NIS2 vs NKDL — kāda ir atšķirība?
Latvijas uzņēmumiem, kas saskaras ar kiberdrošības regulējumu, bieži rodas neskaidrība starp diviem būtiskiem normatīvajiem aktiem — NIS2 (Network and Information Security Directive 2) un NKDL (Nacionālās kiberdrošības likums). Lai gan tie ir cieši saistīti, to juridiskais statuss, piemērošanas tvērums un detalizācijas līmenis būtiski atšķiras.
NIS2 ir Eiropas Savienības direktīva — pārvalstisks regulējums, kas nosaka minimālās kiberdrošības prasības visām ES dalībvalstīm. NKDL ir Latvijas nacionālais likums, kas transponē NIS2 prasības Latvijas tiesiskajā sistēmā un pielāgo tās vietējam kontekstam.
Šajā rakstā detalizēti salīdzināsim abus regulējumus, izskaidrosim to savstarpējo saistību, palīdzēsim saprast, kurš regulējums attiecas uz jūsu uzņēmumu, un kādi praktiski soļi jāveic atbilstības nodrošināšanai.
Kas ir NIS2?
NIS2 (Directive (EU) 2022/2555) ir Eiropas Parlamenta un Padomes direktīva par pasākumiem nolūkā panākt vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā. Tā stājās spēkā 2023. gada 16. janvārī, un dalībvalstīm bija jātransponē tā nacionālajos likumos līdz 2024. gada 17. oktobrim.
NIS2 ir NIS1 direktīvas (2016/1148) būtisks paplašinājums. Tā ievērojami paplašina tvērumu — no aptuveni 7 sektoriem uz 18 sektoriem, un no dažiem simtiem organizāciju katrā valstī uz tūkstošiem. Direktīva ievieš divu līmeņu sistēmu — būtiskās (essential) un svarīgās (important) vienības — ar atšķirīgām prasībām un uzraudzības intensitāti.
NIS2 galvenās prasības ietver: riska pārvaldības pasākumus kiberdrošībā, piegādes ķēdes drošības novērtēšanu, incidentu ziņošanas pienākumus (24h agrīnais brīdinājums, 72h pilna ziņošana), vadības atbildību par kiberdrošību (vadītāji var tikt personīgi saukti pie atbildības) un regulāru drošības auditu un testēšanu.
Kas ir NKDL?
NKDL jeb Nacionālās kiberdrošības likums ir Latvijas Republikas likums, kas transponē NIS2 direktīvas prasības Latvijas tiesiskajā sistēmā. NKDL aizstāj iepriekšējo Informācijas tehnoloģiju drošības likumu un būtiski paplašina kiberdrošības regulējuma tvērumu Latvijā.
NKDL nosaka kiberdrošības prasības organizācijām, kas sniedz būtiskus vai svarīgus pakalpojumus Latvijā, definē kompetento iestāžu (CERT.LV, LIKIS) lomas un atbildības, nosaka incidentu ziņošanas kārtību un termiņus, paredz sodus par neatbilstību un regulē kiberdrošības uzraudzības mehānismus.
Svarīgi saprast, ka NKDL nav vienkārša NIS2 kopija — tas pielāgo ES direktīvas prasības Latvijas specifikai, iekļaujot vietējās kompetentās iestādes, valsts līmeņa koordināciju un papildu noteikumus, kas izriet no Latvijas nacionālās kiberdrošības stratēģijas. NKDL var ietvert arī stingrākas prasības atsevišķos aspektos, ja Latvija uzskata to par nepieciešamu.
Galvenās atšķirības
Detalizēts NIS2 un NKDL salīdzinājums:
| Kritērijs | NIS2 | NKDL | |---|---|---| | Juridiskais statuss | ES direktīva | Latvijas nacionālais likums | | Ģeogrāfiskais tvērums | Visas 27 ES dalībvalstis | Tikai Latvija | | Piemērošanas veids | Nepiemēro tieši — jātransponē | Piemēro tieši Latvijā | | Mērķauditorija | Nosaka minimālās prasības dalībvalstīm | Nosaka konkrētas prasības Latvijas organizācijām | | Uzraudzības iestāde | Katra dalībvalsts nosaka pati | CERT.LV, nozaru regulatori | | Incidentu ziņošana | Agrīnais brīdinājums 24h, pilna ziņošana 72h | Saskaņā ar NIS2 + vietējie papildinājumi | | Sodu apmērs | Līdz 10M EUR vai 2% no globālā apgrozījuma (būtiskajām) | Saskaņā ar NIS2 minimumu + vietējā specifikācija | | Vadības atbildība | Vadītāju personīgā atbildība | Transponēta ar vietējiem precizējumiem | | Sektoru tvērums | 18 sektori (11 augsta kritiskuma + 7 citi kritiskie) | Saskaņoti ar NIS2 + potenciāli papildu sektori | | Piegādes ķēde | Prasa piegādes ķēdes drošības novērtēšanu | Detalizēti noteikumi vietējā kontekstā |
Būtiskā atšķirība ir hierarhiskā — NIS2 nosaka minimālo ietvaru, bet NKDL to konkretizē un pielāgo Latvijas vajadzībām. Latvijas uzņēmumiem praksē jāievēro NKDL, jo tieši tas nosaka konkrētās prasības, termiņus un sodus, kas piemērojami Latvijā.
Kad izvēlēties NIS2 vai NKDL fokusēšanos
Jautājums nav par izvēli starp NIS2 un NKDL — abi darbojas vienlaikus, un to prasības ir savstarpēji papildinošas. Tomēr ir situācijas, kad fokuss atšķiras.
