NIS2 direktyva – tai ES direktyva, kuria siekiama stiprinti Europos Sąjungos valstybių narių ir įmonių ki­ber­ne­ti­nį atsparumą nustatant griež­tes­nes taisykles. Ji apima saugumo priemonių, skirtų geresnei IT apsaugai už­tik­rin­ti, įgy­ven­di­ni­mą, taip pat saugumo pa­tik­ri­ni­mus ir greitus pranešimo apie ki­ber­ne­ti­nio saugumo in­ci­den­tus kanalus. Nors Jungtinė Karalystė šios di­rek­ty­vos ne­įgy­ven­di­na, nes jai ne­be­tai­ko­mi ES teisės aktai, apie ją verta žinoti, jei vykdote veiklą ES te­ri­to­ri­jo­je.

Kas yra NIS2 direktyva?

Europos Sąjungos NIS2 direktyva siekiama padidinti valstybių narių esminių ir svarbių inf­rastruk­tū­rų atsparumą ki­ber­ne­ti­nio saugumo grėsmėms. Santrumpa NIS2 reiškia „Tinklų ir in­for­ma­ci­jos saugumas 2“. Įsi­ga­lio­ju­si 2023 m. sausio 16 d., ji pakeitė ankstesnę NIS1 direktyvą, kuri jau buvo pas­ka­ti­nu­si pokyčius požiūryje į IT saugumą.

Siekiant už­tik­rin­ti maksimalų apsaugos lygį tiek ES valstybių narių pri­va­čia­me, tiek viešajame sek­to­riuo­se, naujojoje NIS2 di­rek­ty­vo­je įvedamos iš­sa­mes­nės ir griež­tes­nės taisyklės, taikomos platesnei tikslinei grupei. Tokiu būdu naujosios taisyklės skirtos už­tik­rin­ti didesnį ki­ber­ne­ti­nį atsparumą ir veiks­min­ges­nius veiksmus kovojant su ki­ber­ne­ti­nio saugumo grėsmėmis bei saugumo pa­žei­di­mais. NIS2 taip pat siekiama už­tik­rin­ti, kad svar­biau­sios ins­ti­tu­ci­jos, tei­kian­čios gy­ven­to­jams būtinas prekes ar paslaugas, būtų ap­sau­go­tos nuo veiklos sutrikimų ir pertraukų krizės atveju.

Pag­rin­di­nis NIS2 tikslas – geriau parengti įmones kovai su ki­ber­ne­ti­nė­mis atakomis ir už­tik­rin­ti veiks­min­gą bei greitą reagavimą į IT su­tri­ki­mus. Todėl nuo­sek­les­nė saugumo stra­te­gi­ja ES vals­ty­bė­se narėse turėtų už­tik­rin­ti aukš­čiau­sią įmanomą ki­ber­ne­ti­nį saugumą ES erdvėje tiek na­cio­na­li­niu, tiek tarp­tau­ti­niu lygmeniu. Visos valstybės narės privalo perkelti direktyvą į na­cio­na­li­nę teisę; tai taikoma didelėms įmonėms bei mažosioms ir vi­du­ti­nėms įmonėms, kurioms taikomi nauji reg­la­men­tai.

Ką keičia NIS2 direktyva?

Pareiga įgy­ven­din­ti NIS2 ki­ber­ne­ti­nio saugumo stip­ri­ni­mo direktyvą (NIS2UmsuCG) reiškia esminius pokyčius 18 skirtingų sektorių. Be kita ko, daugiau nei dvigubai padaugėjo sektorių, pri­ski­ria­mų prie esminių, o baudų už rei­ka­la­vi­mų ne­si­lai­ky­mą sąrašas tapo griež­tes­nis. Be to, at­sa­ko­my­bė teks ir įmonių vadovams.

