Европейский Cybersecurity Act (CSA), принятый в 2019 году, задумывался как фундамент для единой системы кибербезопасности в ЕС. Он должен был решить две ключевые задачи: закрепить роль ENISA как центрального органа экспертизы и создать общеевропейскую систему сертификации для цифровых продуктов и сервисов. На момент принятия это выглядело как логичная попытка снизить фрагментацию рынка и повысить доверие между странами и участниками экосистемы.
Однако к 2024–2026 годам стало очевидно, что исходная модель не выдерживает нагрузки. За это время существенно изменилась как природа угроз, так и сама регуляторная среда. Количество кибератак выросло примерно на 150% только за 2024 год , а параллельно появился целый набор новых нормативных актов — NIS2, Cyber Resilience Act, Cyber Solidarity Act. В результате CSA оказался встроен в гораздо более сложную и перегруженную систему, чем та, под которую он изначально проектировался.
Сегодня европейская кибербезопасность — это не единая логичная модель, а совокупность перекрывающихся требований. Компании вынуждены одновременно учитывать разные регуляции, каждая из которых описывает безопасность со своей стороны: через управление рисками, через требования к продуктам, через обработку инцидентов или через сертификацию. Это создает системный эффект — дублирование процессов, разночтения в требованиях и рост стоимости compliance. Даже внутри одной организации разные команды могут работать с разными регуляторными логиками, что увеличивает внутреннюю сложность и снижает эффективность.
Европейская комиссия частично признает эту проблему и предлагает технические решения, например, внедрение единой точки отчетности через ENISA, которая позволит компаниям подавать информацию сразу по нескольким регуляциям . Но это скорее попытка упростить взаимодействие с системой, чем изменить саму систему. Архитектурная проблема — фрагментация и пересечение норм — при этом остается.
Отдельный слой сложности связан с эволюцией ENISA. Агентство изначально задумывалось как центр компетенций и координации, но со временем его мандат существенно расширился. Сегодня ENISA участвует в разработке политики, координирует взаимодействие между странами, вовлечена в реагирование на инциденты, занимается сертификацией и активно взаимодействует с индустрией. Такая мультифункциональность выглядит логично с точки зрения задач, но создает управленческую проблему. Когда одна структура отвечает за слишком широкий спектр направлений, неизбежно возникает размывание приоритетов и перегрузка ресурсов.
Это особенно заметно в контексте сертификации. Система ECCF задумывалась как единый механизм доверия, который позволит компаниям подтверждать безопасность своих продуктов и использовать это подтверждение на всей территории ЕС. Однако фактическая реализация оказалась значительно медленнее ожиданий. Первая полноценная схема была принята только в 2024 году, а ключевые направления — облачные сервисы, цифровая идентичность, 5G — до сих пор находятся в разработке.
Для рынка это означает не просто задержку, а неопределенность. Компании не могут заранее планировать свои инвестиции в безопасность и соответствие требованиям, потому что сами требования формируются с задержкой и без достаточной прозрачности. В таких условиях сертификация перестает быть инструментом упрощения и начинает восприниматься как дополнительный риск.
Параллельно происходит более глубокая трансформация — изменение самой природы киберрисков. Если изначально регулирование было ориентировано на технические аспекты, такие как уязвимости, стандарты и архитектура систем, то сейчас в фокусе оказываются вопросы более высокого уровня. Это зависимость от поставщиков, происхождение технологий, устойчивость цепочек поставок и влияние геополитики на инфраструктуру.
Иными словами, безопасность больше не ограничивается вопросом «насколько защищена система». Она включает вопрос «насколько эта система контролируема и независима». Это особенно критично для облачных платформ, телеком-инфраструктуры и решений в области искусственного интеллекта, где зависимость от внешних поставщиков может становиться стратегическим риском.
На этом фоне меняется и роль сертификации. Формально она остается добровольной, но на практике всё чаще становится обязательным условием работы на рынке. Это происходит не напрямую, а через другие регуляции и требования заказчиков. В результате возникает парадокс: система позиционируется как гибкая и добровольная, но фактически превращается в инструмент допуска к рынку. Это создает напряжение между бизнесом, который заинтересован в предсказуемости и минимизации издержек, и регуляторами, которые стремятся усилить контроль и стандартизацию.
Ревизия CSA, запланированная на 2026 год, является попыткой ответить на эти вызовы. Основная задача — не просто обновить отдельные положения, а пересобрать архитектуру регулирования. Речь идет о более четком определении роли ENISA, ускорении разработки сертификационных схем, упрощении процессов отчетности и учете новых типов рисков, включая supply chain и геополитические факторы.
При этом важно понимать, что ревизия не устранит все проблемы. Регуляция по своей природе всегда отстает от технологического развития и динамики угроз. Поэтому цель изменений — не создать идеальную систему, а сделать существующую более управляемой и предсказуемой.
Для бизнеса это означает несколько практических последствий. Во-первых, сложность compliance будет расти, даже если отдельные процессы станут проще. Количество требований и их взаимосвязей увеличивается, и это требует более зрелых процессов управления. Во-вторых, возрастает значение управления цепочками поставок. Проверка поставщиков, оценка их рисков и понимание зависимости от внешних решений становятся обязательной частью безопасности.
В-третьих, сертификация постепенно превращается из опционального элемента в стратегический инструмент. Она начинает играть роль не только в подтверждении безопасности, но и в обеспечении доступа к рынку, особенно в чувствительных секторах. И, наконец, кибербезопасность окончательно выходит за пределы IT-функции. Она становится частью корпоративного управления, влияя на стратегию, инвестиции и операционные решения.
В этом контексте ключевое изменение CSA — это не изменение конкретных требований, а смена роли кибербезопасности в экономике ЕС. Она перестает быть исключительно технической дисциплиной и становится элементом регулирования рынка, инструментом управления рисками и фактором конкурентоспособности.
Именно поэтому ревизия Cybersecurity Act — это не просто обновление закона, а отражение более широкого сдвига. ЕС пытается перейти от модели, ориентированной на формальные стандарты, к модели, основанной на управлении рисками и устойчивости. Насколько успешно это получится — вопрос открытый. Но уже сейчас очевидно, что для бизнеса кибербезопасность в Европе становится не просто требованием, а условием участия в экономике.
