NIS2 direktiiv
Direktiiv võrgustike ja infosüsteemide turvalisuse kohta
Ülevaade
NIS2 asendab ja oluliselt laiendab algset NIS direktiivi, kehtestades ELis kõrge ühise küberturvalisuse taseme. See kehtib palju laiemale sektorite ja üksuste ringile, kehtestab rangemad järelevalvemeetmed ning ühtlustab sanktsioonid liikmesriikide vahel.[1]
Direktiivina nõudis NIS2 ülevõtmist riiklikku õigusesse hiljemalt 17. oktoobriks 2024. Rakendamine varieerub liikmesriigiti.
Ulatus: Olulised vs Tähtsad üksused
Olulised üksused (rangem järelevalve)[2]
| Sektor | Näited |
|---|---|
| Energeetika | Elektrienergia, nafta, gaas, vesinik, kaugküte |
| Transport | Lennundus, raudtee, veetransport, maanteed |
| Pangandus | Krediidiasutused |
| Finantsturud | Kauplemisplatvormid, keskpangad |
| Tervis | Tervishoiuteenuse osutajad, laborid, farmaatsia, meditsiiniseadmed |
| Joomise vesi | Veetarnijad |
| Reovee töötlemine | Reovee puhastamine |
| Digitaalne infrastruktuur | IXP-d, DNS, TLD registrid, pilveteenused, andmekeskused, CDN-id, TSP-d |
| IKT teenuste haldamine | Haldusteenuse pakkujad, haldusküberturbe teenuse pakkujad |
| Avalik haldus | Keskvalitsuse üksused |
| Kosmos | Maapealse infrastruktuuri operaatorid |
Tähtsad üksused (leebem järelevalve)
| Sektor | Näited |
|---|---|
| Postiteenused | Posti- ja kullerteenused |
| Jäätmekäitlus | Jäätmete kogumine ja töötlemine |
| Keemiatööstus | Tootmine ja jaotus |
| Toit | Tootmine ja jaotus |
| Tootmine | Meditsiiniseadmed, elektroonika, masinad, sõidukid |
| Digitaalsed teenusepakkujad | Veebiturud, otsingumootorid, sotsiaalvõrgustikud |
| Teadus | Teadusasutused |
Suuruse lävendid
NIS2 kehtib üldiselt keskmise ja suurettevõtete kohta:
- Keskmine: 50+ töötajat VÕI 10 miljonit eurot käivet/bilanssi
- Suur: 250+ töötajat VÕI 50 miljonit eurot käivet VÕI 43 miljonit eurot bilanssi
Mõned üksused kehtivad sõltumata suurusest (DNS, TLD registrid, pilveteenuse pakkujad, andmekeskused jne).
Põhinõuded
Riskijuhtimise meetmed (21. artikkel)[3]
Üksused peavad rakendama sobivaid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid:
- Põhimõtted: Riskianalüüs ja infosüsteemide turvapoliitikad
- Intsidendi käsitlemine: Avastamise, reageerimise ja taastamise protseduurid
- Äriloogika jätkamine: Varundamine, katastroofitaastamine, kriisijuhtimine
- Hankeahela turvalisus: Turvanõuded tarnijatele
- Võrgu turvalisus: Omandamine, arendus ja hooldus
- Tõhususe hindamine: Põhimõtted turvameetmete tõhususe hindamiseks
- Põhiline küberturvalisus: Koolitus- ja teadlikkuse programmid
- Krüptograafia: Põhimõtted krüptograafiliste kontrollide ja krüpteerimise kohta
- Inimressursid: Töötajate turvalisus ja juurdepääsukontroll
- Mitmefaktoriline autentimine: MFA ja turvalised suhtlussüsteemid
Intsidendi teatamine (23. artikkel)[4]
| Ajakava | Nõue |
|---|---|
| 24 tundi | Varajane hoiatus CSIRT-ile/kompetentsele asutusele |
| 72 tundi | Intsidendi teavitamine koos esialgse hinnanguga |
| 1 kuu | Lõpparuanne juurpõhjuse ja leevendustega |
Tähtsad intsidentid tuleb teatada, kui need põhjustavad või võivad põhjustada tõsist tegevuse häiret või rahalist kahju või mõjutada teisi füüsilisi või juriidilisi isikuid.
Juhtkonna vastutus
Juhtimisorganid peavad:
- Heaks kiitma küberturvalisuse riskijuhtimise meetmed
- Jälgima turvameetmete rakendamist
- Olles isiklikult vastutavad mittetäitmise eest
- Osalema küberturvalisuse koolitustel
Sanktsioonid
- Olulised üksused: kuni 10 miljonit eurot või 2% ülemaailmsest käibest
- Tähtsad üksused: kuni 7 miljonit eurot või 1,4% ülemaailmsest käibest[5]
Liikmesriigid võivad kehtestada täiendavaid sanktsioone, sealhulgas ajutisi juhtimiskeelde.
Arendajate ja IKT teenusepakkujate kohustused
Kui te pakute IKT teenuseid või tooteid:
- Haldusteenuse pakkujad: otseselt ulatuses oluliste üksustena
- Pilveteenuse pakkujad: otseselt ulatuses oluliste üksustena
- Tarkvaraarendajad: hankeahela kohustused kliendiüksustelt
- Turvalisuse müüjad: võivad olla määratud tähtsate üksustena