Kas ir NIS2 direktīva?
NIS2 (Network and Information Security Directive 2) ir Eiropas Savienības kiberdrošības direktīva, kas aizstāj iepriekšējo NIS direktīvu un būtiski paplašina obligātās kiberdrošības prasības visā ES. Direktīva stājās spēkā 2023. gada janvārī, un dalībvalstīm bija jātransponē tā nacionālajos tiesību aktos līdz 2024. gada 17. oktobrim.
NIS2 ir Eiropas atbilde uz strauji augošajiem kiberdraudiem — tā nosaka vienotus minimālos drošības standartus, incidentu ziņošanas pienākumus un vadības atbildību. Latvijā NIS2 prasības ir iekļautas Nacionālajā kiberdrošības likumā (NKDL), kas nosaka konkrētas prasības Latvijas uzņēmumiem un organizācijām.
Šajā rakstā detalizēti apskatīsim NIS2 direktīvas saturu, tās ietekmi uz Latvijas uzņēmumiem, prasības, soda sankcijas un to, kā securIT var palīdzēt nodrošināt atbilstību.
NIS2 direktīvas galvenie mērķi un tvērums
NIS2 direktīvas primārais mērķis ir panākt augstu un vienveidīgu kiberdrošības līmeni visā Eiropas Savienībā. Iepriekšējā NIS direktīva aptvēra ierobežotu nozaru loku un pieļāva ievērojamas atšķirības starp dalībvalstu ieviešanu. NIS2 to maina fundamentāli.
Direktīva ievieš divu kategoriju dalījumu — būtiskās vienības (essential entities) un svarīgās vienības (important entities). Būtiskās vienības ietver enerģētiku, transportu, banku un finanšu tirgu infrastruktūru, veselības aprūpi, ūdens apgādi, digitālo infrastruktūru, IKT pakalpojumu pārvaldību, publisko pārvaldi un kosmosu. Svarīgās vienības aptver pasta un kurjeru pakalpojumus, atkritumu apsaimniekošanu, ķimisko vielu ražošanu, pārtikas ražošanu, digitālo pakalpojumu sniedzējus un citas nozares.
Būtiska novitāte ir uzņēmuma lieluma kritērijs — NIS2 attiecas uz visiem vidējiem un lieliem uzņēmumiem norādītajās nozarēs (vairāk nekā 50 darbinieki vai gada apgrozījums virs 10 miljoniem EUR). Dažos gadījumos arī mazāki uzņēmumi var tikt iekļauti, ja to pakalpojumi ir kritiski.
NIS2 kiberdrošības prasības organizācijām
NIS2 direktīva nosaka konkrētas kiberdrošības pārvaldības prasības, kas organizācijām jāievieš. Riska analīze un informācijas sistēmu drošības politikas ir pamata prasība — uzņēmumiem jāveic regulāra risku novērtēšana un jāizstrādā dokumentētas drošības politikas.
Incidentu apstrāde ir vēl viens centrālais elements. Organizācijām jānodrošina spēja atklāt, analizēt un reaģēt uz kiberincidentiem. NIS2 nosaka stingrus ziņošanas termiņus — agrīnais brīdinājums 24 stundu laikā, pilns ziņojums 72 stundu laikā un gala ziņojums viena mēneša laikā pēc incidenta.
Darbības nepārtrauktības pārvaldība prasa organizācijām izstrādāt un testēt rezerves kopēšanas stratēģijas, atkopšanas plānus un krīzes vadības procedūras. Piegādes ķēdes drošība ir jauna un būtiska prasība — uzņēmumiem jānovērtē un jāpārvalda kiberdrošības riski, kas saistīti ar piegādātājiem un pakalpojumu sniedzējiem.
Papildus NIS2 prasa ieviest tīklu un informācijas sistēmu drošību iegādē, izstrādē un uzturēšanā, ievainojamību atklāšanu un novēršanu, kriptogrāfijas un šifrēšanas izmantošanu, kā arī cilvēkresursu drošību un piekļuves kontroli. Vadības līmeņa atbildība ir obligāta — uzņēmuma vadībai jāapstiprina kiberdrošības pasākumi un jāuzņemas atbildība par to ieviešanu.
