2022. gada nogalē tika pieņemta jaunā, būtiski paplašinātā NIS2 direktīva, kas sevī ietver ES mēroga kiberdrošības noteikumus vitāli svarīgo nozaru organizācijām. Palielinājies nozaru skaits, kam jāievēro jaunie noteikumi, arī obligātas prasības un drošības standarti par kritisko un digitālo infrastruktūru. Lai nenonāktu situācijā, kad organizācija, pati nezinot, nav izpildījusi visus obligātos nosacījumus, ir svarīgi zināt gan to, ko tā ietver, gan arī – kā uzņēmumiem tai labāk sagatavoties. Skaidrs, ka tas prasīs būtiskus resursus, tai skaitā finanšu, tādēļ ir nepieciešams apzināt arī pieejamos atbalsta instrumentus, kas var atvieglot uzņēmuma slogu.
Skaidrs, ka vēl stingrāki un visaptveroši noteikumi kibernoziegumu piesātinātajā laikā ir svarīgi, lai pasargātu ne tikai pašus uzņēmumus, bet arī valsti un sabiedrību. Kiberuzbrukumu skaits, kā arī to sarežģītības līmenis palielinās visā Eiropā. Turklāt tendence tikai kļūs izteiktāka, jo sagaidāms, ka līdz 2025. gadam visā pasaulē lietu internetam būs pievienots 41 miljards ierīču.
Jaunās regulas nosacījumu ieviešana valsts līmenī
Atbilstoši direktīvas nosacījumiem, visām ES dalībvalstīm, uz kurām attiecas jaunā regula, jāpieņem nacionālā kiberdrošības stratēģija, jāpiemēro kiberdrošības noteikumi un 24 stundu laikā jāziņo par kiberdrošības incidentiem. Šobrīd likumprojekta statusā ir arī Nacionālais kiberdrošības likums, kurā iekļautas specifiskas prasības kiberdrošības veicināšanai, tai skaitā par būtisko pakalpojumu sniedzēju uzraudzību, nacionālo rīcībpolitiku kiberdrošības jomā, kā arī paredzamā rīcība informācijas tehnoloģiju drošības incidentu gadījumos.
Būtiski paplašināts nozaru saraksts, uz kurām attieksies NIS2
Jaunais likums attiecas uz valsts iestādēm, pašvaldībām, IT kritiskās infrastruktūras īpašniekiem, dažādu nozaru lieliem un vidējiem uzņēmumiem, kuri tiek uzskatīti par būtisku vai svarīgu pakalpojumu sniedzējiem. Jāpiemin, ka Nacionālajā kiberdrošības likumā tiks noteikts vēl plašāks nozaru skaits, nekā direktīvā, kurā līdzšinējām kritiskām nozarēm pievienotas vēl svarīgās nozares. Attiecīgi tādām nozarēm, kā enerģija (elektrība, nafta, gāze, siltums), veselība (pakalpojumu sniedzēji, laboratorijas, farmācija), transports (gaisa, dzelzceļa, ūdens, autotransports), bankas un finanšu tirgi, ūdensapgāde un notekūdeņu attīrīšana, digitālā infrastruktūra un digitālie pakalpojumu sniedzēji, valsts pārvalde, jaunajā NIS2 direktīvā pievienotas vairākas citas. To starpā – pasta un kurjerpasta pakalpojumi, atkritumu pārstrāde, ķīmiskās vielas, pārtikas piegāde, rūpniecība (tehnoloģijas un inženierzinātnes), digitālie pakalpojumi (sociālie pakalpojumi, meklēšana, tirgi).
Ko tas nozīmē uzņēmējiem?
NIS2 prasības ietver gan atbilstošu drošības pasākumu ieviešanu uzņēmumos un iestādēs, gan darbinieku apmācību, regulāras drošības pārbaudes un auditus, pastāvīgu sistēmu uzraudzību un novērošanu, kā arī atbilstošas dokumentācijas izstrādi un ziņojumu sagatavošanu, to iesniegšanu uzraudzības iestādei. Prasībām jābūt izpildītām ne vēlāk kā 2024. gada oktobrī, un skaidrs, ka tas prasīs arī nozīmīgu resursu ieguldījumu no uzņēmumu puses. Attiecīgi ir jāparedz izdevumi kiberdrošības pasākumu pilnveidošanai. Uzmanība jāpievērš arī cilvēkresursiem – iespējams, būs nepieciešams vairāk atbildīgo darbinieku, tāpat noteikti jāparedz laiks esošo darbinieku apmācībām, jāpārskata organizācijas IT nodrošināšanas procesi. Savukārt saistībā ar dokumentāciju jāparedz ne tikai tās izstrāde, bet arī jābūt gataviem iesniegt dokumentāciju uzraugošajai institūcijai, kas Latvijas gadījumā ir Satversmes aizsardzības birojs vai Nacionālais kiberdrošības centrs.
No riskiem var izvairīties ar rūpīgu plānošanu
Katram uzņēmumam, kuram NIS2 direktīva ir saistoša, varu ieteikt sešus svarīgus soļus, kas ļaus pēc iespējas efektīvāk sagatavoties direktīvas prasību izpildei.
- Vispirms būtu svarīgi sākt iepazīties ar jaunajām prasībām un noteikt uzņēmuma statusu. Ar NIS2 direktīvu pilnā apjomā var iepazīties šeit.
- Ieceliet uzņēmumā kiberdrošības pārvaldnieku.
- Jāņem vērā, ka resursu ietilpības dēļ, ļoti iespējams, uzreiz nebūs iespējams īstenot visas prasības pilnā apmērā, tādēļ svarīgi saprast un izpildīt vismaz minimālās prasības.
- Izstrādājiet risku pārvaldības un darbības nepārtrauktības plānu.
- Ieviesiet kārtību, kā uzņēmums ziņos par incidentiem un ievainojamībām.
- Katru gadu būtiski ir sagatavot ikgadējo pašnovērtējuma ziņojumu, kas ļauj kritiski izvērtēt paveiktos soļus, to efektivitāti un identificēt vēl uzlabojamās jomas.
Direktīvas prasību neizpildīšanai būs būtiskas sekas
Uzņēmumiem, kuri šīs prasības neizpildīs, Aizsardzības ministrijai ir paredzētas tiesības noteikt sankcijas. Ja organizācijas realizētie kiberdrošības pasākumi neatbildīs jaunajām prasībām, tās var saņemt naudas sodus līdz 10 miljoniem eiro vai 2% no kopējā gada apgrozījuma. Tāpat paredzēta tieša vadības atbildība, kā arī pagaidu aizliegumi vadītājiem strādāt vadošos amatos. Lai nodrošinātu nepieciešamo prasību ieviešanu, organizācijās var iecelt uzraudzības amatpersonu.
Iespēja dzirdēt un iztaujāt kiberdrošības ekspertus
Tet 28. februārī rīko vebināru par šo tēmu, kur piedalīsies Aizsardzības ministrijas Kiberdrošības politikas departamenta direktors Edgars Kiukucāns, Tet Datu aizsardzības un IT risku nodaļas vadītājs Uldis Lībietis un ar starptautisku pieredzi dalīsies pārstāvis no Čehijas Nacionālās kiberdrošības aģentūras (NÚKIB) Patrik Fráňa. Uzzināt vairāk un pieteikties vebināram iespējams Tet LinkedIn profilā.
Autore ir Tet kiberdrošības pakalpojumu vadītāja
Pagaidām nav neviena komentāra