Skyriai 08 Įsigaliojęs: 2024 m. spalio 18 d.

NIS2 direktyva

Tinklo ir informacinių sistemų saugumo direktyva

Apžvalga

NIS2 pakeičia ir žymiai išplečia pradinę NIS direktyvą, nustatydama aukštą bendrą kibernetinio saugumo lygį visoje ES. Ji taikoma daug platesniam sektorių ir subjektų ratui, įveda griežtesnes priežiūros priemones ir suvienodina sankcijas tarp valstybių narių.[1]

Kaip direktyva, NIS2 turėjo būti perkeliama į nacionalinę teisę iki 2024 m. spalio 17 d. Įgyvendinimas skiriasi priklausomai nuo valstybės narės.

Taikymo sritis: Esminiai ir svarbūs subjektai

Esminiai subjektai (griežtesnė priežiūra)[2]

SektoriusPavyzdžiai
EnergijaElektros energija, nafta, dujos, vandenilis, centralizuotas šildymas
TransportasOro, geležinkelių, vandens, kelių transportas
BankininkystėKreditinės įstaigos
Finansų rinkosPrekybos vietos, centriniai kontrpartneriai
SveikataSveikatos priežiūros paslaugų teikėjai, laboratorijos, farmacijos įmonės, medicinos prietaisai
Gėlas vanduoVandens tiekėjai
NuotekosNuotekų valymas
Skaitmeninė infrastruktūraIXP, DNS, TLD registrai, debesų paslaugos, duomenų centrai, CDN, TSP
IKT paslaugų valdymasValdomų paslaugų teikėjai, valdomų saugumo paslaugų teikėjai
Viešoji administracijaCentrinės valdžios institucijos
KosmosasŽemės infrastruktūros operatoriai

Svarbūs subjektai (lengvesnė priežiūra)

SektoriusPavyzdžiai
Pašto paslaugosPašto ir kurjerių paslaugos
Atliekų tvarkymasAtliekų surinkimas ir tvarkymas
Cheminės medžiagosGamyba ir platinimas
MaistasGamyba ir platinimas
GamybaMedicinos prietaisai, elektronika, mašinos, transporto priemonės
Skaitmeniniai tiekėjaiInternetinės prekyvietės, paieškos varikliai, socialiniai tinklai
TyrimaiTyrimų organizacijos

Dydžio ribos

NIS2 paprastai taikoma vidutinio ir didelio dydžio subjektams:

  • Vidutiniai: 50+ darbuotojų ARBA 10 mln. €+ apyvarta/balansas
  • Dideli: 250+ darbuotojų ARBA 50 mln. €+ apyvarta ARBA 43 mln. €+ balansas

Kai kurie subjektai taikomi nepriklausomai nuo dydžio (DNS, TLD registrai, debesų paslaugų teikėjai, duomenų centrai ir kt.).

Pagrindiniai reikalavimai

Rizikos valdymo priemonės (21 straipsnis)[3]

Subjektai privalo įgyvendinti tinkamas technines, operacines ir organizacines priemones:

  1. Politikos: Rizikos analizės ir informacinių sistemų saugumo politikos
  2. Incidentų valdymas: Aptikimo, reagavimo ir atkūrimo procedūros
  3. Verslo tęstinumas: Atsarginės kopijos, nelaimių atkūrimas, krizių valdymas
  4. Tiekimo grandinės saugumas: Saugumo reikalavimai tiekėjams
  5. Tinklo saugumas: Įsigijimo, kūrimo ir priežiūros saugumas
  6. Efektyvumo vertinimas: Politikos saugumo priemonių efektyvumui vertinti
  7. Pagrindinė kibernetinė higiena: Mokymai ir informuotumo programos
  8. Kryptografija: Politikos dėl kriptografinių kontrolės priemonių ir šifravimo
  9. Žmogiškieji ištekliai: Personalo saugumas ir prieigos kontrolė
  10. Daugiafaktorinė autentifikacija: MFA ir saugios komunikacijos sistemos

Incidentų pranešimas (23 straipsnis)[4]

Laiko ribaReikalavimas
24 valandosAnkstyvas įspėjimas CSIRT/kompetentingai institucijai
72 valandosIncidento pranešimas su pradiniu vertinimu
1 mėnuoGalutinė ataskaita su pagrindine priežastimi ir šalinimo priemonėmis

Reikšmingi incidentai turi būti pranešti, jei jie sukelia arba gali sukelti rimtą veiklos sutrikdymą ar finansinius nuostolius, arba paveikti kitus fizinius ar juridinius asmenis.

Vadovybės atsakomybė

Vadovybės organai privalo:

  • Patvirtinti kibernetinio saugumo rizikos valdymo priemones
  • Prižiūrėti saugumo priemonių įgyvendinimą
  • Asmeniškai atsakyti už nesilaikymą
  • Dalintis kibernetinio saugumo mokymuose

Sankcijos

  • Esminiai subjektai: Iki 10 mln. € arba 2 % pasaulinės apyvartos
  • Svarbūs subjektai: Iki 7 mln. € arba 1,4 % pasaulinės apyvartos[5]

Valstybės narės gali taikyti papildomas sankcijas, įskaitant laikinas vadovybės draudimus.

Programuotojų ir IKT paslaugų teikėjų įsipareigojimai

Jei teikiate IKT paslaugas ar produktus:

  1. Valdomų paslaugų teikėjai: Tiesiogiai taikoma kaip esminiams subjektams
  2. Debesų paslaugų teikėjai: Tiesiogiai taikoma kaip esminiams subjektams
  3. Programinės įrangos kūrėjai: Tiekimo grandinės įsipareigojimai klientų subjektams
  4. Saugumo tiekėjai: Gali būti priskirti svarbiems subjektams

Šaltiniai ir nuorodos

[1]
Direktyva (ES) 2022/2555 dėl aukšto bendro kibernetinio saugumo lygio. EUR-Lex: NIS2 oficialus tekstas
[2]
NIS2 priedai I ir II: Esminių ir svarbių subjektų sektoriai. NIS2-Directive.com: Sektoriai
[3]
NIS2 21 straipsnis: Kibernetinio saugumo rizikos valdymo priemonės. NIS2-Directive.com: 21 straipsnis
[4]
NIS2 23 straipsnis: Incidentų pranešimo įsipareigojimai. NIS2-Directive.com: 23 straipsnis
[5]
NIS2 34 straipsnis: Administracinės baudos. NIS2-Directive.com: 34 straipsnis