Soda sankcijas par NIS2 neievērošanu
NIS2 direktīva ievieš ievērojami stingrākas soda sankcijas nekā tās priekšgājēja. Būtiskajām vienībām maksimālais naudas sods var sasniegt 10 miljonus EUR vai 2% no uzņēmuma grupas kopējā globālā gada apgrozījuma — atkarībā no tā, kura summa ir lielāka. Svarīgajām vienībām maksimālais sods ir 7 miljoni EUR vai 1,4% no globālā apgrozījuma.
Taču finansiālās sankcijas nav vienīgais risks. NIS2 paredz arī nefinansiālus pasākumus — kompetentās iestādes var izdot rīkojumus par atbilstības nodrošināšanu, pieprasīt drošības auditu veikšanu, noteikt pagaidu aizliegumus vadības personām un publiskot informāciju par pārkāpumiem.
Īpaši nozīmīga ir personīgā vadības atbildība — uzņēmuma amatpersonas var tikt personiski sauktas pie atbildības par kiberdrošības pienākumu nepildīšanu. Tas nozīmē, ka kiberdrošība vairs nav tikai IT nodaļas jautājums — tā ir valdes līmeņa atbildība.
Latvijā konkrētos sodu apmērus un piemērošanas kārtību nosaka NKDL un tā ieviešanas normatīvie akti. CERT.LV kā kompetentā iestāde uzrauga atbilstību un var piemērot sankcijas.
NIS2 ieviešana Latvijā un NKDL saistība
Latvijā NIS2 direktīvas prasības ir transponētas Nacionālajā kiberdrošības likumā (NKDL). NKDL konkretizē NIS2 prasības Latvijas kontekstā, nosakot, kuras organizācijas ir pakļautas regulējumam, kādas ir to pienākumi un kāda ir uzraudzības kārtība.
CERT.LV ir galvenā kompetentā iestāde kiberdrošības jomā Latvijā. Tā ir atbildīga par incidentu koordinēšanu, brīdinājumu izplatīšanu un uzraudzību. Organizācijām, kas pakļautas NKDL, jāziņo par kiberincidentiem CERT.LV noteiktajā kārtībā un termiņos.
Latvijas uzņēmumiem NIS2 ieviešana nozīmē vairākus konkrētus soļus. Pirmkārt, jānosaka, vai organizācija ietilpst regulējuma tvērumā — jāizvērtē nozare, uzņēmuma lielums un sniegto pakalpojumu kritiskums. Otrkārt, jāveic plaisu analīze (gap analysis), salīdzinot esošos drošības pasākumus ar NIS2 prasībām. Treškārt, jāizstrādā un jāievieš trūkstošie pasākumi — politikas, procedūras, tehniskie risinājumi.
DVI (Datu valsts inspekcija) arī saglabā lomu gadījumos, kur kiberincidenti skar personas datus, jo NIS2 un GDPR prasības bieži pārklājas.
Kāpēc svarīgi Latvijas uzņēmumiem
Latvijas uzņēmumiem NIS2 atbilstība nav tikai regulatīvs pienākums — tā ir stratēģiska biznesa nepieciešamība. Ģeopolitiskā situācija Baltijas reģionā paaugstina kiberdraudu līmeni, un valsts un privātā sektora kibernoturība ir nacionālās drošības jautājums.
Daudziem Latvijas uzņēmumiem, kas iepriekš nebija pakļauti kiberdrošības regulējumam, NIS2 ir pirmā reize, kad tie saskaras ar obligātām prasībām. Tas attiecas uz pārtikas ražotājiem, atkritumu apsaimniekotājiem, pasta pakalpojumu sniedzējiem un citām nozarēm, kas tradicionāli nav uztvērušas kiberdrošību kā prioritāti.
Piegādes ķēdes prasības nozīmē, ka arī uzņēmumi ārpus tiešā NIS2 tvēruma var tikt ietekmēti — ja esat piegādātājs būtiskai vai svarīgai vienībai, jūsu klients var pieprasīt kiberdrošības garantijas un audita tiesības.
securIT palīdz Latvijas uzņēmumiem sagatavoties NIS2 atbilstībai — no sākotnējās plaisu analīzes līdz tehnisku risinājumu ieviešanai un nepārtrauktai uzraudzībai. Mūsu komanda pārzina gan ES regulējumu, gan Latvijas specifiku, nodrošinot praktisku un efektīvu ceļu uz atbilstību.