Pa­vyz­džiui, Vo­kie­ti­jo­je, Is­pa­ni­jo­je, Italijoje ir Pran­cū­zi­jo­je NIS2 direktyva turės įtakos tūks­tan­čiams įmonių. Vo­kie­ti­jo­je naująją direktyvą turės įgy­ven­din­ti iki 40 000 įmonių, o Italijoje – apie 50 000 įmonių. Is­pa­ni­jo­je naujoji direktyva bus taikoma maždaug 25 000 įmonių, o Pran­cū­zi­jo­je – daugiau nei 10 000 subjektų.

Štai visų NIS2 di­rek­ty­vos įvestų pakeitimų apžvalga:

  • Svar­biau­sių sričių apimties iš­plė­ti­mas: NIS2 dar daugiau sektorių priskiria prie svar­biau­sių.
  • Griež­tes­nės baudos: direktyva žymiai padidina baudas už pa­žei­di­mus
  • Vadovų at­sa­ko­my­bė: vadovai dabar yra tie­sio­giai atsakingi už ki­ber­ne­ti­nio saugumo rei­ka­la­vi­mų laikymąsi.
  • Išplėstos taikymo sritys: NIS2 direktyva taikoma įmonėms, tu­rin­čioms daugiau nei 50 dar­buo­to­jų arba kurių apyvarta viršija 10 mln. eurų, taip pat kai kurioms įmonėms, ne­pri­klau­so­mai nuo jų dydžio.
  • Būtinybė atlikti išsamią rizikos analizę: įmonės privalo atlikti išsamią rizikos analizę.
  • Rei­ka­lau­ja­mas rizikos ir saugumo valdymas: rizikos valdymui ir saugumo prie­mo­nėms taikomi griežti rei­ka­la­vi­mai. Įvairios apsaugos priemonės, pvz., įsi­lau­žimo testai, apa­ra­ti­nės ug­nia­sie­nės ir at­sar­gi­nių kopijų stra­te­gi­jos, yra pri­va­lo­mos.
  • Pri­va­lo­mas krizių valdymas: saugumo incidentų atveju būtinos greitos ir veiks­min­gos krizių valdymo stra­te­gi­jos, ko­mu­ni­ka­ci­jos kanalai ir pranešimų teikimo sistemos.
  • Esamų saugumo protokolų nau­do­ji­mas: Įmonės gali remtis esamais saugumo stan­dar­tais, taikomais re­gu­liuo­ja­mo­se pramonės šakose.

Kam taikoma NIS2 direktyva?

NIS2 skiria įmones, pri­ski­ria­mas iš­plės­ti­nei „būtinų“ ka­te­go­ri­jai, ir visiškai naują „svarbių“ ka­te­go­ri­ją. Tai tie­sio­giai taikoma įmonėms, kuriose dirba daugiau nei 50 dar­buo­to­jų arba kurių metinė apyvarta siekia 10 mln. eurų ar daugiau. Be to, įmonės gali patekti į NIS2 taikymo sritį ne­pri­klau­so­mai nuo jų dydžio, jeigu jų veiklos su­tri­ki­mas sukeltų sisteminę riziką. „Esminė“ ka­te­go­ri­ja apima įmones iš vie­nuo­li­kos sektorių, įskaitant, visų pirma, kritinės inf­rastruk­tū­ros įmones, kurios yra gy­vy­biš­kai svarbios vy­riau­sy­bei ir vi­suo­me­nei. „Svarbi“ ka­te­go­ri­ja, savo ruožtu, taikoma sep­ty­niems sistemai svarbiems sek­to­riams.

