NIS2 – Regulējums drošākai nākotnei
NIS2 ir tā dēvētā ES mēroga kiberdrošības direktīva, kas stājās spēkā 2024. gada oktobrī. Salīdzinot ar NIS1, NIS2 ievieš būtiskas izmaiņas, kas arī uzliks stingrākus kiberdrošības pienākumus vairāk organizācijām. Dalībvalstīm būs jāpieņem jauni noteikumi, kuros būs ietverti šie stingrākie kontroles un izpildes pasākumi, lai nodrošinātu atbilstību direktīvai. NIS2 aizstāj NIS1 direktīvu, kā rezultātā ir vairākas būtiskas atšķirības salīdzinājumā ar NIS1: NIS2 paplašina darbības jomu, iekļaujot tajā lielākas struktūras, piemēram, ķīmisko vielu un medicīnas ierīču ražotājus, pārtikas ražotājus un sociālo tīklu nodrošinātājus, uz kuriem iepriekš NIS1 direktīva neattiecās. NIS2 ir aizstāts dalījums starp “būtisko pakalpojumu sniedzēju” un “digitālo pakalpojumu sniedzēju” ar “būtiskām struktūrām” un “kritiski svarīgām struktūrām”, pamatojoties, cita starpā, uz lielumu un nozari. Lai gan abām vienībām ir līdzīgi pienākumi, uz galvenajām vienībām attiecas stingrāki izpildes un kontroles pasākumi. Par kontroles pasākumiem ir jāatbild nozares uzraugam.
NIS2 nosaka jaunus kiberdrošības pienākumus “būtiskām” un “kritiski svarīgām” struktūrām, tostarp riska un piegādes ķēdes pārvaldību, ziņošanu par kiberincidentiem un informācijas apmaiņu. Lai nodrošinātu atbilstību šīm prasībām, būs jāizstrādā un jāievieš jaunas politikas un procedūras. NIS2 prasa, lai ES dalībvalstis uzlabotu savas valsts kiberdrošības stratēģijas un reaģētu uz digitālajiem draudiem, ar kuriem tās saskaras. Organizācijām ir svarīgi sekot līdzi turpmākajām dalībvalstu iniciatīvām šajā jomā.
Pastiprinātas drošības prasības
NIS2 uzlabos uzņēmumu drošības prasības, ieviešot riska pārvaldības metodoloģiju un minimālo drošības pamatelementu sarakstu. Direktīvā ir arī daudz detalizētāki noteikumi par ziņošanu par incidentiem, tostarp, piemēram, par ziņojumu saturu un termiņiem. Saskaņā ar direktīvu par incidentu jāziņo 24 stundu laikā pēc tā rašanās, un tajā jāiekļauj detalizētāks ziņošanas process. NIS2 arī pieprasa pievērsties piegādes ķēdes drošībai. Tas ietver arī riskus, ko rada kopīgas mērīšanas attiecības. NIS2 arī uzsver vadības atbildību par organizācijas kiberdrošību un uzliek individuālu atbildību vadības struktūrām, piemēram, uzņēmumu valdēm un vadībai, lai nodrošinātu efektīvu kiberdrošības prasību īstenošanu. Organizācijām var tikt piemēroti dažādi izpildes rīkojumi, un par to neievērošanu var tikt uzlikti ievērojami naudas sodi.
