Vai mans uzņēmums ir NIS2 subjekts?

NIS2 direktīva būtiski paplašina to organizāciju loku, kurām jāievēro obligātas kiberdrošības prasības. Daudzi Latvijas uzņēmumi vēl nav apzinājušies, ka jaunais regulējums attiecas arī uz viņiem. Šis ceļvedis palīdzēs jums noteikt, vai jūsu uzņēmums ir NIS2 subjekts — un ja jā, kādas ir jūsu kategorijas un galvenie pienākumi.

Ja vēlaties izprast NIS2 prasības detalizēti, lasiet mūsu pilno NIS2 ceļvedi uzņēmumiem.

NIS2 subjektu kategorijas

NIS2 iedala subjektus divās galvenajās kategorijās ar atšķirīgiem pienākumiem un uzraudzības režīmiem:

Būtiskie subjekti (Essential Entities)

Būtiskie subjekti ir organizācijas, kas darbojas sektoros ar augstāko kritiskumu un ir pakļautas stingrākajai uzraudzībai — ieskaitot proaktīvās pārbaudes (auditus) un augstākas sodu robežas.

Svarīgie subjekti (Important Entities)

Svarīgie subjekti darbojas sektoros ar augstu, bet ne visaugstāko kritiskumu. Tie ir pakļauti reaktīvai uzraudzībai (pārbaudes pēc incidenta vai sūdzības) un zemākām sodu robežām.

Galvenā atšķirība ir uzraudzības intensitātē un maksimālajos sodos, bet kiberdrošības prasības pēc būtības ir vienādas abām kategorijām.

1. solis — nozares pārbaude

Pirmais jautājums: vai jūsu uzņēmums darbojas kādā no NIS2 regulētajām nozarēm?

Augstā kritiskuma nozares (būtisko subjektu kandidāti)

Nozare	Piemēri
Enerģētika	Elektroenerģijas ražotāji, sadales operatori, gāzes piegādātāji, siltumapgāde
Transports	Aviosabiedrības, lidostas, dzelzceļa pārvadātāji, ostas, autobusu un kravas pārvadātāji
Bankas	Kredītiestādes, kas licencētas saskaņā ar CRD direktīvu
Finanšu tirgus infrastruktūra	Biržas, centrālie darījumu partneri, centrālie vērtspapīru depozitāriji
Veselības aprūpe	Slimnīcas, klīnikas, laboratorijas, farmācijas uzņēmumi, medicīnas ierīču ražotāji
Dzeramais ūdens	Ūdens apgādes uzņēmumi, ūdens attīrīšanas iekārtas
Notekūdeņi	Notekūdeņu savākšanas un attīrīšanas uzņēmumi
Digitālā infrastruktūra	DNS pakalpojumu sniedzēji, TLD reģistri, mākoņpakalpojumu sniedzēji, datu centri, CDN sniedzēji, uzticamības pakalpojumu sniedzēji
IKT pakalpojumu pārvaldība (B2B)	Managed service providers (MSP), managed security service providers (MSSP)
Valsts pārvalde	Centrālā un reģionālā pārvalde
Kosmoss	Kosmiskās infrastruktūras operatori

Citu kritisku nozaru saraksts (svarīgo subjektu kandidāti)

Nozare	Piemēri
Pasta un kurjerpakalpojumi	DPD, Omniva, DHL un citi pasta/kurjeru operatori
Atkritumu apsaimniekošana	Atkritumu savākšanas, šķirošanas, pārstrādes uzņēmumi
Ķīmisko vielu ražošana	Ķīmisko vielu ražotāji, izplatītāji
Pārtikas ražošana un izplatīšana	Pārtikas ražotāji, vairumtirgotāji, mazumtirgotāji
Ražošana	Medicīnas ierīču, datoru, elektronisko iekārtu, transportlīdzekļu, mašīnbūves ražotāji
Digitālie pakalpojumu sniedzēji	Tiešsaistes tirdzniecības platformas, meklētājprogrammas, sociālo tīklu pakalpojumi
Pētniecība	Pētniecības organizācijas

Ja jūsu nozare nav sarakstā — NIS2, visticamāk, uz jums tieši neattiecas. Tomēr jūs joprojām varat būt pakļauts netiešām prasībām kā daļa no cita NIS2 subjekta piegādes ķēdes.

2. solis — lieluma pārbaude

Ja jūsu nozare ir sarakstā, nākamais jautājums ir par uzņēmuma lielumu. NIS2 parasti attiecas uz:

Vidējie uzņēmumi

50–249 darbinieki VAI
10–50 miljoni EUR gada apgrozījums VAI
10–43 miljoni EUR bilances kopsumma

Lielie uzņēmumi

250+ darbinieki VAI
50+ miljoni EUR gada apgrozījums VAI
43+ miljoni EUR bilances kopsumma

Izņēmumi no lieluma sliekšņa

Daži sektori ir pakļauti NIS2 neatkarīgi no uzņēmuma lieluma:

DNS pakalpojumu sniedzēji
TLD nosaukumu reģistri
Elektronisko sakaru tīklu vai pakalpojumu sniedzēji
Uzticamības pakalpojumu sniedzēji
Vienīgais pakalpojuma sniedzējs dalībvalstī, kas ir būtisks sabiedrībai
Pakalpojums, kura traucējumi var ietekmēt sabiedrisko drošību vai sabiedrības veselību

Svarīgi: ja uzņēmums ir daļa no lielākas grupas, lieluma kritēriji tiek piemēroti grupas līmenī, nevis atsevišķā meitas uzņēmuma līmenī.

