NIS2 – Reguliavimas siekiant saugesnės ateities
NIS2 – tai vadinamoji ES masto kibernetinio saugumo direktyva, kuri įsigaliojo 2024 m. spalio mėn. Lyginant su NIS1, NIS2 įvesta reikšmingų pakeitimų, dėl kurių daugiau organizacijų taip pat turės griežtesnius kibernetinio saugumo įpareigojimus. Valstybės narės turės priimti naujas nuostatas, kuriose būtų numatytos šios griežtesnės kontrolės ir vykdymo užtikrinimo priemonės, kad būtų užtikrintas direktyvos laikymasis. NIS2 pakeičia NIS1 direktyvą, todėl, palyginti su NIS1, yra keletas esminių skirtumų: NIS2 išplečiama taikymo sritis, įtraukiant didesnius subjektus, pavyzdžiui, cheminių medžiagų ir medicinos prietaisų gamintojus, maisto produktų gamintojus ir socialinių tinklų teikėjus, kuriems anksčiau NIS1 nebuvo taikoma. NIS2 vietoj „esminių paslaugų operatoriaus” ir „skaitmeninių paslaugų teikėjo” skirstymo į „esminius subjektus” ir „ypatingos svarbos subjektus”, inter alia, pagal dydį ir sektorių. Nors abiem subjektams taikomi panašūs įpareigojimai, svarbiausiems subjektams taikomos griežtesnės vykdymo užtikrinimo ir kontrolės priemonės. Už kontrolės priemones turi atsakyti sektoriaus priežiūros institucija.
NIS2 nustatomos naujos kibernetinio saugumo prievolės „svarbiausiems” ir „ypatingos svarbos” subjektams, įskaitant rizikos ir tiekimo grandinės valdymą, pranešimų apie kibernetinius incidentus teikimą ir dalijimąsi informacija. Kad atitiktų šiuos reikalavimus, subjektai, kuriems jie taikomi, turės parengti ir įgyvendinti naują politiką ir procedūras. Pagal NIS2 reikalaujama, kad ES valstybės narės tobulintų savo nacionalines kibernetinio saugumo strategijas ir reaguotų į joms kylančias skaitmenines grėsmes. Organizacijoms svarbu nuolat sekti būsimas valstybių narių iniciatyvas šioje srityje.
Griežtesni saugumo reikalavimai
NIS2 pagerins įmonių saugumo reikalavimus, nustatydama rizikos valdymo metodiką ir būtiniausių pagrindinių saugumo elementų sąrašą. Direktyvoje taip pat yra daug išsamesnių nuostatų dėl pranešimų apie incidentus, įskaitant, pavyzdžiui, pranešimų turinį ir terminus. Pagal direktyvą pranešimas turi būti pateiktas per 24 valandas nuo įvykusio incidento ir turi apimti išsamesnį pranešimo procesą. NIS2 taip pat reikalaujama spręsti tiekimo grandinės saugumo klausimus. Tai taip pat apima riziką, kurią kelia bendrų matavimų ryšiai. NIS2 taip pat pabrėžiama vadovybės atsakomybė už organizacijos kibernetinį saugumą, o valdymo organams, pavyzdžiui, įmonių valdyboms ir vadovybei, nustatoma individuali atsakomybė už veiksmingą kibernetinio saugumo reikalavimų įgyvendinimą. Organizacijoms gali būti taikomi įvairūs vykdymo užtikrinimo nurodymai, o už jų nesilaikymą gali būti skiriamos didelės baudos.
