NIS2 direktīva Latvijā — kas jāzina uzņēmumiem

NIS2 direktīvas prasības Latvijā — kuri uzņēmumi ir pakļauti, galvenie pienākumi, termiņi, sodi un kā sagatavoties atbilstībai.

2025. gada 1. novembris
securIT

NIS2 direktīva (Network and Information Security Directive 2) ir Eiropas Savienības kiberdrošības regulējums, kas būtiski paplašina organizāciju loku, kurām jāievēro obligātas kiberdrošības prasības. Latvijā šī direktīva tiek transponēta nacionālajā likumdošanā, un tās ietekme skar daudz lielāku uzņēmumu skaitu nekā iepriekšējā NIS direktīva.

Šajā rakstā izskaidrosim, ko NIS2 nozīmē Latvijas uzņēmumiem — kas ir pakļauts prasībām, kādi ir galvenie pienākumi, kādi sodi draud par neatbilstību un kā sagatavoties.

Kas ir NIS2 un kāpēc tā ir svarīga?

NIS2 ir atjaunināta ES kiberdrošības direktīva, kas aizstāj sākotnējo NIS direktīvu (2016). Galvenais mērķis — nodrošināt augstāku un vienveidīgāku kiberdrošības līmeni visā Eiropas Savienībā. Direktīva atzīst, ka kiberdraudi ir kļuvuši par vienu no lielākajiem riskiem ekonomikai un sabiedrībai, un brīvprātīgi pasākumi nav pietiekami.

Salīdzinājumā ar iepriekšējo versiju, NIS2 ievērojami paplašina tvērumu — tagad prasības attiecas ne tikai uz kritiskās infrastruktūras operatoriem, bet arī uz vidējiem un lieliem uzņēmumiem daudzās nozarēs. Latvijā direktīvas ieviešanu koordinē Nacionālais kiberdrošības likums (NKDL), ko pārrauga Aizsardzības ministrija un CERT.LV.

Kuri uzņēmumi Latvijā ir NIS2 subjekti?

NIS2 iedala subjektus divās kategorijās — būtiskie (essential) un svarīgie (important) subjekti. Galvenais atšķirības faktors ir nozare un uzņēmuma lielums.

Būtiskie subjekti ietver:

  • Enerģētika (elektroenerģija, nafta, gāze, siltumapgāde)
  • Transports (gaisa, dzelzceļa, ūdens, autotransports)
  • Banku un finanšu tirgus infrastruktūra
  • Veselības aprūpe
  • Dzeramā ūdens apgāde un notekūdeņu apsaimniekošana
  • Digitālā infrastruktūra (DNS pakalpojumi, mākoņpakalpojumi, datu centri)
  • Valsts pārvalde

Svarīgie subjekti ietver:

  • Pasta un kurjerpakalpojumi
  • Atkritumu apsaimniekošana
  • Ķīmiskā rūpniecība
  • Pārtikas ražošana un izplatīšana
  • Ražošanas uzņēmumi (medicīnas ierīces, datori, elektronika, transports)
  • Digitālie pakalpojumu sniedzēji (tiešsaistes tirdzniecība, meklētājprogrammas, sociālie tīkli)
  • Pētniecības organizācijas

Lieluma kritēriji: NIS2 parasti attiecas uz vidējiem uzņēmumiem (50+ darbinieki vai 10M+ EUR apgrozījums) un lieliem uzņēmumiem (250+ darbinieki vai 50M+ EUR apgrozījums). Tomēr daži sektori (piemēram, DNS pakalpojumi, elektronisko sakaru tīkli) ir pakļauti neatkarīgi no lieluma. Lai noskaidrotu, vai jūsu uzņēmums ir subjekts, izlasiet mūsu detalizēto NIS2 subjektu pašnovērtēšanas ceļvedi.

Galvenās NIS2 prasības

NIS2 uzliek uzņēmumiem virkni konkrētu kiberdrošības pienākumu:

Risku pārvaldība. Uzņēmumam jāievieš atbilstošs kiberdrošības risku pārvaldības ietvars, kas ietver riska identificēšanu, novērtēšanu un mazināšanu. Tas nav tikai formāls dokuments — jāpierāda faktiskā ieviešana.

Incidentu reaģēšana. Jāizstrādā un regulāri jātestē incidentu reaģēšanas plāns. Būtiskiem incidentiem jāziņo CERT.LV noteiktajos termiņos: sākotnējais brīdinājums 24 stundu laikā, detalizēts paziņojums 72 stundu laikā, gala ziņojums viena mēneša laikā. Vairāk par incidentu reaģēšanu lasiet mūsu rīcības plānā pēc kiberuzbrukuma.

Piegādes ķēdes drošība. Jānovērtē un jāpārvalda kiberdrošības riski, kas saistīti ar piegādātājiem un pakalpojumu sniedzējiem. Tas ietver līgumiskus noteikumus par drošības prasībām.

Nepārtrauktības pārvaldība. Jābūt darbības nepārtrauktības un katastrofu atkopšanas plānam, kas ietver rezerves kopēšanu, sistēmu atkopšanu un krīzes komunikāciju.

Šifrēšana un piekļuves kontrole. Jāizmanto atbilstoši tehniskie pasākumi — šifrēšana datu pārraidē un glabāšanā, daudzfaktoru autentifikācija, piekļuves kontrole pēc mazāko tiesību principa.