Kā sagatavoties NIS2 atbilstībai — praktiski soļi
NIS2 atbilstības ceļš sākas ar skaidru izpratni par savu statusu. Pirmais solis ir noteikt, vai jūsu organizācija ir būtiskā vai svarīgā vienība saskaņā ar NKDL — tas nosaka prasību apjomu un uzraudzības intensitāti.
Otrais solis ir visaptveroša risku novērtēšana. Identificējiet kritiskos aktīvus, iespējamos draudus un esošos aizsardzības pasākumus. Izmantojiet atzītas metodoloģijas, piemēram, ISO 27005 vai NIST Cybersecurity Framework.
Trešais solis ir plaisu analīze — salīdziniet esošos drošības pasākumus ar NIS2 prasībām un identificējiet trūkumus. Ceturtais solis ir rīcības plāna izstrāde ar konkrētiem termiņiem, atbildīgajiem un budžetu.
Piektais solis ir tehnisku un organizatorisku pasākumu ieviešana — incidentu reaģēšanas plāna izstrāde, piekļuves kontroles uzlabošana, rezerves kopēšanas pārbaude, personāla apmācība. Sestais solis ir nepārtraukta uzraudzība un regulāra pārskatīšana — NIS2 nav vienreizējs projekts, bet pastāvīgs process.
Sazinieties ar securIT komandu, lai saņemtu bezmaksas sākotnējo novērtējumu — [email protected] vai +371 27555221.
Biežāk uzdotie jautājumi
Vai NIS2 direktīva attiecas uz manu uzņēmumu?
NIS2 attiecas uz vidējiem un lieliem uzņēmumiem (vairāk nekā 50 darbinieki vai apgrozījums virs 10 miljoniem EUR) norādītajās nozarēs — enerģētika, transports, veselības aprūpe, digitālā infrastruktūra, pārtikas ražošana un citas. Arī mazāki uzņēmumi var tikt iekļauti, ja to pakalpojumi ir kritiski. Latvijā konkrēto tvērumu nosaka NKDL. Ja neesat pārliecināts, sazinieties ar securIT — palīdzēsim noteikt jūsu organizācijas statusu.
Kāds ir NIS2 un GDPR attiecību modelis?
NIS2 un GDPR ir savstarpēji papildinoši regulējumi. GDPR fokusējas uz personas datu aizsardzību, bet NIS2 uz plašāku tīklu un informācijas sistēmu drošību. Praksē prasības bieži pārklājas — piemēram, incidentu ziņošana, risku pārvaldība un drošības pasākumi. Ja jūsu organizācija jau atbilst GDPR, daļa NIS2 prasību jau ir izpildīta, taču NIS2 pievieno papildu specifiskas prasības.
Cik liels ir sods par NIS2 neievērošanu?
Būtiskajām vienībām maksimālais sods var sasniegt 10 miljonus EUR vai 2% no globālā gada apgrozījuma. Svarīgajām vienībām — 7 miljonus EUR vai 1,4% no apgrozījuma. Papildus finansiālajām sankcijām iespējami arī nefinansiāli pasākumi — obligāti auditi, publiski brīdinājumi un personīga vadības atbildība. Latvijā konkrētos sodu apmērus nosaka NKDL.
Kā NIS2 ietekmē piegādes ķēdi?
NIS2 pieprasa organizācijām novērtēt un pārvaldīt kiberdrošības riskus savā piegādes ķēdē. Tas nozīmē, ka arī uzņēmumi, kas tieši nav pakļauti NIS2, var saņemt kiberdrošības prasības no saviem klientiem. Piegādātājiem var tikt pieprasītas drošības garantijas, audita tiesības un incidentu ziņošanas pienākumi. Praksē tas nozīmē, ka NIS2 ietekme izplatās tālu ārpus tiešā regulējuma tvēruma.
Cik ilgs laiks nepieciešams NIS2 atbilstības sasniegšanai?
Atbilstības sasniegšanas laiks ir atkarīgs no organizācijas esošā brieduma līmeņa. Uzņēmumam ar labu drošības pamatu (piemēram, ISO 27001 sertifikātu) var pietikt ar 3–6 mēnešiem. Organizācijai, kas sāk praktiski no nulles, process var aizņemt 9–18 mēnešus. securIT iesaka sākt ar plaisu analīzi, kas parasti aizņem 2–4 nedēļas un sniedz skaidru priekšstatu par nepieciešamo darba apjomu.