Fokusējieties uz NKDL, ja: jūsu uzņēmums darbojas tikai Latvijā; vēlaties saprast konkrētās juridiskās prasības, sodus un ziņošanas kārtību; gatavojaties audita vai uzraudzības pārbaudei no Latvijas kompetentajām iestādēm; nepieciešams saprast, vai jūsu organizācija ietilpst regulējuma tvērumā.
Iepazīstieties arī ar NIS2, ja: jūsu uzņēmums darbojas vairākās ES dalībvalstīs; esat starptautiskas grupas Latvijas filiāle; vēlaties saprast plašāku regulatīvo kontekstu un ES līmeņa tendences; gatavojaties atbilstībai arī citās dalībvalstīs; jūsu klienti vai partneri citās ES valstīs prasa NIS2 atbilstību.
Praksē lielākajai daļai Latvijas uzņēmumu primārais fokuss ir NKDL — tieši šis likums nosaka, ko konkrēti jādara, līdz kādam termiņam un kādi sodi draud par neatbilstību. NIS2 izpratne palīdz saprast prasību kontekstu un sagatavoties potenciālām nākotnes izmaiņām.
Secinājums
NIS2 un NKDL nav konkurējoši regulējumi — tie ir vienas sistēmas divi līmeņi. NIS2 ir ES direktīva, kas nosaka minimālo kiberdrošības standartu visām dalībvalstīm. NKDL ir Latvijas nacionālais likums, kas šo direktīvu transponē un pielāgo vietējai specifikai.
Latvijas uzņēmumiem praktiski jākoncentrējas uz NKDL prasību izpildi, kas ietver riska pārvaldību, incidentu ziņošanu, piegādes ķēdes drošību un vadības atbildību. Izpildot NKDL prasības, uzņēmums vienlaicīgi nodrošina arī NIS2 atbilstību.
Svarīgi atzīmēt, ka gan NIS2, gan NKDL pieprasa nepārtrauktu kiberdrošības uzraudzību — tas ir viena no prasībām, ko visefektīvāk izpilda SOC pakalpojums. securIT Managed SOC palīdz Latvijas uzņēmumiem izpildīt NKDL un NIS2 prasības attiecībā uz nepārtrauktu uzraudzību, incidentu atklāšanu un ziņošanu. Sazinieties ar mums — [email protected] vai +371 27555221.
Biežāk uzdotie jautājumi
Vai NKDL ir tas pats, kas NIS2?
Nē — NKDL un NIS2 nav identiski, lai gan tie ir cieši saistīti. NIS2 ir ES direktīva, kas nosaka minimālo ietvaru kiberdrošībai visām dalībvalstīm. NKDL ir Latvijas nacionālais likums, kas transponē NIS2 prasības un pielāgo tās Latvijas specifikai. NKDL var ietvert papildu vai stingrākas prasības konkrētos aspektos. Praksē Latvijas uzņēmumiem jāievēro NKDL, kas automātiski nodrošina arī NIS2 atbilstību.
Kādi sodi draud par NIS2/NKDL neievērošanu?
NIS2 paredz maksimālos sodus līdz 10 miljoniem EUR vai 2% no globālā gada apgrozījuma būtiskajām vienībām, un līdz 7 miljoniem EUR vai 1,4% no apgrozījuma svarīgajām vienībām. NKDL transponē šīs sodu likmes Latvijas kontekstā. Papildus finanšu sodiem NIS2/NKDL paredz vadītāju personīgo atbildību — uzņēmuma vadītāji var tikt atstādināti vai saukti pie atbildības par sistemātisku neatbilstību.
Kuri uzņēmumi ietilpst NIS2/NKDL tvērumā?
NIS2/NKDL tvērumā ietilpst organizācijas 18 sektoros: enerģētika, transports, bankas, finanšu infrastruktūra, veselības aprūpe, ūdensapgāde, digitālā infrastruktūra, IKT pakalpojumu pārvaldība, publiskā pārvalde, kosmoss, pasta pakalpojumi, atkritumu apsaimniekošana, ķīmiskās vielas, pārtika, ražošana, digitālie pakalpojumi un pētniecība. Galvenais kritērijs ir uzņēmuma lielums — parasti vidēji un lieli uzņēmumi (50+ darbinieki vai 10M+ EUR apgrozījums).
Kad NKDL stājās spēkā?
NIS2 direktīvas transponēšanas termiņš bija 2024. gada 17. oktobris. Latvija, tāpat kā daudzas citas ES dalībvalstis, strādā pie NKDL pieņemšanas un ieviešanas. Uzņēmumiem ir ieteicams sākt gatavoties jau tagad — ieviest riska pārvaldības procesus, izvērtēt kiberdrošības gatavību un nodrošināt incidentu ziņošanas spēju, lai būtu gataviem, kad likums pilnībā stājas spēkā.
Kā securIT palīdz ar NIS2/NKDL atbilstību?
securIT palīdz Latvijas uzņēmumiem nodrošināt NIS2/NKDL atbilstību vairākos veidos: Managed SOC pakalpojums nodrošina nepārtrauktu uzraudzību un incidentu ziņošanas spēju; drošības novērtējumi un penetrācijas testi palīdz identificēt un novērst ievainojamības; konsultācijas par riska pārvaldības procesu ieviešanu. Sazinieties ar mūsu komandu — [email protected] vai +371 27555221.