Tīklu un drošības sistēmu kiberdrošība

SVARĪGĀKIE ASPEKTI

Kiberdrošība ir darbības, kas nepieciešamas, lai aizsargātu tīkla un informācijas sistēmas, šo sistēmu lietotājus un citus cilvēkus, kurus ietekmē kiberdraudi.

Kritiskās nozares

Šī direktīva galvenokārt attiecas uz vidējiem un lieliem uzņēmumiem, kas darbojas šādās sevišķi kritiskās nozarēs, kā noteikts tās I pielikumā:

• enerģētika:
  • elektroenerģija, tostarp ražošanas, sadales un pārvades sistēmas un uzlādes punkti,
  • centralizēta siltumapgāde un aukstumapgāde,
  • nafta,, tostarp ražošana, uzglabāšana un pārvade cauruļvados,
  • gāze, tostarp piegādes, sadales un pārvades sistēmās un uzglabāšanā, un
  • ūdeņradis;
• transports pa gaisu, dzelzceļu, ūdeni un autoceļiem;
• banku pakalpojumi un finanšu tirgu infrastruktūras, piemēram, kredītiestādes, tirdzniecības vietu operatori un centrālie darījumu partneri;
• veselība,, tostarp veselības aprūpes pakalpojumu sniedzēji, farmaceitisko pamatproduktu un kritisko medicīnas ierīču ražotāji un ES references laboratorijas;
• dzeramais ūdens;
• notekūdeņi;
• digitālā infrastruktūra, tostarp datu centru pakalpojumi, mākoņdatošanas pakalpojumi, publisko elektronisko sakaru tīklu un publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji;
• IKT pārvaldīti pakalpojumi (uzņēmumu darījumi ar uzņēmumiem);
• kosmoss;
• valsts pārvalde centrālā un reģionālā līmenī, izņemot tiesu iestādes, parlamentus un centrālās bankas; direktīva neattiecas uz valsts pārvaldes iestādēm, kas veic darbības valsts drošības, sabiedrības drošības, aizsardzības vai tiesībaizsardzības jomā.

Tā attiecas arī uz citām kritiskajām nozarēm, kas noteiktas II pielikumā:

• pasta un kurjeru pakalpojumi;
• atkritumu apsaimniekošana;
• ķimikāliju izgatavošana, ražošana un izplatīšana;
• pārtikas ražošana, pārstrāde un izplatīšana;
• ražošana,, jo īpaši medicīnisko ierīču, datoru, elektronisko un optisko izstrādājumu, dažu veidu elektrisko iekārtu un mašīnu, mehānisko transportlīdzekļu un citu transporta līdzekļu ražošana;
• tiešsaistes tirdzniecības vietu, meklētājprogrammu un sociālo tīklu digitālo pakalpojumu sniedzēji;
• pētniecības organizācijas.

Valsts kiberdrošības stratēģija

Katrai dalībvalstij jāpieņem valsts stratēģija, lai panāktu un uzturētu augstu kiberdrošības līmeni kritiskajās nozarēs, tajā skaitā:

• pārvaldības sistēma, kas precizē attiecīgo ieinteresēto personu lomas un pienākumus valsts līmenī;
• politika, kas attiecas uz piegādes ķēžu drošību;
• politika par vājo vietu pārvaldību;
• politika par kiberdrošības izglītības un apmācības veicināšanu un attīstīšanu; un
• pasākumi, lai uzlabotu iedzīvotāju informētību par kiberdrošību.

Dalībvalstīm līdz 2025. gada 17. aprīlim ir jāizveido būtisku un svarīgu vienību saraksts, kā arī vienību, kas sniedz domēna vārdu reģistrācijas pakalpojumus, saraksts. Tām šis saraksts regulāri jāpārskata un vajadzības gadījumā jāatjaunina, bet pēc tam tas jādara vismaz reizi divos gados. Eiropas Komisija ir pieņēmusi pamatnostādnes attiecībā uz informāciju, kas jāsavāc, veidojot šos sarakstus, kā arī veidni, kur to darīt.

