+371 225 653 53
+371 225 653 53

Par direktīvu

NIS2 Direktīvas

Ievads

Tīklu un informācijas drošības 2 (NIS2) direktīva, oficiāli pazīstama kā Direktīva (ES) 2022/2555, ir Eiropas Savienības (ES) izveidots normatīvais regulējums, kura mērķis ir uzlabot kiberdrošību dalībvalstīs. Tā tika pieņemta 2022. gada 14. decembrī un aizstāj iepriekšējo NIS direktīvu (Direktīva (ES) 2016/1148), paplašinot tās darbības jomu un ieviešot stingrākas drošības prasības un ziņošanas pienākumus. Dalībvalstīm NIS2 direktīva bija jāiekļauj nacionālajos tiesību aktos līdz 2024. gada 17. oktobrim.

NIS2 mērķi

Darbības jomas paplašināšanu
Vairāk nozaru un pakalpojumu tiek iekļauti regulējumā, uzliekot kiberdrošības prasības plašākam uzņēmumu lokam.
Risku pārvaldības uzlabošanu
Uzņēmumiem tiek noteikti pienākumi attīstīt un ieviest efektīvus kiberdrošības risku pārvaldības pasākumus.
Incidentu ziņošanas kārtības uzlabošanu
Tiek ieviesti skaidri noteikumi par būtisku incidentu ziņošanu atbildīgajām iestādēm.
Sadarbības stiprināšanu
Dalībvalstīm jāveicina labāka informācijas apmaiņa un kopīga rīcība kiberdrošības apdraudējumu gadījumā.

Darbības joma un piemērojamība

NIS2 attiecas uz dažādām nozarēm, kas sadalītas divās galvenajās kategorijās:

Būtiski uzņēmumi – enerģētika, transports, banku darbība, finanšu tirgus infrastruktūra, veselības aprūpe, ūdens apgāde, digitālā infrastruktūra, valsts pārvalde un kosmosa nozare.

Svarīgi uzņēmumi – pasta un kurjeru pakalpojumi, atkritumu apsaimniekošana, kritisko preču ražošana, pārtikas ražošana un piegāde, digitālie pakalpojumi (piemēram, tiešsaistes tirgi, meklētājprogrammas, sociālie tīkli) un pētniecības institūcijas.

Incidentu ziņošanas pienākumi

Uzņēmumiem ir jāziņo par incidentiem, kas būtiski ietekmē to pakalpojumus. Ziņošanas process ietver:

Agrīns brīdinājums – sākotnējais paziņojums 24 stundu laikā pēc incidenta atklāšanas.

Incidenta paziņojums – detalizēts ziņojums 72 stundu laikā ar sākotnējo incidenta izvērtējumu.

Starpziņojums – informācijas atjauninājumi pēc pieprasījuma.

Noslēguma ziņojums – pilnīgs incidenta pārskats viena mēneša laikā pēc tā notikšanas.

Galvenās prasības

Uzņēmumiem jāizstrādā un jāievieš kiberdrošības stratēģijas.

Jāizveido skaidras procedūras incidentu identificēšanai, pārvaldībai un ziņošanai.

Jāievieš plāni, lai nodrošinātu darbības nepārtrauktību kiberdrošības incidenta gadījumā.”

Jānovērtē un jāpārvalda drošības riski, kas saistīti ar piegādātājiem un pakalpojumu sniedzējiem.

Jānodrošina drošība visā sistēmu dzīves ciklā.

Regulāra drošības pasākumu pārskatīšana un atjaunināšana.

Darbiniekiem jānodrošina regulāra apmācība par kiberdrošības jautājumiem.

Jāievieš datu aizsardzības un piekļuves ierobežošanas mehānismi.

Papildu drošības līmeņi lietotāju autentifikācijai un datu aizsardzībai.

Pārvaldība un atbildība

Uzņēmumu vadītājiem ir jāuzrauga kiberdrošības pasākumu ieviešana.

Vadītājiem jāsaņem regulāras apmācības par kiberdrošības jautājumiem.

Vadībai var tikt piemērotas sankcijas par prasību neievērošanu.

Uzraudzība un sankcijas

Secinājums

NIS2 direktīva ir būtisks solis uz priekšu ES kiberdrošības stiprināšanā. Uzņēmumiem, kuri ietilpst tās darbības jomā, ir jāveic nepieciešamie pasākumi, lai nodrošinātu atbilstību prasībām un veicinātu digitālo drošību Eiropas Savienībā.