Svar­biau­si sektoriai ir įmonės

  • Energija
  • Vandens tiekimas
  • Trans­por­tas
  • Ban­ki­nin­kys­tė
  • Finansų rinkos inf­rastruk­tū­ros
  • Sveikatos priežiūra
  • Kosmosas
  • Nuotekos
  • Viešasis ad­mi­nist­ra­vi­mas
  • Skait­me­ni­nė inf­rastruk­tū­ra
  • IKT paslaugų valdymas (B2B)

Svarbūs sektoriai ir įmonės

  • Pašto ir kurjerių paslaugos
  • Atliekos
  • Chemijos pramonė
  • Maisto tiekimas
  • Skait­me­ni­nių paslaugų teikėjai
  • Pramonė (per­dir­bi­mas / gamyba)
  • Moks­li­niai tyrimai (pa­si­rink­ti­nai)

Kokios prievolės taikomos įmonėms?

Pagal NIS2 įmonėms taikomi griežti rei­ka­la­vi­mai ir reikš­min­gi pokyčiai. Tai apima:

Įsi­pa­rei­go­ji­mai Priemonės
Rizikos valdymas ir veiklos tęstinumo valdymas (§30, 31) Šif­ra­vi­mas, dau­gia­fak­to­rius au­ten­ti­fi­ka­vi­mas, krip­to­gra­fi­ja, ki­ber­ne­ti­nė higiena, vaidmenų pri­sky­ri­mas ir prieigos kontrolė, at­sar­gi­nių kopijų valdymas ir sistemos atkūrimas, tiekimo grandinės saugumas ir rizikos analizė yra privalomi. Minimalūs rei­ka­la­vi­mai skiriasi pri­klau­so­mai nuo įmonės dydžio dėl „dydžio ribos“ taisyklės.
At­skai­to­my­bės ir pranešimo pareigos (§32, 35) Apie reikš­min­gus saugumo in­ci­den­tus privaloma pranešti valdžios ins­ti­tu­ci­joms per 24 valandas. Pirminiai ver­ti­ni­mai turi būti pateikti per 72 valandas. Išsami galutinė ataskaita turi būti pateikta per vieną mėnesį.
Re­gist­ra­vi­mo įsi­pa­rei­go­ji­mai (§33, 34) Paveiktos or­ga­ni­za­ci­jos ir domenų vardų re­gist­ra­vi­mo paslaugų teikėjai privalo pateikti in­for­ma­ci­ją at­sa­kin­goms ins­ti­tu­ci­joms ne vėliau kaip per tris mėnesius nuo NIS2 įsi­ga­lio­ji­mo. Jei re­gist­ra­ci­jos prievolė ne­įvyk­do­ma, ją taip pat gali įvykdyti CSIRT (kom­piu­te­ri­nio saugumo incidentų reagavimo komanda).
Vadovų pa­tvir­ti­ni­mo, ste­bė­se­nos ir mokymo įsi­pa­rei­go­ji­mai (§38) Vadovybės saugos priemonių de­le­ga­vi­mas nebėra pa­kan­ka­mas. Vadovybė privalo aktyviai pa­tvir­tin­ti būtinas priemones ir yra iš dalies įpa­rei­go­ta or­ga­ni­zuo­ti mokymus.
Prie­žiū­ros ir vykdymo už­tik­ri­ni­mo priemonės (§61, 62) Tikimasi, kad viena iš CSIRT veiks kaip prie­žiū­ros ins­ti­tu­ci­ja, už­tik­ri­nan­ti rei­ka­lau­ja­mų priemonių laikymąsi. Anks­čiau­siai praėjus trejiems metams po NIS2 įsi­ga­lio­ji­mo, prie­žiū­ros ins­ti­tu­ci­ja turi teisę rei­ka­lau­ti pateikti įrodymus, kad įsi­pa­rei­go­ji­mai yra vykdomi. Esant ne­iš­ven­gia­mam pavojui, gali būti nurodytos priemonės.