3. solis — kategorijas noteikšana

Ja jūsu uzņēmums ir regulētajā nozarē UN atbilst lieluma kritērijiem, nosakiet kategoriju:

Būtiskais subjekts, ja:

Darbojaties augstā kritiskuma nozarē (1. tabula) UN esat liels uzņēmums
Esat DNS pakalpojumu sniedzējs, TLD reģistrs vai kvalificēts uzticamības pakalpojumu sniedzējs (neatkarīgi no lieluma)
Esat elektronisko sakaru tīkla vai pakalpojuma sniedzējs (vidējs vai liels)
Esat valsts pārvaldes iestāde
Dalībvalsts jūs ir atzinusi par būtisku subjektu

Svarīgais subjekts, ja:

Darbojaties jebkurā no regulētajām nozarēm (1. vai 2. tabula) UN esat vidējs uzņēmums
Darbojaties augstā kritiskuma nozarē, bet esat tikai vidējs uzņēmums
Darbojaties citu kritisku nozaru sektorā un esat liels uzņēmums

4. solis — pašnovērtējuma jautājumi

Atbildiet uz šiem jautājumiem, lai novērtētu savu gatavību:

Pārvaldība:

Vai uzņēmuma vadība ir informēta par NIS2 prasībām?
Vai ir iecelta atbildīgā persona par kiberdrošību?
Vai vadība ir izgājusi kiberdrošības apmācību?

Risku pārvaldība:

Vai ir veikts kiberdrošības risku novērtējums?
Vai ir dokumentēta risku pārvaldības politika?
Vai riski tiek regulāri pārskatīti?

Tehniskie pasākumi:

Vai ir ieviesta daudzfaktoru autentifikācija?
Vai dati tiek šifrēti pārraidē un glabāšanā?
Vai ir ugunsmūris un galapunktu aizsardzība?
Vai ir SOC uzraudzība vai ekvivalents monitoringa risinājums?

Incidentu reaģēšana:

Vai ir incidentu reaģēšanas plāns?
Vai plāns ir testēts pēdējo 12 mēnešu laikā?
Vai ir noteiktas paziņošanas procedūras (CERT.LV, DVI)?

Piegādes ķēde:

Vai ir novērtēti piegādātāju kiberdrošības riski?
Vai līgumos ar piegādātājiem ir kiberdrošības prasības?

Darbības nepārtrauktība:

Vai ir darbības nepārtrauktības plāns?
Vai ir rezerves kopēšanas un atkopšanas procedūras?
Vai atkopšana ir testēta?

Apmācības:

Vai darbinieki regulāri iziet kiberdrošības apmācības?
Vai tiek veiktas pikšķerēšanas simulācijas?

Ja uz lielāko daļu jautājumu atbildējāt “nē” — jums ir nopietns darbs priekšā. Sāciet ar mūsu kiberdrošības pārbaudes sarakstu un pakāpeniski virzieties uz pilnu NIS2 atbilstību.

Ko darīt, ja esat NIS2 subjekts

Informējiet vadību. NIS2 uzliek personīgu atbildību vadībai — tā nav tikai IT jautājums.
Veiciet risku novērtējumu. Identificējiet kritiskos aktīvus, draudus un ievainojamības.
Izstrādājiet rīcības plānu. Prioritizējiet pasākumus pēc riska līmeņa un ieviesiet tos pakāpeniski.
Ieviesiet SOC uzraudzību. Managed SOC ir ekonomiski efektīvākais veids, kā nodrošināt nepārtrauktu drošības uzraudzību.
Apmāciet darbiniekus. Kiberdrošības apmācības ir NIS2 prasība.
Sagatavojiet incidentu reaģēšanas plānu. Skatiet mūsu rīcības plānu pēc kiberuzbrukuma.
Dokumentējiet visu. NIS2 uzraudzības iestādes var pieprasīt pierādījumus.

Biežāk uzdotie jautājumi (BUJ)

Mans uzņēmums ir mazāks par NIS2 sliekšņiem — vai man nav nekādu pienākumu? NIS2 tieši uz jums neattiecas, bet tas nenozīmē, ka kiberdrošība nav svarīga. Turklāt, ja esat daļa no NIS2 subjekta piegādes ķēdes, jums var tikt izvirzītas kiberdrošības prasības no partnera/klienta puses. Un GDPR attiecas uz visiem uzņēmumiem neatkarīgi no lieluma.

Kas notiek, ja es nezinu, vai esmu NIS2 subjekts? Neesat viens — daudzi uzņēmumi vēl nav apzinājuši savu statusu. Sāciet ar šajā rakstā aprakstīto pašnovērtējumu. Ja joprojām neesat pārliecināti, konsultējieties ar kiberdrošības speciālistu vai juridisko konsultantu, kas specializējas NIS2 jautājumos.

Vai NIS2 attiecas uz ārvalstu uzņēmumu filiālēm Latvijā? Jā. NIS2 attiecas uz visām organizācijām, kas darbojas ES teritorijā regulētajās nozarēs un atbilst lieluma kritērijiem — neatkarīgi no mātes uzņēmuma reģistrācijas vietas. Ja jūsu uzņēmuma filiāle Latvijā sniedz pakalpojumus regulētajā nozarē, tā ir NIS2 subjekts.

Cik ātri man jāsāk gatavoties? Tagad. NIS2 transponēšana nacionālajā likumdošanā jau notiek, un pārejas periods ir ierobežots. Uzņēmumiem, kas sāk no nulles, pilna atbilstības ieviešana var aizņemt 12–18 mēnešus. Jo ātrāk sāksiet, jo vairāk laika būs pielāgot procesus un sistēmas. Sazinieties ar securIT komandu konsultācijai.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT — [email protected] vai +371 27555221.