Tinklų ir informacinių sistemų kibernetinis saugumas (2022 m.)

 

DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:

Direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje ES užtikrinti

KOKS ŠIOS DIREKTYVOS TIKSLAS?

Šia direktyva, vadinama TIS 2 direktyva, nustatoma bendra kibernetinio saugumo reguliavimo sistema, kuria siekiama padidinti kibernetinio saugumo lygį Europos Sąjungoje (ES), reikalaujant, kad ES valstybės narės sustiprintų kibernetinio saugumo pajėgumus ir nustatytų kibernetinio saugumo rizikos valdymo priemones bei itin svarbiems sektoriams taikomą pareigą pranešti, taip pat bendradarbiavimo, dalijimosi informacija, priežiūros ir vykdymo užtikrinimo taisykles.

PAGRINDINIAI ASPEKTAI

Kibernetinis saugumas yra veikla, būtina tinklų ir informacinėms sistemoms, tokių sistemų naudotojams ir kitiems kibernetinių grėsmių veikiamiems asmenims apsaugoti.

Itin svarbūs sektoriai

Ši direktyva iš esmės taikoma vidutinėms ir didelėms įmonėms, veikiančioms toliau nurodytuose ypatingos svarbos sektoriuose, kaip apibrėžta I priede:

• energetika:
  • elektros energija, įskaitant gamybos, skirstymo ir perdavimo sistemas bei įkrovimo prieigas,
  • centralizuotas šilumos ir vėsumos tiekimas,
  • nafta, įskaitant gamybos, laikymo ir perdavimo vamzdynus,
  • dujos, įskaitant tiekimo, skirstymo ir perdavimo sistemas bei laikymą,
  • vandenilis;
• oro, geležinkelio, vandens ir kelių transportas;
• bankininkystė ir finansų rinkų infrastruktūros objektai, pavyzdžiui, kredito įstaigos, prekybos vietų operatoriai ir pagrindinės sandorio šalys;
• sveikata, įskaitant sveikatos priežiūros paslaugų teikėjus, pagrindinių farmacijos produktų ir ypatingos svarbos medicinos priemonių gamintojus bei ES etalonines laboratorijas;
• geriamasis vanduo;
• nuotekos;
• skaitmeninė infrastruktūra, įskaitant duomenų centrų paslaugų teikėjus, debesijos kompiuterijos paslaugas, viešuosius elektroninių ryšių tinklus ir viešai prieinamas elektroninių ryšių paslaugas;
• IRT paslaugų valdymas (verslas verslui);
• kosmosas;
• viešasis administravimas centriniu ir regioniniu lygmenimis, išskyrus teismų sistemą, parlamentus ir centrinius bankus. Tačiau netaikoma viešojo administravimo subjektams, kurie vykdo veiklą nacionalinio saugumo, visuomenės saugumo, gynybos ar teisėsaugos srityse.

Ši direktyva taip pat taikoma kitiems itin svarbiems sektoriams, kaip apibrėžta II priede:

• pašto ir kurjerių paslaugoms;
• atliekų tvarkymui;
• cheminių medžiagų gamybai ir platinimui;
• maisto gamybai, perdirbimui ir platinimui;
• gamybai, visų pirma medicinos priemonių, kompiuterinių, elektroninių ir optinių gaminių, tam tikros elektros įrangos ir mašinų, motorinių transporto priemonių ir kitos transporto įrangos;
• skaitmeninių paslaugų teikėjams, įskaitant elektroninių prekyviečių teikėjus, paieškos sistemų teikėjus ir socialinių tinklų paslaugų platformos teikėjus;
• mokslinių tyrimų organizacijoms.

Nacionalinė kibernetinio saugumo strategija

Kiekviena valstybė narė turi priimti nacionalinę strategiją, kuria būtų siekiama užtikrinti ir išlaikyti aukštą kibernetinio saugumo lygį itin svarbiuose sektoriuose, įskaitant:

• valdymo sistemą, pagal kurią paaiškinami atitinkamų suinteresuotųjų subjektų vaidmenys ir pareigos nacionaliniu lygmeniu;
• tiekimo grandinių saugumo politiką;
• pažeidžiamumų valdymo politiką;
• švietimo ir mokymo kibernetinio saugumo klausimais skatinimo ir plėtros politiką;
• priemones, kurios pagerintų piliečių supratimą apie kibernetinį saugumą.

Ne vėliau kaip 2025 m. balandžio 17 d. valstybės narės turi sudaryti esminių ir svarbių subjektų bei domeno vardo registravimo paslaugas teikiančių subjektų sąrašą. Po tos datos valstybės narės turi reguliariai ir ne rečiau kaip kas dvejus metus peržiūrėti tą sąrašą ir, kai tinkama, jį atnaujinti. Europos Komisija priėmė gaires dėl informacijos, kurią reikia rinkti sudarant šiuos sąrašus, ir dėl tokių sąrašų pateikimo šablono.