Komisija ir publicējusi arī vadlīnijas, kurās precizēti noteikumi par saistību starp Direktīvu (ES) 2022/2555 un spēkā esošajiem un turpmākajiem nozaru ES tiesību aktiem, kas attiecas uz kiberdrošības riska pārvaldības pasākumiem vai prasībām ziņot par incidentiem. Vadlīniju pielikumā sniegts nepilnīgs saraksts ar nozaru tiesību aktiem, kurus Komisija uzskata par tādiem, uz kuriem attiecas Direktīvas (ES) 2022/2555 4. pants.

Datordrošības incidentu reaģēšanas grupas

Datordrošības incidentu reaģēšanas grupas (CSIRT) sniedz tehnisko palīdzību iestādēm, tostarp:

• uzraugot un analizējot kiberdraudus, ievainojamības un incidentus valsts līmenī;
• sniedzot agrīnus brīdinājumus, brīdinājumus, paziņojumus un informāciju attiecīgajām struktūrām un citām ieinteresētajām personām par kiberdraudiem, vājajā vietām un incidentiem, ja iespējams, gandrīz reāllaikā;
• reaģējot uz incidentiem un vajadzības gadījumā sniedzot palīdzību;
• vācot un analizējot kriminālistikas datus un nodrošinot risku un incidentu dinamisku analīzi, kā arī nodrošinot situācijas apzināšanu attiecībā uz kiberdrošību;
• pēc pieprasījuma nodrošinot proaktīvu tīklu un informācijas sistēmu skenēšanu, lai atklātu vājās vietas ar potenciāli būtisku ietekmi.

CSIRT tīkls

Ar direktīvu tiek izveidots valstu CSIRT tīkls, lai veicinātu ātru un efektīvu operatīvo sadarbību.

Koordinēta ievainojamību izpaušana

Dalībvalstis:

• norīko vienu no savām CSIRT, lai koordinētu IKT produktos vai pakalpojumos atklāto ievainojamību izpaušanu;
• nodrošina, ka cilvēki dalībvalstīs var anonīmi ziņot par ievainojamībām, ja tas tiek prasīts.

Eiropas Savienības Kiberdrošības aģentūra (ENISA) izstrādās un uzturēs vājo vietu datubāzi.

Sadarbības grupa

Ar direktīvu tiek izveidota sadarbības grupa, lai atbalstītu un veicinātu stratēģisko sadarbību un informācijas apmaiņu. Tās sastāvā ir dalībvalstu, Komisijas un ENISA pārstāvji. Vajadzības gadījumā sadarbības grupa var uzaicināt Eiropas Parlamentu un attiecīgo ieinteresēto personu pārstāvjus piedalīties tās darbā.

Eiropas Kiberkrīžu sadarbības organizāciju tīkls

Eiropas Kiberkrīžu sadarbības organizāciju tīklu (EU-CyCLONe) veido dalībvalstu kiberkrīžu vadības iestāžu pārstāvji kopā ar Komisiju gadījumos, kad iespējamam vai notiekošam liela mēroga kiberdrošības incidentam ir vai varētu būt būtiska ietekme uz nozarēm, uz kurām attiecas šī direktīva. Citos gadījumos Komisija piedalīsies tīkla darbībās kā novērotāja.

Tīkls atbalsta liela mēroga kiberdrošības incidentu un krīžu koordinētu pārvaldību operatīvā līmenī un nodrošina regulāru informācijas apmaiņu starp dalībvalstīm un ES iestādēm, struktūrām, birojiem un aģentūrām.

Tīklam cita starpā ir šādi uzdevumi:

• koordinēt plašapmēra kiberdrošības incidentu un krīžu pārvaldību un atbalstīt lēmumu pieņemšanu politiskā līmenī;
• paaugstināt sagatavotības līmeni;
• veidot vienotu situācijas izpratni;
• izvērtēt plašapmēra kiberdrošības incidentu un krīžu sekas un ietekmi un ierosināt iespējamos risku mazinošus pasākumus.

