NIS2 direktīva ir ES direktīva, kas, ieviešot stin­grā­kus no­tei­ku­mus, stiprina Eiropas da­lībval­stu un uzņēmumu ki­ber­no­tu­rī­bu. Tā paredz drošības pasākumu īs­te­no­ša­nu, lai uzlabotu IT aiz­sar­dzī­bu, kā arī drošības pārbaudes un ātrus ziņošanas kanālus par ki­berdro­šī­bas in­ci­den­tiem. Lai gan Apvienotā Karaliste šo direktīvu neievieš, jo vairs nav saistīta ar ES tiesību aktiem, ir liet­de­rī­gi par to zināt, ja veicat uz­ņē­mēj­dar­bī­bu ES te­ri­to­ri­jā.

Kas ir NIS2 direktīva?

Eiropas Sa­vie­nī­bas NIS2 di­rek­tī­vas mērķis ir uzlabot da­lībval­stu būtisko un svarīgo in­fras­truk­tū­ru noturību pret ki­berdro­šī­bas draudiem. Sa­īsi­nā­jums NIS2 nozīmē „Tīklu un in­for­mā­ci­jas drošība 2”. Kad tā stājās spēkā 2023. gada 16. janvārī, tā aizstāja ie­priek­šē­jo NIS1 direktīvu, kas jau bija iz­rai­sī­ju­si pārmaiņas pieejā IT drošībai.

Lai no­dro­ši­nā­tu maksimālu aiz­sar­dzī­bu gan ES da­lībval­stu privātajā, gan pub­lis­ka­jā sektorā, jaunā NIS2 direktīva ievieš vi­s­ap­tve­ro­šā­kus un stin­grā­kus no­tei­ku­mus plašākai mērķa grupai. Tādējādi jaunajiem no­tei­ku­miem ir jā­no­d­ro­ši­na lielāka ki­ber­no­tu­rī­ba un efek­tī­vā­ka rīcība pret ki­berdro­šī­bas draudiem un drošības pār­kā­pu­miem. NIS2 mērķis ir arī no­dro­ši­nāt, ka būtiskas iestādes, kas ie­dzī­vo­tā­jus apgādā ar dzīvei ne­pie­cie­ša­ma­jām precēm vai pa­kal­po­ju­miem, krīzes gadījumā ir aiz­sar­gā­tas pret darbības pār­trau­ku­miem un trau­cē­ju­miem.

NIS2 galvenais mērķis ir labāk sagatavot uzņēmumus pret ki­be­ruz­bru­ku­miem un efektīvi un ātri reaģēt uz IT trau­cē­ju­miem. Tādējādi vienotāka drošības stra­tē­ģi­ja ES da­lībval­stīs ES te­ri­to­ri­jā no­dro­ši­nās iespējami augstāko ki­berdro­šī­bas līmeni gan valstu, gan star­ptau­tis­kā līmenī. Visām da­lībval­stīm ir jā­transpo­nē direktīva savos tiesību aktos, kas attiecas uz lielajiem uz­ņē­mu­miem, kā arī mazajiem un vidējiem uz­ņē­mu­miem, uz kuriem attiecas jaunie noteikumi.

Kādas izmaiņas ievieš NIS2 direktīva?

Pienākums īstenot Direktīvu par ki­berdro­šī­bas stip­ri­nā­ša­nu (NIS2UmsuCG) rada plaša mēroga izmaiņas 18 dažādās nozarēs. Cita starpā, par būtiskiem ir atzīti vairāk nekā divas reizes vairāk nozaru, un ir pa­stip­ri­nā­ti sodi par ne­at­bil­stī­bu. Turklāt atbildību uzņemsies arī uzņēmumu vadītāji.

Piemēram, Vācijā, Spānijā, Itālijā un Francijā NIS2 direktīva ietekmēs tūk­sto­šiem uzņēmumu. Vācijā jaunajai di­rek­tī­vai būs jāatbilst līdz pat 40 000 uz­ņē­mu­miem, bet Itālijā – apmēram 50 000 uz­ņē­mu­miem. Spānijā jaunā direktīva at­tiek­sies uz aptuveni 25 000 uz­ņē­mu­miem, savukārt Francijā tā skars vairāk nekā 10 000 uzņēmumu.

Šeit ir pārskats par visām izmaiņām, ko ieviesa NIS2 direktīva:

  • Būtisko jomu loka pa­pla­ši­nā­ša­na: NIS2 kā būtiskas klasificē vēl vairāk nozaru.
  • Stingrāki sodi: Direktīva ie­vē­ro­ja­mi palielina sodus par pār­kā­pu­miem
  • Vadības atbildība: va­dī­tā­jiem tagad ir tieša atbildība par ki­berdro­šī­bas prasību ie­vē­ro­ša­nu.
  • Pie­mē­ro­ša­nas jomas pa­pla­ši­nā­ša­na: NIS2 direktīva attiecas uz uz­ņē­mu­miem, kuros strādā vairāk nekā 50 dar­bi­nie­ki vai kuru ap­gro­zī­jums pārsniedz 10 miljonus eiro, kā arī uz dažiem uz­ņē­mu­miem ne­at­ka­rī­gi no to lieluma.
  • Ne­pie­cie­ša­mī­ba veikt vi­s­ap­tve­ro­šas riska analīzes: Uz­ņē­mu­miem ir pienākums veikt rūpīgas riska analīzes.
  • Obligāta riska un drošības pār­val­dī­ba: Riska pār­val­dī­bai un drošības pa­sā­ku­miem tiek pie­mē­ro­tas stingras prasības. Dažādi aiz­sar­dzī­bas pasākumi, piemēram, ie­kļū­ša­nas testi, ap­ara­tū­ras ugunsmūri un dublējumu stra­tē­ģi­jas, ir obligāti.
  • Obligāta krīzes pār­val­dī­ba: drošības incidentu gadījumā ir ne­pie­cie­ša­mas ātras un efektīvas krīzes pār­val­dī­bas stra­tē­ģi­jas, ko­mu­ni­kā­ci­jas kanāli un ziņošanas sistēmas.
  • Esošo drošības protokolu iz­man­to­ša­na: Uzņēmumi var izmantot esošos drošības stan­dar­tus no re­gu­lē­ta­jām nozarēm kā atsauci.

Uz ko attiecas NIS2 direktīva?

NIS2 nošķir uzņēmumus pa­pla­ši­nā­ta­jā būtiskajā ka­te­go­ri­jā un pilnīgi jaunajā svarīgajā ka­te­go­ri­jā. Tas tieši attiecas uz uz­ņē­mu­miem, kuros strādā vairāk nekā 50 dar­bi­nie­ki vai kuru gada ap­gro­zī­jums ir 10 miljoni eiro vai vairāk. Turklāt uzņēmumi var tikt iekļauti NIS2 darbības jomā ne­at­ka­rī­gi no to lieluma, ja to darbības pār­trau­kums rada sis­tē­mis­kus riskus. “Būtiskā” ka­te­go­ri­ja ietver uzņēmumus no vien­pa­dsmit nozarēm, tostarp jo īpaši kritiskās in­fras­truk­tū­ras uzņēmumus, kas ir vitāli svarīgi valdībai un sa­bied­rī­bai. Savukārt “svarīgā” ka­te­go­ri­ja attiecas uz septiņām sis­tē­mis­ki svarīgām nozarēm.

Būtiskās nozares un uzņēmumi

  • Ener­ģē­ti­ka
  • Ūden­sap­gā­de
  • Trans­ports
  • Banku darbība
  • Finanšu tirgus in­fras­truk­tū­ras
  • Veselības aprūpe
  • Kosmoss
  • Ka­na­li­zā­ci­ja
  • Valsts pārvalde
  • Digitālā in­fras­truk­tū­ra
  • IKT pa­kal­po­ju­mu pār­val­dī­ba (B2B)

No­zī­mī­gā­kās nozares un uzņēmumi

  • Pasta un kur­jer­pas­ta pa­kal­po­ju­mi
  • Atkritumi
  • Ķīmiskā rūp­nie­cī­ba
  • Pārtikas piegāde
  • Digitālo pa­kal­po­ju­mu sniedzēji
  • Rūp­nie­cī­ba (pārstrāde / ražošana)
  • Pēt­nie­cī­ba (pēc izvēles)

Kādas saistības attiecas uz uz­ņē­mu­miem?

Saskaņā ar NIS2 uz­ņē­mu­miem ir jāievēro stingras prasības un jā­pie­lā­go­jas būtiskām izmaiņām. Tās ietver:

Pienākumi Pasākumi
Riska pār­val­dī­ba un darbības ne­pār­trauk­tī­bas pār­val­dī­ba (§30, 31) Šifrēšana, daudzfak­to­ru au­ten­ti­fi­kā­ci­ja, krip­tog­rā­fi­ja, ki­berhi­giē­na, lomu pie­šķir­ša­na un piekļuves kontrole, dublējumu pār­val­dī­ba un sistēmas at­jau­no­ša­na, piegādes ķēdes drošība un riska analīzes ir obligātas. Minimālās prasības atšķiras atkarībā no uzņēmuma lieluma, pa­tei­co­ties „izmēra ie­ro­be­žo­ju­ma” no­tei­ku­mam.
Ziņošanas un pa­zi­ņo­ša­nas pienākumi (§32, 35) Par būtiskiem drošības in­ci­den­tiem iestādēm jāziņo 24 stundu laikā. Sā­kot­nē­jie no­vēr­tē­ju­mi jā­ie­s­niedz 72 stundu laikā. De­ta­li­zēts galīgais ziņojums jā­ie­s­niedz viena mēneša laikā.
Re­ģis­trā­ci­jas pienākumi (§33, 34) Ie­tek­mē­tās or­ga­ni­zā­ci­jas un domēna vārdu reģistra pa­kal­po­ju­mu snie­dzē­jiem in­for­mā­ci­ja jā­ie­s­niedz at­bil­dī­ga­jām iestādēm ne vēlāk kā trīs mēnešus pēc NIS2 stāšanās spēkā. Ja re­ģis­trā­ci­jas pienākums netiek izpildīts, to var izpildīt arī CSIRT (datoru drošības incidentu rea­ģē­ša­nas komanda).
Ap­stip­ri­nā­ša­nas, uz­rau­dzī­bas un apmācības pienākumi va­dī­tā­jiem (§38) Vairs nepietiek ar to, ka vadība deleģē drošības pasākumus. Vadībai ir aktīvi jā­ap­stip­ri­na ne­pie­cie­ša­mie pasākumi, un tai daļēji ir pienākums no­dro­ši­nāt apmācību.
Uz­rau­dzī­bas un izpildes pasākumi (§61, 62) Paredzams, ka viena no CSIRT darbosies kā uz­rau­dzī­bas iestāde, kas pārrauga at­bil­stī­bu ne­pie­cie­ša­ma­jiem pa­sā­ku­miem. Ne ātrāk kā trīs gadus pēc NIS2 stāšanās spēkā uz­rau­dzī­bas iestādei ir tiesības pieprasīt pie­rā­dī­ju­mus par pienākumu izpildi. Tuvas briesmas gadījumā var tikt noteikti pasākumi.