Komisija taip pat išleido gaires, kuriose paaiškinamos taisyklės dėl Direktyvos (ES) 2022/2555 ir dabartinių bei būsimų konkretiems sektoriams taikomų ES teisės aktų, kuriais reglamentuojamos kibernetinio saugumo rizikos valdymo priemonės arba pranešimo apie incidentus reikalavimai, tarpusavio santykio. Gairių priede pateikiamas nebaigtinis sąrašas su konkretiems sektoriams taikomais teisės aktais, kurie, Komisijos nuomone, patenka į Direktyvos (ES) 2022/2555 taikymo sritį.

Reagavimo į kompiuterių saugumo incidentus tarnybos

Reagavimo į kompiuterių saugumo incidentus tarnybos (CSIRT) teikia subjektams techninę pagalbą. Jos, be kita ko:

• stebi ir analizuoja kibernetines grėsmes, pažeidžiamumus ir incidentus nacionaliniu lygmeniu;
• teikia ankstyvuosius perspėjimus, įspėjimus, pranešimus ir informaciją apie kibernetines grėsmes, pažeidžiamumus ir incidentus atitinkamiems subjektams ir kitiems atitinkamiems suinteresuotiesiems subjektams, jei įmanoma, beveik tikruoju laiku;
• reaguoja į incidentus ir, kai tikslinga, teikia pagalbą;
• renka ir analizuoja teismo ekspertizės duomenis ir teikia dinaminę rizikos bei incidentų analizę, taip pat užtikrina informuotumą apie padėtį kibernetinio saugumo srityje;
• esant prašymui, aktyviai tikrina tinklų ir informacines sistemas, kad būtų galima atskleisti pažeidžiamumus, galinčius daryti didelį poveikį.

CSIRT tinklas

Siekiant skatinti greitą ir veiksmingą operatyvinį bendradarbiavimą, šia direktyva sukuriamas nacionalinių CSIRT tinklas.

Koordinuotas pažeidžiamumų atskleidimas

Valstybės narės privalo:

• paskirti vieną iš savo CSIRT koordinuoti IRT produktų ar paslaugų pažeidžiamumų atskleidimą;
• užtikrinti, kad asmenys valstybėse narėse galėtų pranešti apie pažeidžiamumus anonimiškai, jei jie to prašo.

Europos Sąjungos kibernetinio saugumo agentūra (ENISA) sukuria ir tvarko pažeidžiamumų duomenų bazę.

Bendradarbiavimo grupė

Šia direktyva sudaroma Bendradarbiavimo grupė, kuri turėtų remti ir palengvinti strateginį bendradarbiavimą ir keitimąsi informacija. Ją sudaro valstybių narių, Komisijos ir ENISA atstovai. Prireikus Bendradarbiavimo grupė gali pakviesti Europos Parlamentą ir atitinkamų suinteresuotųjų subjektų atstovus dalyvauti jos darbe.

Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas

Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas (EU-CyCLONe) yra tinklas, kurį sudaro valstybių narių kibernetinių krizių valdymo institucijų atstovai ir Komisijos atstovai, jei galimas arba vykstantis didelio masto kibernetinio saugumo incidentas turi arba gali turėti didelį poveikį sektoriams, kuriems taikoma ši direktyva. Kitais atvejais Komisija dalyvauja tinklo veikloje stebėtojo teisėmis.

Tinklas remia koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą operatyviniu lygmeniu ir užtikrina reguliarų keitimąsi informacija tarp valstybių narių ir ES institucijų, įstaigų, organų ir agentūrų.

Tinklas, be kita ko, vykdo šias užduotis:

• koordinuoja didelio masto kibernetinio saugumo incidentų ir krizių valdymą ir padeda politiniu lygmeniu priimti sprendimus;
• didina pasirengimo lygį;
• plėtoja bendrą informuotumą apie padėtį;
• įvertina didelio masto kibernetinio saugumo incidentų pasekmes ir poveikį bei siūlo galimas švelninimo priemones.

Ataskaitų teikimas

Subjektai privalo pranešti CSIRT ar atitinkamai institucijai apie bet kokį incidentą, jei:

• dėl jo atitinkamas subjektas patyrė arba gali patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių;
• jis paveikė arba gali paveikti kitus sukeldamas didelę turtinę arba neturtinę žalą.

Be to, ENISA, bendradarbiaudama su Komisija ir Bendradarbiavimo grupe, kas dvejus metus turės parengti ataskaitą apie kibernetinio saugumo būklę ES, kuri taip pat bus pateikta Parlamentui.

Priežiūra ir vykdymo užtikrinimas

Siekiant užtikrinti vykdymą, šia direktyva numatomos taisomosios priemonės ir sankcijos.

