Šī gada 10. novembrī Eiropas Parlaments apstiprināja jauno NIS2 direktīvu, kuras mērķis ir nodrošināt augstu kiberdrošības līmeni visā Eiropas Savienībā. Jaunajā direktīvā ir grozīti noteikumi par tīklu un informācijas sistēmu drošību ar mērķi paaugstināt kibernoturības līmeni visās dalībvalstīs. Saskaņā ar Eiropas Komisijas teikto, NIS2 paver ceļu "augstam kopējam kiberdrošības līmenim visā Savienībā". Tāpat, stājoties spēkā jaunajai, šobrīd esošā direktīva NIS zaudēs savu spēku.
„NIS2 noteiks pamatu kiberdrošības riska pārvaldības pasākumiem un ziņošanas pienākumiem visās nozarēs, uz kurām attiecas direktīva, piemēram, enerģētikā, transportā, veselības aprūpē un digitālajā infrastruktūrā,“ teikts ES Padomes preses relīzē.
ES dalībvalstīm, uz kurām attiecas jaunā regula, būs jāpieņem nacionālā kiberdrošības stratēģija, jāpiemēro kiberdrošības noteikumi, un 24 stundu laikā jāziņo par kiberdrošības incidentiem.
Paredzams, ka 3-4 gadu laikā pēc NIS2 ieviešanas kopējās kiberdrošības incidentu izmaksas samazināsies par 11,3* miljardiem eiro.
Tajā pašā laikā izdevumi IKT nozarē kiberdrošībai palielināsies vidēji par 12% (nozarēm, uz kurām jau attiecas NIS) līdz 22% (nozarēm, kas pievienotas NIS2 darbības jomai)*.
Daļu no izmaksām organizācijas var segt ar dažādiem finanšu atbalstiem. Viens no tiem ir ES subsīdijas, piemēram, programma Digital Europe, kas nodrošina 7,5 miljardu eiro finansējumu no 2021. līdz 2027. gadam.
*Avots: Impact Assesment Report 1/3, 72., 73. un 77. lpp.
Uz ko attiecas NIS2 direktīva?
Pieaugošās savstarpējās savienojamības un straujās digitalizācijas laikā uzņēmumiem kļūst arvien svarīgāk sevi sistemātiski aizsargāt no kiberdrošības apdraudējumiem. Jaunā NIS2 direktīva attieksies uz šādām nozarēm:
Kritiskie sektori
- Enerģija: elektrība, nafta, gāze, siltums
- Veselība: pakalpojumu sniedzēji, laboratorijas, farmācija
- Transports: gaisa, dzelzceļa, ūdens, autotransports
- Bankas un finanšu tirgi
- Ūdensapgāde un notekūdeņu attīrīšana
- Digitālā infrastruktūra un digitālie pakalpojumu sniedzēji
- Valsts pārvalde
Svarīgas nozares
- Pasta un kurjerpasta pakalpojumi
- Atkritumu pārstrāde
- Ķīmiskās vielas
- Pārtikas piegāde
- Rūpniecība: tehnoloģijas un inženierzinātnes
- Digitālie pakalpojumi: sociālie pakalpojumi, meklēšana, tirgi
Visiem vidējiem un lieliem uzņēmumiem, kas darbojas nozarēs, uz kurām attiecas jaunā direktīva, būs jāievēro NIS2 prasības. Sīkāka informācija par to, uz kurām struktūrām attiecas direktīva, pieejama 80. lappusē šeit.
Arī organizācijām, kas neietilpst tiešā NIS2 darbības jomā, taču piedāvā ar IT saistītus pakalpojumus klientiem, uz kuriem attiecas direktīva, būs jāpastiprina uzmanība drošības jautājumiem.