Lai jau agrīnā posmā izpildītu savas saistības kā uzņēmums, uz kuru attiecas šie noteikumi, jums jāveic šādi pasākumi:

  • FAKTISKĀS SI­TUĀ­CI­JAS un MĒRĶA analīze: Pār­bau­diet, vai uz jums attiecas NIS2 prasības, un nosakiet uzņēmuma ki­ber­no­tu­rī­bas pa­šrei­zē­jo stāvokli, kā arī po­ten­ciā­lās jomas, kurās ne­pie­cie­ša­mi uz­la­bo­ju­mi.
  • Īs­te­no­ša­na: visām in­for­mā­ci­jas sistēmām ir jāievieš riska analīze un drošības kon­cep­ci­jas.
  • No­vēr­tē­ša­na: Jūsu uzņēmuma riska pār­val­dī­bas metožu efek­ti­vi­tā­te ir regulāri jā­pār­ska­ta.
  • Izstrāde: Obligāti jā­iz­s­trā­dā kon­cep­ci­ja drošības incidentu ri­si­nā­ša­nai.
  • Datu dublēšana un krīzes pār­val­dī­ba: Ir jāievieš pasākumi datu dub­lē­ša­nai un krīzes pār­val­dī­bai.
  • Ziņošanas sistēma: Jāizveido efektīva ziņošanas sistēma par drošības in­ci­den­tiem.
  • Apmācība: Dar­bi­nie­ki ir regulāri jāapmāca.
  • Piegādes ķēdes drošība: Jā­no­d­ro­ši­na piegādes ķēdes drošība.

Kas notiks, ja NIS2 netiks ieviests?

Uz­ņē­mu­miem, kas neievieš noteiktos pasākumus, draud ie­vē­ro­ja­mas naudas sodas (§65). Saskaņā ar NIS2 uz­rau­dzī­bas iestādēm ir pie­šķir­tas plašas uz­rau­dzī­bas, kontroles un no­rā­dī­ju­mu snieg­ša­nas pilnvaras, tostarp tiesības no­dro­ši­nāt termiņu ie­vē­ro­ša­nu. Turklāt vadītāji uzņemas ie­vē­ro­ja­mi lielāku atbildību par aiz­sar­dzī­bas un drošības pa­sā­ku­miem, un pārkāpumu vai no­lai­dī­bas gadījumā viņiem var tikt piemērota per­so­nis­ka atbildība (§38, §61).

Kad stājas spēkā NIS2 direktīva?

2022. gada 14. decembrī Eiropas Par­la­ments un Padome pieņēma Direktīvu (ES) 2022/2555, kas pazīstama kā NIS2 direktīva. Tā ievieš plašas izmaiņas eIDAS regulā (ES) Nr. 910/2014 un EECC direktīvā (ES) 2018/1972. Tā oficiāli stājās spēkā 2023. gada 16. janvārī, aizstājot NIS direktīvu. Visām ES da­lībval­stīm tā jā­transpo­nē valsts tiesību aktos līdz 2024. gada 17. oktobrim.

Dažādās valstīs par di­rek­tī­vas īs­te­no­ša­nas vadību atbild dažādas iestādes. Piemēram, Francijā īs­te­no­ša­nas pasākumus vada ANSSI (Valsts in­for­mā­ci­jas sistēmu drošības aģentūra), kas ir pat iz­vei­do­ju­si digitālo pa­kal­po­ju­mu „Mon Espace NIS 2“, kura mērķis ir palīdzēt or­ga­ni­zā­ci­jām di­rek­tī­vas īs­te­no­ša­nā. Vācijā par to atbild BSI (Federālā in­for­mā­ci­jas drošības biroja), bet Spānijā CCN-CERT (Na­cio­nā­lais krip­to­lo­ģi­jas centrs) uzrauga ki­berdro­šī­bas pasākumus un nodrošina at­bil­stī­bu.

Go to Main Menu