается идентификации, то повторяются два типа сбоев. Во-первых, слабая проверка — пропуск мошеннической или поддельной личности при регистрации или восстановлении учетной записи, что позже приводит к сбою контроля доступа. Во-вторых, неуправляемый риск третьей стороны — зависимость от поставщика (например, поставщика удостоверений личности), чью собственную безопасность вы не можете подтвердить. Оба режима заставляют вас устранять эти пробелы и вести записи, подтверждающие, что вы это сделали.

Как Didit помогает

Didit решает обе стороны уравнения идентификации в рамках NIS2 и DORA.

Как ваш уровень подтверждения личности:

• Высоконадежная верификация для регистрации клиентов, сотрудников и подрядчиков: проверка документов более чем 14 000 типов документов (0,15 долл. США), считывание чипов NFC (0,15 долл. США), пассивная (0,10 долл. США) и активная (0,15 долл. США) проверка живости и сопоставление лиц 1:1 (0,05 долл. США).
• Устойчивая к атакам биометрия — обнаружение атак на предъявление, протестированное по iBeta Level 1 (ISO/IEC 30107-3) с 0% успешности атаки в 360 попытках — своего рода доказательство, на котором должны основываться политики контроля доступа.
• Проверка AML и санкций (0,20 долл. США, 1300+ списков) и постоянный мониторинг (0,07 долл. США/пользователь/год) там, где это требуется регулируемыми отношениями.
• Компонуемая оркестровка с помощью конструктора рабочих процессов без кода, чтобы вы применяли меры контроля, соразмерные риску.

Как аттестованный сторонний поставщик ИКТ — облегчающий ваши обязательства по реестру DORA и цепочке поставок NIS2:

• Аттестация SOC 2 Type 1 от ATOM, охватывающая безопасность, доступность и конфиденциальность, по состоянию на 09.04.2026 (полный отчет с ограниченным использованием по соглашению о неразглашении).
• Сертификация ISO/IEC 27001:2022 от Bureau Veritas, серт. № ES144068, действительна до 03.06.2027 — распространяемое доказательство сертифицированной системы управления информационной безопасностью.
• Письмо о соответствии iBeta Level 1 PAD — распространяемое, для обеспечения биометрического контроля.

Это дает артефакты, необходимые вашим командам по закупкам и управлению рисками при оценке Didit как поставщика в вашем реестре сторонних ИКТ.

Подробный анализ: идентификация в реестре третьих сторон DORA

В соответствии с DORA, каждое соглашение со сторонним поставщиком ИКТ заносится в реестр информации, который ваш надзорный орган может запросить. Для каждого поставщика вы должны понимать функцию, которую он поддерживает, критичность этой функции и риск, который поставщик вносит — подкрепленный доказательствами.

Когда поставщиком является ваш поставщик услуг по верификации личности, доказательства, которые вам нужны, — это именно то, что может предоставить Didit: независимая аттестация SOC 2, описывающая дизайн ее средств контроля, сертификат ISO/IEC 27001, подтверждающий управляемую систему информационной безопасности, и биометрический результат iBeta, количественно определяющий эффективность защиты от спуфинга. Объедините это с журналом аудита Didit, управляемым веб-хуками — события status.updated и data.updated, записывающие жизненный цикл каждой верификации, — и вы получите как уверенность на уровне поставщика для реестра, так и записи на уровне транзакций для тестирования устойчивости и расследования инцидентов.

Эта комбинация превращает поставщика, который мог бы быть рисковым пунктом, в поставщика, который сокращает ваш цикл должной осмотрительности.

Случаи использования

• Банки, EMI и платежные учреждения, оценивающие риски сторонних ИКТ DORA для своего стека идентификации.
• Поставщики услуг криптоактивов, подпадающие под действие DORA в финансовом секторе.
• Операторы основных услуг (энергетика, транспорт, здравоохранение, цифровая инфраструктура) в рамках NIS2, ужесточающие контроль доступа и безопасность цепочки поставок.
• Поставщики управляемых услуг, которые должны подтверждать безопасность инструментов идентификации, которые они развертывают для клиентов.

Часто задаваемые вопросы

Применяются ли NIS2 и DORA к одним и тем же организациям?

Не совсем. NIS2 охватывает основные и важные организации во многих секторах; DORA охватывает финансовые организации и их поставщиков ИКТ. Многие финансовые организации подпадают под действие обоих, и меры контроля в значительной степени совпадают.

Действительно ли эти правила требуют верификации личности?

Правила требуют строгого контроля доступа, управления рисками и надзора за третьими сторонами. Надежное подтверждение личности является основой всех трех — без него невозможно обеспечить контроль доступа или проверить пользователей поставщика.

Что Didit предоставляет для реестра сторонних ИКТ DORA?

Didit может предоставить SOC 2 Type 1, ISO/IEC 27001:2022 (серт. ES144068) и доказательства iBeta Level 1 PAD, а также журналы аудита на основе веб-хуков — артефакты, необходимые вашей команде по управлению рисками для оценки и документирования Didit как поставщика.

Является ли SOC 2 Didit Type 1 или Type 2?

Это аттестация Type 1 (дизайн средств контроля по состоянию на 09.04.2026). Планируется проверка Type 2. Полный отчет имеет ограниченное использование и распространяется по соглашению о неразглашении.

Могу ли я получить сертификат ISO 27001 для внутреннего использования?

Да — сертификат ISO/IEC 27001:2022 (Bureau Veritas, серт. № ES144068) может быть предоставлен по запросу.

Готовы начать?

Ознакомьтесь с аттестациями и состоянием безопасности Didit в центре доверия, изучите продукт для верификации личности и просмотрите прозрачные цены на странице цен. Когда будете готовы, начните бесплатно — 500 бесплатных проверок KYC каждый месяц, с базовым потоком верификации от 0,33 долл. США.