20 января 2026 года Европейская комиссия представила проект обновлённого Регламента о кибербезопасности — Cybersecurity Act 2 (CSA2). Документ радикально пересматривает мандат ENISA, перезапускает европейскую систему киберсертификации и вводит общеевропейский каркас управления рисками в ИКТ‑цепочках поставок.
1. Причины реформы и общая логика CSA2
С момента принятия первого Cybersecurity Act в 2019 году существенно изменились и киберугрозы, и регуляторный контекст. Основные факторы:
рост количества и сложности атак, в том числе на критическую инфраструктуру и цепочки поставок, с устойчивой ролью программ‑вымогателей;
влияние ИИ и квантовых технологий на средства защиты и модели атак;
накопление актов ЕС в области кибербезопасности (NIS2, CRA, DORA, Cyber Solidarity Act и др.), что усилило фрагментацию требований;
медленное и ограниченное применение Европейской рамки киберсертификации (ECCF);
усиление геополитических и «нетехнических» рисков в цепочках поставок ИКТ.
На этом фоне CSA2 формулирует две ключевые цели:
Повышение киберустойчивости и готовности ЕС к инцидентам.
Снижение фрагментации единого рынка за счёт общих инструментов (сертификация, общие рамки для supply chain и т.д.).
2. Новый мандат ENISA
ENISA превращается из преимущественно аналитического органа в комплексный центр компетенций и операционной поддержки для государств‑членов и институтов ЕС.
2.1. Основные направления деятельности
CSA2 закрепляет четыре блока задач для ENISA:
Поддержка реализации политики и законодательства
подготовка технических рекомендаций, руководств и «best practices» по NIS2, CRA, Cyber Solidarity Act и др.;
оценка состояния кибербезопасности в ЕС и содействие национальным компетентным органам.
Операционное сотрудничество и ситуационная осведомлённость
секретариат для сети CSIRTs и EU‑CyCLONe;
развитие репозиториев проверенной threat intelligence и подготовка регулярных технических отчётов о тенденциях угроз;
выпуск ранних предупреждений о значимых и трансграничных инцидентах, прежде всего в секторах из приложений I и II NIS2.
Киберсертификация и стандартизация
подготовка, сопровождение и пересмотр европейских схем киберсертификации;
разработка технических спецификаций и участие в европейской и международной стандартизации, включая пост‑квантовую криптографию.
Кадровый блок и компетенции
поддержка и актуализация European Cybersecurity Skills Framework (ECSF);
разработка и сопровождение схем индивидуальной аттестации специалистов по кибербезопасности; авторизация провайдеров таких аттестаций.
2.2. Ресурсы и финансирование
Для выполнения расширенного мандата ENISA существенно укрепляется ресурсно:
прогнозный бюджет — около 341 млн евро на 2028–2034 годы (среднегодовой объём ~49 млн евро, рост на 81,5% к уровню 2025 года);
увеличение численности персонала агентства на 118 штатных единиц;
введение механизма сборов (fees) за: авторизацию провайдеров аттестаций, участие органов по оценке соответствия в схемах сертификации, использование тестовых инструментов ENISA.
3. Реформа Европейской рамки киберсертификации (ECCF)
ECCF в CSA2 должна стать практическим инструментом для рынка и регуляторов, а не только формальной рамкой.
3.1. Процедуры и управление
Реформа ECCF предусматривает:
ежегодную European Cybersecurity Certification Assembly для формирования приоритетов по новым схемам;
публичную дорожную карту и статус подготовки схем на сайте Комиссии;
жёсткие сроки разработки candidate‑схем ENISA (как правило, 12 месяцев с момента запроса Комиссии);
обязательную maintenance‑стратегию для каждой схемы, включая обновление с учётом новых угроз, стандартов и обратной связи рынка;
регулярную оценку эффективности схем (не реже одного раза в 4 года) и возможность их пересмотра или отмены.
3.2. Сертификация «киберпозиции» организаций
Важно нововведение — возможность сертификации не только продуктов, услуг и процессов, но и киберустойчивости организаций в целом (cyber posture).
Такие схемы могут быть привязаны к требованиям других актов (например, NIS2, GDPR), обеспечивая презумпцию соответствия.
Это создаёт основу для использования сертификации как унифицированного доказательства исполнения требований сразу по нескольким нормативным режимам.
4. Trusted ICT Supply Chain Framework и high‑risk suppliers
CSA2 вводит горизонтальный механизм управления «нетехническими» рисками в ИКТ‑цепочках поставок для типов организаций из приложений I и II NIS2.
4.1. Координированные оценки рисков и ключевые активы
Предусмотрены:
координированные на уровне ЕС оценки рисков для отдельных ИКТ‑цепочек, инициируемые Комиссией или группой государств;
разработка риск‑сценариев и перечня мер по их снижению в рамках NIS Cooperation Group;
идентификация посредством актов Комиссии ключевых ИКТ‑активов (key ICT assets), критичных для функционирования услуг.
4.2. Страны, вызывающие киберопасения, и high‑risk suppliers
Комиссия получает полномочия:
оценивать различные юрисдикции на предмет существования системных «нетехнических» рисков (законодательство о доступе к данным, практика вмешательства, история кибератак и т.п.);
официально признавать страны «posing cybersecurity concerns»;
относить поставщиков, зарегистрированных или контролируемых из таких стран, к категории high‑risk suppliers и распространять на них ограничения.
Такие поставщики, среди прочего, не смогут:
участвовать в разработке стандартов и спецификаций ЕС в области кибербезопасности;
выступать органами по оценке соответствия и держателями европейских киберсертификатов;
быть авторизованными провайдерами индивидуальных кибераттестаций;
участвовать в проектах, финансируемых из бюджета ЕС, и в ряде процедур госзакупок по ключевым ИКТ‑активам.
Одновременно предусмотрен механизм индивидуального освобождения от ограничений при условии надлежащего управления рисками и отсутствия возможности вмешательства третьей страны.
4.3. Особый режим для телекоммуникационных сетей
Фреймворк распространяется на мобильные, фиксированные и спутниковые сети:
ключевые активы (ядро сети, RAN, транспорт, системы управления) перечислены в приложении к регламенту;
компоненты high‑risk suppliers в этих активах подлежат выводу из эксплуатации в установленные сроки, для мобильных сетей — не более 36 месяцев с момента вступления в силу.
Это фактически переводит рекомендации 5G Toolbox в обязательные, унифицированные для всех государств‑членов правовые требования.
5. Практическое значение CSA2
Для организаций, подпадающих под действия NIS2 и связанных актов, Cybersecurity Act 2 означает:
усиление требований к управлению цепочками поставок, включая инвентаризацию ключевых ИКТ‑активов и учёт общеевропейских решений по high‑risk suppliers;
возможность использовать европейскую киберсертификацию (включая posture‑certification) как главный инструмент демонстрации соответствия и снижения регуляторной нагрузки;
расширение роли ENISA как источника методик, практических руководств и технических сервисов (единая точка приёма инцидент‑репортов, общие платформы для обмена информацией и др.).
Для поставщиков ИКТ и сервис‑провайдеров CSA2 закрепляет киберсертификацию как ключевой фактор доверия на европейском рынке и одновременно повышает важность анализа собственной юрисдикционной структуры и цепочек контроля, чтобы не попасть в категорию high‑risk supplier.