Kad ga­lė­tu­mė­te kuo anksčiau įvykdyti savo, kaip su­si­ju­sios įmonės, įsi­pa­rei­go­ji­mus, tu­rė­tu­mė­te imtis šių priemonių:

  • Esamos padėties ir pla­nuo­ja­mų tikslų analizė: pa­tik­rin­ki­te, ar jums taikomi NIS2 rei­ka­la­vi­mai, ir įver­tin­ki­te dabartinę jūsų įmonės ki­ber­ne­ti­nį atsparumą bei galimas to­bu­lin­ti­nas sritis.
  • Įgy­ven­di­ni­mas: visose in­for­ma­ci­nė­se sistemose turi būti įdiegtos rizikos analizės ir saugumo kon­cep­ci­jos.
  • Ver­ti­ni­mas: Re­gu­lia­riai turėtų būti per­žiū­ri­mas jūsų įmonės rizikos valdymo metodų veiks­min­gu­mas.
  • Kūrimas: Būtina parengti kon­cep­ci­ją, kaip elgtis saugumo incidentų atveju.
  • At­sar­gi­nės kopijos ir krizių valdymas: turi būti įgy­ven­din­tos duomenų at­sar­gi­nių kopijų kūrimo ir krizių valdymo priemonės.
  • Pranešimų sistema: Reikia sukurti veiks­min­gą saugumo incidentų pranešimų sistemą.
  • Mokymas: Dar­buo­to­jai turi būti re­gu­lia­riai mokomi.
  • Tiekimo grandinės saugumas: Būtina už­tik­rin­ti tiekimo grandinės saugumą.

Kas atsitiks, jei NIS2 nebus įgy­ven­din­ta?

Įmonės, kurios ne­įgy­ven­di­na nustatytų priemonių, gali tikėtis didelių baudų (§ 65). Pagal NIS2 prie­žiū­ros ins­ti­tu­ci­joms su­tei­kia­mi išsamūs prie­žiū­ros, kontrolės ir nurodymų teikimo įga­lio­ji­mai, įskaitant terminų laikymosi už­tik­ri­ni­mą. Be to, vadovai prisiima žymiai didesnę at­sa­ko­my­bę už apsaugos ir saugumo priemones ir pažeidimų ar aplaidumo atveju gali būti traukiami as­me­niš­kai at­sa­ko­my­bėn (§ 38, § 61).

Kada įsi­ga­lio­ja NIS2 direktyva?

2022 m. gruodžio 14 d. Europos Par­la­men­tas ir Taryba priėmė Direktyvą (ES) 2022/2555, žinomą kaip NIS2 direktyva. Ji įveda išsamius pa­kei­ti­mus į eIDAS reg­la­men­tą (ES) Nr. 910/2014 ir EECC direktyvą (ES) 2018/1972. Ji ofi­cia­liai įsi­ga­lio­jo 2023 m. sausio 16 d., pa­keis­da­ma NIS direktyvą. Visos ES valstybės narės privalo ją perkelti į na­cio­na­li­nę teisę iki 2024 m. spalio 17 d.

Įvairiose šalyse už di­rek­ty­vos įgy­ven­di­ni­mo ko­or­di­na­vi­mą at­sa­kin­gos skir­tin­gos ins­ti­tu­ci­jos. Pa­vyz­džiui, Pran­cū­zi­jo­je įgy­ven­di­ni­mo darbus ko­or­di­nuo­ja ANSSI (Na­cio­na­li­nė in­for­ma­ci­nių sistemų saugumo agentūra), kuri netgi sukūrė skait­me­ni­nę paslaugą „Mon Espace NIS 2“, skirtą padėti or­ga­ni­za­ci­joms įgy­ven­din­ti direktyvą. Vo­kie­ti­jo­je už tai atsakinga ins­ti­tu­ci­ja yra BSI (Fe­de­ra­li­nė in­for­ma­ci­jos saugumo tarnyba), o Is­pa­ni­jo­je CCN-CERT (Na­cio­na­li­nis krip­to­lo­gi­jos centras) prižiūri ki­ber­ne­ti­nio saugumo priemones ir užtikrina atitiktį.

Go to Main Menu