NIS2 direktīva — kas jāzina Latvijas uzņēmumiem

Kas ir NIS2 un kāpēc tā ir svarīga

NIS2 direktīva (Directive (EU) 2022/2555) ir ES likumdošanas akts, kas nosaka vienotu kiberdrošības prasību ietvaru visās dalībvalstīs. Tā aizstāj sākotnējo NIS direktīvu (2016), kas bija pirmais ES mēroga kiberdrošības regulējums, bet tika atzīts par nepietiekamu strauji mainīgajā draudu vidē.

NIS2 galvenās atšķirības no iepriekšējās versijas: būtiski paplašināts skartu nozaru un uzņēmumu loks, stingrākas drošības prasības, obligāta incidentu ziņošana ar konkrētiem termiņiem, valdes līmeņa atbildība par kiberdrošību, un ievērojami sodi par neievērošanu.

Direktīvas mērķis ir paaugstināt kiberdrošības līmeni visā ES, nodrošināt konsekventu pieeju starp dalībvalstīm un aizsargāt kritisko infrastruktūru un digitālos pakalpojumus no arvien pieaugošiem kiberdraudiem.

Latvijā NIS2 transponēšana nacionālajā likumdošanā ir notikusi, un uzņēmumiem jau tagad jānodrošina atbilstība. Nacionālais kiberdrošības likums ietver NIS2 prasības un pilnvaro CERT.LV kā galveno uzraudzības iestādi.

Kurus Latvijas uzņēmumus skar NIS2

NIS2 sadala organizācijas divās kategorijās — būtiskās (essential) un svarīgās (important) vienības. Būtiskās vienības ietver enerģētikas sektoru (elektroenerģija, nafta, gāze, siltumapgāde), transportu (aviācija, dzelzceļš, ūdens transports, autotransports), banku un finanšu tirgus infrastruktūru, veselības aprūpi, dzeramā ūdens piegādi un notekūdeņus, digitālo infrastruktūru (DNS, domēnu reģistri, mākoņpakalpojumi, datu centri), publisko pārvaldi un kosmosu.

Svarīgās vienības ietver pasta un kurjeru pakalpojumus, atkritumu apsaimniekošanu, ķīmisko vielu ražošanu un izplatīšanu, pārtikas ražošanu un izplatīšanu, ražošanas nozares (medicīnas ierīces, datori, elektronikas, transportlīdzekļi), digitālo pakalpojumu sniedzējus (tiešsaistes tirdzniecības, meklētājprogrammu, sociālo tīklu platformas) un pētniecību.

Lieluma kritērijs: NIS2 attiecas uz vidējiem uzņēmumiem (50+ darbinieki vai 10+ miljoni EUR apgrozījums) un lieliem uzņēmumiem. Tomēr daži sektori (DNS, domēnu reģistri, digitālā infrastruktūra) ir iekļauti neatkarīgi no lieluma.

Lietuvas un Igaunijas uzņēmumiem, ar kuriem sadarbojas Latvijas firmas, NIS2 arī ir spēkā — tā ir visas ES prasība.

NIS2 galvenās prasības uzņēmumiem

Riska pārvaldības pasākumi ir NIS2 stūrakmens. Uzņēmumiem jāīsteno samērīgi tehniski, operatīvi un organizatoriski pasākumi, lai pārvaldītu riskus, kas apdraud tīklu un informācijas sistēmu drošību. Konkrēti tas ietver: riska analīzi un informācijas sistēmu drošības politikas, incidentu apstrādes procedūras, darbības nepārtrauktības un krīzes pārvaldību, piegādes ķēdes drošību, tīklu un informācijas sistēmu drošības pasākumus iegādē, izstrādē un uzturēšanā.

Kiberdrošības higiēnas prakse un apmācības — darbiniekiem jābūt apmācītiem par kiberdrošības riskiem un drošas uzvedības principiem. NIS2 skaidri norāda, ka cilvēciskais faktors ir jāadresē.

Šifrēšanas izmantošana — datu šifrēšana gan tranzītā, gan miera stāvoklī ir prasība, kur tas ir piemērojami. Cilvēkresursu drošība, piekļuves kontroles un aktīvu pārvaldība — dokumentētas procedūras tam, kas un kā var piekļūt sistēmām.

Daudzfaktoru autentifikācija (MFA) vai nepārtraukta autentifikācija — NIS2 tieši piemin MFA kā obligātu pasākumu. Drošas komunikācijas — šifrētu komunikācijas kanālu izmantošana organizācijā.