Galvenās kiberdrošības jomas, ko ietekmē NIS2
- Incidentu novēršanas pienākumi
Organizācijām nekavējoties jāinformē attiecīgās dalībvalstu kompetentās iestādes par visiem incidentiem, kas ietekmē to pakalpojumu sniegšanu. Turklāt tiem ir jāziņo par visiem konstatētajiem kiberapdraudējumiem, kas varētu izraisīt būtisku incidentu.
Par incidentu jāziņo 24 stundu laikā kopš tas ir fiksēts.
- Kiberdrošības riska pārvaldības pasākumi
NIS2 mērķis ir panākt saskaņotāku kiberdrošības riska pārvaldības pieeju, lai mazinātu neatbilstības kiberdrošības jomā starp attiecīgām nozarēm.
- Informācijas sistēmu drošības riska analīze un politika.
- Incidentu pārvaldība. Tostarp incidentu novēršana, atklāšana un reaģēšana.
- Uzņēmējdarbības nepārtrauktība un krīzes pārvaldība.
- Piegādes ķēdes drošība. Tostarp drošības aspekti, kas ir saistīti ar piegādātājiem, piemēram, tiem, kas sniedz datu apstrādes pakalpojumus.
- Drošība tīklu un informācijas sistēmu iegāde, izstrāde un uzturēšana. Tostarp ievainojamību pārvaldība un atklāšana.
- Kiberdrošības riska pārvaldības pasākumu efektivitātes novērtēšanas politika un procedūras. Piemēram, drošības audits vai ielaušanās testēšana.
- Kriptogrāfijas un šifrēšanas izmantošanas politika. Tāpat jānodrošina arī cilvēkresursu drošība, piekļuves kontroles politika un aktīvu pārvaldība.
Sankcijas
NIS2 noteikusi plašāku pilnvaru kopumu, kas jāpiešķir kompetentajām iestādēm. Turklāt pārvaldības struktūrvienībām būs būtiska un aktīva loma šo pasākumu uzraudzībā un īstenošanā.
Kas draud, ja uzņēmuma realizētie kiberdrošības pasākumi neatbildīs prasībām?
- Naudas sodi līdz 10 miljoniem EUR vai 2% no kopējā gada apgrozījuma
- Tieša vadības atbildība (CISO, IT daļas vadītāji un C-līmeņa vadītāji)
- Pagaidu aizliegumi vadītājiem strādāt vadošos amatos
- Uzraudzības amatpersonas iecelšana
Stāšanās spēkā
Direktīva tika formāli apstiprināta šī gada 28. novembrī un tā stāsies spēkā līdz gada beigām. Pēc tam Savienības dalībvalstīm būs dots 21 mēnesis, lai direktīvas noteikumus iekļautu savos tiesību aktos – uzņēmumiem jābūt gataviem jaunajiem kiberdrošības regulējumiem 2024. gada septembrī.
Uzņēmējus Latvijā tiešā veidā ietekmēs Nacionālās Kiberdrošības likumprojekts, kas šobrīd ir sagatavošanas posmā Aizsardzības ministrijas pārziņā. Jaunai likumprojekts tiek veidots uz jau spēkā esošā Informācijas tehnoloģiju drošības likumā (ITDL) bāzes, to papildinot un aktualizējot ar jaunām saistībām, kas izriet no ES tiesību aktiem.
Likumprojekta paredzamais spēkā stāšanās datums ir 2023. Gada 1. janvāris.
Detalizētāk par Nacionālās Kiberdrošības likumu informēsim nākamajā rakstā.
Noderīgas saites:
Nacionālās kiberdrošības likumprojekts: https://tapportals.mk.gov.lv/legal_acts/2122ae13-f711-4b31-a767-daf155b28102;
Informatīvs ziņojums par Kiberdrošības stratēģiju 2023 - 2026: https://tapportals.mk.gov.lv/legal_acts/dcaf6fc4-4dbe-491d-bcc6-1579837cd1f6;
Informācijas tehnoloģijas drošības likums (spēkā esošais regulējums): https://likumi.lv/ta/id/220962-informacijas-tehnologiju-drosibas-likums.