Vadības atbildība. NIS2 nosaka, ka uzņēmuma vadība (valde, direktori) ir personīgi atbildīga par kiberdrošības prasību izpildi. Vadībai jāapstiprina risku pārvaldības pasākumi un jāiziet kiberdrošības apmācība.

Sodi par neatbilstību

NIS2 paredz ievērojamus sodus par prasību neievērošanu:

  • Būtiskajiem subjektiem — līdz 10 miljoniem EUR vai 2% no globālā gada apgrozījuma (lielākā summa).
  • Svarīgajiem subjektiem — līdz 7 miljoniem EUR vai 1,4% no globālā gada apgrozījuma.

Papildus finansiālajiem sodiem, kompetentā iestāde var piemērot arī citus pasākumus — aizliegt vadītājiem ieņemt amatus, publicēt pārkāpumu informāciju vai pieprasīt auditu. Tas nozīmē, ka NIS2 neatbilstība nav tikai finansiāls risks, bet arī reputācijas un personas atbildības jautājums.

NKDL — NIS2 ieviešana Latvijā

Latvijā NIS2 direktīvu transponē Nacionālās kiberdrošības likums (NKDL) un saistītie Ministru kabineta noteikumi. NKDL nosaka:

  • Subjektu identificēšanas kārtību un reģistru
  • Minimālās kiberdrošības prasības pa nozarēm
  • CERT.LV kā galveno incidentu reaģēšanas iestādi
  • Uzraudzības un sankciju piemērošanas kārtību
  • Sadarbību starp publisko un privāto sektoru

Uzņēmumiem, kas jau strādāja ar iepriekšējo NIS direktīvu, pāreja uz NIS2 prasībām ir evolucionāra. Tomēr uzņēmumiem, kas pirmo reizi iekļūst regulējuma tvērumā, ir jāveic nopietns darbs — no risku novērtējuma izstrādes līdz tehnisko pasākumu ieviešanai.

Kā sagatavoties NIS2 atbilstībai

Sagatavoties NIS2 prasībām iesakām šādos soļos:

  1. Nosakiet, vai esat subjekts. Izmantojiet mūsu NIS2 pašnovērtēšanas ceļvedi vai konsultējieties ar speciālistu.

  2. Veiciet risku novērtējumu. Identificējiet savus kritiskos aktīvus, draudus un ievainojamības. Novērtējiet potenciālās ietekmes un iespējamības.

  3. Izstrādājiet kiberdrošības politikas. Incidentu reaģēšanas plāns, darbības nepārtrauktības plāns, piekļuves kontroles politika, rezerves kopēšanas politika.

  4. Ieviesiet tehniskos pasākumus. Ugunsmūri, antivīrusu, SOC uzraudzību, šifrēšanu, daudzfaktoru autentifikāciju, tīkla segmentēšanu.

  5. Apmāciet darbiniekus. NIS2 pieprasa regulāras kiberdrošības apmācības, ieskaitot vadības līmeni. Darbinieku apmācības ir efektīvākais veids, kā samazināt cilvēka faktora risku.

  6. Dokumentējiet visu. Uzraudzības iestādes var pieprasīt pierādījumus par ieviestajiem pasākumiem. Dokumentācija ir tikpat svarīga kā faktiskie pasākumi.

Biežāk uzdotie jautājumi (BUJ)

Vai NIS2 attiecas arī uz maziem uzņēmumiem? Parasti nē — NIS2 minimālais slieksnis ir 50 darbinieki vai 10M EUR apgrozījums. Tomēr ir izņēmumi: DNS pakalpojumu sniedzēji, uzticamības pakalpojumu sniedzēji un elektronisko sakaru tīklu pārvaldītāji ir pakļauti neatkarīgi no lieluma. Turklāt, ja esat daļa no lielāka uzņēmuma piegādes ķēdes, uz jums var attiekties netiešas prasības.

Kāda ir atšķirība starp NIS2 un GDPR? GDPR fokusējas uz personas datu aizsardzību, bet NIS2 — uz tīklu un informācijas sistēmu drošību kopumā. Prasības daļēji pārklājas (piemēram, incidentu paziņošana, tehniskie pasākumi), bet NIS2 tvērums ir plašāks — tas aptver arī sistēmu pieejamību un darbības nepārtrauktību. Uzņēmumam var būt jāievēro abi regulējumi vienlaikus. Lasiet vairāk par GDPR un kiberdrošību Latvijā.

Cik laika aizņem NIS2 atbilstības ieviešana? Tas ir atkarīgs no uzņēmuma pašreizējā brieduma līmeņa. Uzņēmumam, kas jau ievēro labās prakses, var pietikt ar 3–6 mēnešiem. Uzņēmumam, kas sāk no nulles, process var aizņemt 12–18 mēnešus. Ieteicams sākt ar risku novērtējumu un prioritizēt pasākumus pēc to ietekmes.

Vai nepieciešams SOC, lai atbilstu NIS2? NIS2 tieši nenosaka SOC kā obligātu prasību, bet pieprasa nepārtrauktu uzraudzību un incidentu reaģēšanas spējas — ko SOC praktiski nodrošina. Lielākajai daļai vidējo uzņēmumu ārpakalpojumu SOC ir optimālais veids, kā izpildīt šīs prasības bez milzīgām investīcijām iekšējos resursos.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.