Nodaļas 08 Stājies spēkā: 2024. gada 18. oktobris

NIS2 Direktīva

Direktīva par tīklu un informācijas sistēmu drošību

Pārskats

NIS2 aizstāj un būtiski paplašina sākotnējo NIS Direktīvu, izveidojot augstu kopēju kiberdrošības līmeni visā ES. Tā attiecas uz daudz plašāku nozaru un vienību loku, ievieš stingrākas uzraudzības pasākumus un harmonizē sankcijas dalībvalstīs.[1]

Kā direktīva, NIS2 bija jātransponē nacionālajos likumos līdz 2024. gada 17. oktobrim. Īstenošana atšķiras atkarībā no dalībvalsts.

Joma: Būtiskās vs Svarīgās vienības

Būtiskās vienības (stingrāka uzraudzība)[2]

NozarePiemēri
EnerģētikaElektrība, nafta, gāze, ūdeņradis, centralizētā apkure
TransportsGaisa, dzelzceļa, ūdens, ceļu transports
BankaKredītiestādes
Finanšu tirgiTirdzniecības vietas, centrālās pretpuses
VeselībaVeselības aprūpes sniedzēji, laboratorijas, farmācija, medicīnas ierīces
Dzeramais ūdensŪdens piegādātāji
NotekūdeņiNotekūdeņu attīrīšana
Digitālā infrastruktūraIXP, DNS, TLD reģistri, mākoņpakalpojumi, datu centri, CDN, TSP
IKT pakalpojumu pārvaldībaPārvaldītie pakalpojumu sniedzēji, pārvaldītie drošības pakalpojumu sniedzēji
Publiskā pārvaldeCentrālās valdības iestādes
KosmossZemes bāzes infrastruktūras operatori

Svarīgās vienības (mazāka uzraudzība)

NozarePiemēri
Pasta pakalpojumiPasta un kurjerpasta pakalpojumi
Atkritumu apsaimniekošanaAtkritumu savākšana un apstrāde
Ķīmiskā rūpniecībaRažošana un izplatīšana
PārtikaRažošana un izplatīšana
RažošanaMedicīnas ierīces, elektronika, mašīnas, transportlīdzekļi
Digitālie pakalpojumu sniedzējiTirdzniecības platformas, meklētājprogrammas, sociālie tīkli
PētniecībaPētniecības organizācijas

Izmēra sliekšņi

NIS2 parasti attiecas uz vidēja un liela izmēra vienībām:

  • Vidējs: 50+ darbinieki VAI €10M+ apgrozījums/bilance
  • Liels: 250+ darbinieki VAI €50M+ apgrozījums VAI €43M+ bilance

Dažas vienības attiecas neatkarīgi no izmēra (DNS, TLD reģistri, mākoņpakalpojumu sniedzēji, datu centri utt.).

Galvenās prasības

Riska pārvaldības pasākumi (21. pants)[3]

Vienībām jāievieš atbilstoši tehniskie, operacionālie un organizatoriskie pasākumi:

  1. Politikas: Riska analīze un informācijas sistēmu drošības politikas
  2. Incidentu pārvaldība: Atklāšanas, reaģēšanas un atjaunošanas procedūras
  3. Biznesa nepārtrauktība: Dublēšana, katastrofu atjaunošana, krīzes vadība
  4. Piegādes ķēdes drošība: Drošības prasības piegādātājiem
  5. Tīkla drošība: Iegādes, izstrādes un uzturēšanas drošība
  6. Efektivitātes novērtējums: Politikas drošības pasākumu efektivitātes novērtēšanai
  7. Pamata kiberdrošība: Apmācības un izpratnes programmas
  8. Kryptogrāfija: Politikas par kriptogrāfiskajiem kontroles pasākumiem un šifrēšanu
  9. Personāla drošība: Personāla drošība un piekļuves kontrole
  10. Daudzfaktoru autentifikācija: MFA un drošas komunikācijas sistēmas

Incidentu ziņošana (23. pants)[4]

TermiņšPrasība
24 stundasAgrīna brīdināšana CSIRT/kompetentajai iestādei
72 stundasIncidenta paziņojums ar sākotnējo novērtējumu
1 mēnesisGalīgais ziņojums ar cēloņiem un mazināšanas pasākumiem

Būtiskus incidentus jāziņo, ja tie rada vai var radīt smagu darbības traucējumu vai finansiālu zaudējumu, vai ietekmē citus fiziskos vai juridiskos personu.

Vadības atbildība

Vadības institūcijām jā:

  • Apstiprina kiberdrošības riska pārvaldības pasākumus
  • Uzrauga drošības pasākumu īstenošanu
  • Ir personīgi atbildīgas par neatbilstību
  • Piedalās kiberdrošības apmācībās

Sankcijas

  • Būtiskās vienības: Līdz 10 miljoniem eiro vai 2% no globālā apgrozījuma
  • Svarīgās vienības: Līdz 7 miljoniem eiro vai 1,4% no globālā apgrozījuma[5]

Dalībvalstis var piemērot papildu sankcijas, tostarp pagaidu vadības aizliegumus.

Izstrādātāju un IKT pakalpojumu sniedzēju pienākumi

Ja jūs sniedzat IKT pakalpojumus vai produktus:

  1. Pārvaldītie pakalpojumu sniedzēji: Tieši ietilpst kā būtiskās vienības
  2. Mākoņpakalpojumu sniedzēji: Tieši ietilpst kā būtiskās vienības
  3. Programmatūras izstrādātāji: Piegādes ķēdes pienākumi no klientu vienībām
  4. Drošības piegādātāji: Var tikt noteikti kā svarīgās vienības

Avoti un atsauces

[1]
Direktīva (ES) 2022/2555 par augstu kopēju kiberdrošības līmeni. EUR-Lex: NIS2 Oficiālais teksts
[2]
NIS2 pielikumi I un II: Būtisko un svarīgo vienību nozares. NIS2-Directive.com: Nozares
[3]
NIS2 21. pants: Kiberdrošības riska pārvaldības pasākumi. NIS2-Directive.com: 21. pants
[4]
NIS2 23. pants: Incidentu ziņošanas pienākumi. NIS2-Directive.com: 23. pants
[5]
NIS2 34. pants: Administratīvās naudas sods. NIS2-Directive.com: 34. pants