Incidentu ziņošanas pienākumi

NIS2 ievieš stingrus incidentu ziņošanas termiņus, kas ir būtiski stingrāki nekā iepriekšējā direktīvā. Agrīnais brīdinājums — 24 stundu laikā pēc būtiska incidenta konstatēšanas uzņēmumam jāziņo kompetentajai iestādei (Latvijā — CERT.LV). Šajā posmā pietiek ar pamata informāciju — kas noticis, aptuvens apmērs, vai ir aizdomas par ļaunprātīgu darbību.

Incidenta paziņojums — 72 stundu laikā jāsniedz detalizētāks ziņojums ar sākotnējo novērtējumu par incidenta raksturu, nopietnību un ietekmi. Jāiekļauj arī informācija par kompromitēšanas indikatoriem (IoC), ja tādi ir pieejami.

Gala ziņojums — ne vēlāk kā mēnesi pēc incidenta paziņojuma jāiesniedz detalizēts gala ziņojums, kas ietver pamatcēloņu analīzi, ietekmes novērtējumu un veiktos un plānotos mazināšanas pasākumus.

Šie ziņošanas pienākumi prasa, lai uzņēmumam būtu spēja ātri atklāt incidentus (nepieciešams SOC vai līdzvērtīga uzraudzība), dokumentēt tos un sagatavot ziņojumus noteiktajos termiņos. Bez profesionālām incidentu apstrādes procedūrām 24 stundu termiņš ir praktiski neizpildāms.

Sodi un valdes atbildība

NIS2 paredz būtiskus sodus par neievērošanu. Būtiskajām vienībām maksimālais sods ir 10 miljoni EUR vai 2% no globālā gada apgrozījuma (lielākais no abiem). Svarīgajām vienībām — 7 miljoni EUR vai 1,4% no apgrozījuma.

Valdes locekļu personīgā atbildība ir NIS2 būtiskākais jaunums. Direktīva nosaka, ka vadības struktūrām (valde, padome) ir jāapstiprina kiberdrošības risku pārvaldības pasākumi un jāuzrauga to ieviešana. Valdes locekļi var tikt saukti pie personīgas atbildības par pienākumu neizpildi.

Tas nozīmē, ka valdes loceklis nevar vienkārši delegēt kiberdrošību IT nodaļai un aizmirst par to. Viņam jāsaprot riski, jānodrošina resursi un jāuzrauga progresu. NIS2 arī pieprasa, ka valdes locekļi regulāri apgūst kiberdrošības apmācības.

Praktiski tas nozīmē — ja uzņēmumā notiek būtisks kiberincidents un izrādās, ka nebija ieviesti samērīgi drošības pasākumi, valdes locekļi var tikt personiski sodīti. Tā nav tikai teorētiska iespēja — ES dalībvalstu regulatori arvien aktīvāk izmanto šo instrumentu.

Kā sagatavoties NIS2 atbilstībai ar securIT palīdzību

securIT piedāvā strukturētu pieeju NIS2 atbilstības nodrošināšanai. Pirmais solis — NIS2 gatavības novērtējums (gap analysis). Mūsu eksperti novērtē jūsu pašreizējo kiberdrošības stāvokli un identificē trūkumus attiecībā pret NIS2 prasībām. Rezultāts ir skaidra ceļa karte ar prioritizētiem uzlabojumiem.

Otrais solis — drošības politiku un procedūru izstrāde. Palīdzam izveidot vai atjaunināt nepieciešamās politikas — incidentu reaģēšanas plānu, riska pārvaldības ietvaru, darbības nepārtrauktības plānu, piegādes ķēdes drošības procedūras.

Trešais solis — tehnisku pasākumu ieviešana. SOC 24/7 uzraudzība nodrošina nepārtrauktu draudu atklāšanu un spēju ziņot par incidentiem NIS2 termiņos. MFA ieviešana nodrošina autentifikācijas prasību. EDR risinājumi aizsargā gala ierīces.

Ceturtais solis — darbinieku apmācība un pikšķerēšanas simulācijas. NIS2 tieši pieprasa kiberdrošības apmācības — securIT nodrošina gan strukturētas mācību programmas, gan praktiskas simulācijas.

Piektais solis — nepārtraukta atbilstības uzturēšana. NIS2 nav vienreizējs projekts — tā prasa pastāvīgu drošības pasākumu uzturēšanu, regulāru testēšanu un atjaunināšanu. securIT kā ilgtermiņa partneris nodrošina šo nepārtrauktību.