Kiberdrošības riska pārvaldības pasākumi

Vienībām ir jāveic atbilstoši un samērīgi tehniskie, darbības un organizatoriskie kiberdrošības riska pārvaldības pasākumi. Pasākumu katalogs cita starpā ietver riska analīzi un informācijas sistēmu drošības politiku, incidentu risināšanu, darbības nepārtrauktību, darbības atjaunošanu pēc katastrofām un krīžu pārvaldību, piegādes ķēdes drošību, ievainojamību apstrādi un atklāšanu, higiēnas pamatpraksi, politiku un procedūras attiecībā uz kriptogrāfijas (un vajadzības gadījumā šifrēšanas) izmantošanu, cilvēkresursu drošību un daudzfaktoru autentifikācijas vai pastāvīgas autentifikācijas risinājumu izmantošanu. Šiem pasākumiem jābalstās uz pieeju visiem apdraudējumiem.

Pārvaldības iestādēm ir jāapstiprina šie pasākumi un jāuzrauga to īstenošana, un tās var tikt sauktas pie atbildības par pārkāpumiem.

Ziņošana

Vienībām ir jāziņo savai CSIRT vai attiecīgajai iestādei par jebkuru incidentu, kas:

• ir izraisījuši vai var izraisīt nopietnus darbības traucējumus vai finansiālus zaudējumus struktūrai;
• ir ietekmējuši vai varētu ietekmēt citus, radot ievērojamu materiālu vai nemateriālu kaitējumu.

Turklāt ENISA kopā ar Komisiju un sadarbības grupu reizi divos gados sagatavos ziņojumu par kiberdrošības stāvokli ES, kas tiks iesniegts arī Parlamentam.

Uzraudzība un izpildes panākšana

Direktīvā ir paredzēti pasākumi un sankcijas, lai nodrošinātu tās izpildi.

Salīdzinošā izvērtēšana

Salīdzinošās izvērtēšanas mērķis ir mācīties no kopīgas pieredzes, stiprināt savstarpēju uzticēšanos, panākt augstu kopēju kiberdrošības līmeni un uzlabot dalībvalstu kiberdrošības spējas un politiku, kas nepieciešama šīs direktīvas īstenošanai. Šīs izvērtēšanas ietver apmeklējumus uz vietas vai virtuālus apmeklējumus un informācijas apmaiņu ārpus uzņēmuma. Dalība salīdzinošajā izvērtēšanā ir brīvprātīga.

Īstenošanas akts

Īstenošanas regulā (ES) 2024/2690 ir paredzēti noteikumi Direktīvas (ES) 2022/2555 piemērošanai attiecībā uz kiberdrošības riska pārvaldības pasākumu tehniskajām un metodoloģiskajām prasībām, kā arī precizēti gadījumi, kad incidents tiek uzskatīts par būtisku attiecībā uz:

• domēnvārdu sistēmas pakalpojumu sniedzējiem,
• augstākā līmeņa domēnvārdu reģistriem,
• mākoņdatošanas pakalpojumu sniedzējiem,
• datu centru pakalpojumu sniedzējiem,
• satura piegādes tīklu nodrošinātājiem,
• pārvaldītu pakalpojumu sniedzējiem,
• pārvaldītu drošības pakalpojumu sniedzējiem,
• tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālo tīklu pakalpojumu platformu nodrošinātājiem, un
• uzticamības pakalpojumu sniedzējiem,

Atcelšana

Ar Direktīvu (ES) 2022/2555 no 2024. gada 18. oktobra tika atcelta Direktīva (ES) 2016/1148 (skatīt kopsavilkumu), un ar Īstenošanas regulu (ES) 2024/2690 tika atcelta Īstenošanas regula (ES) 2018/151, kurā bija paredzēti Direktīvas (ES) 2016/1148 piemērošanas noteikumi.