Tarpusavio vertinimai

Tarpusavio vertinimais siekiama pasimokyti iš bendros patirties, stiprinti tarpusavio pasitikėjimą, pasiekti aukštą bendrą kibernetinio saugumo lygį, taip pat stiprinti valstybių narių kibernetinio saugumo pajėgumus ir politiką, būtinus šiai direktyvai įgyvendinti. Tarpusavio vertinimai apima fizinius arba virtualius apsilankymus vietoje ir keitimąsi informacija ne vietoje. Dalyvavimas tarpusavio vertinimuose yra savanoriškas.

NUO KADA TAIKOMOS ŠIOS TAISYKLĖS?

Direktyva turi būti perkelta į nacionalinę teisę ne vėliau kaip 2024 m. spalio 17 d. Jos taisyklės taikomos nuo 2024 m. spalio 18 d.

KONTEKSTAS

Nuo 2024 m. spalio 18 d. šia direktyva panaikinama Direktyva (ES) 2016/1148 (žr. santrauką).

Daugiau informacijos žr.:

• Kibernetinis saugumas (Europos Komisija);
• Kibernetinis saugumas: kaip ES kovoja su kibernetinėmis grėsmėmis (Europos Vadovų Taryba, Europos Sąjungos Taryba);
• Kaip ES reaguoja į krizes ir didina atsparumą (Europos Vadovų Taryba, Europos Sąjungos Taryba);
• Europos skaitmeninė ateitis (Europos Vadovų Taryba, Europos Sąjungos Taryba).

PAGRINDINIS DOKUMENTAS

2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80–152)

Vėlesni Direktyvos (ES) 2022/2555 pakeitimai įtraukti į pradinę redakciją. Ši konsoliduota versija yra skirta tik informacijai.

SUSIJĘ DOKUMENTAI

Komisijos komunikatas „Komisijos gairės dėl Direktyvos (ES) 2022/2555 (TIS 2 direktyvos) 3 straipsnio 4 dalies taikymo“ 2023/C 324/02 (OL L 324, 2023 9 14, p. 2–7)

Komisijos komunikatas „Komisijos gairės dėl Direktyvos (ES) 2022/2555 (TIS 2 direktyvos) 4 straipsnio 1 ir 2 dalių taikymo“ 2023/C 328/02 (OL C 328, 2023 9 18, p. 2–10)

2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 ir (ES) 2016/1011 (OL L 333, 2022 12 27, p. 1–79)

2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2557 dėl ypatingos svarbos subjektų atsparumo, kuria panaikinama Tarybos direktyva 2008/114/EB (OL L 333, 2022 12 27, p. 164–198)

2021 m. balandžio 28 d. Europos Parlamento ir Tarybos reglamentas (ES) 2021/696, kuriuo sudaroma Sąjungos kosmoso programa, įsteigiama Europos Sąjungos kosmoso programos agentūra ir panaikinami reglamentai (ES) Nr. 912/2010, (ES) Nr. 1285/2013 bei (ES) Nr. 377/2014 ir Sprendimas Nr. 541/2014/ES (OL L 170, 2021 5 12, p. 69–148)

2021 m. balandžio 29 d. Europos Parlamento ir Tarybos reglamentas (ES) 2021/694, kuriuo nustatoma Skaitmeninės Europos programa ir panaikinamas Sprendimas (ES) 2015/2240 (OL L 166, 2021 5 11, p. 1–34)

Žr. konsoliduotą versiją.

2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas) (OL L 151, 2019 6 7, p. 15–69)

2019 m. kovo 26 d. Komisijos rekomendacija (ES) 2019/534, 5G tinklų kibernetinis saugumas (OL L 88, 2019 3 29, p. 42–47)

2018 m. liepos 4 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1139 dėl bendrųjų civilinės aviacijos taisyklių, ir kuriuo įsteigiama Europos Sąjungos aviacijos saugos agentūra, iš dalies keičiami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 2111/2005, (EB) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 ir direktyvos 2014/30/ES ir 2014/53/ES bei panaikinami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 552/2004 ir (EB) Nr. 216/2008 bei Tarybos reglamentas (EEB) Nr. 3922/91 (OL L 212, 2018 8 22, p. 1–122)

Žr. konsoliduotą versiją.

2018 m. gruodžio 11 d. Tarybos įgyvendinimo sprendimas (ES) 2018/1993 dėl ES integruoto politinio atsako į krizes mechanizmo (OL L 320, 2018 12 17, p. 28–34)

2018 m. gruodžio 11 d. Europos Parlamento ir Tarybos direktyva (ES) 2018/1972, kuria nustatomas Europos elektroninių ryšių kodeksas (nauja redakcija) (OL L 321, 2018 12 17, p. 36–214)

Žr. konsoliduotą versiją.

2017 m. rugsėjo 13 d. Komisijos rekomendacija (ES) 2017/1584 dėl koordinuoto atsako į didelio masto kibernetinio saugumo incidentus ir krizes (OL L 239, 2017 9 19, p. 36–58)

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1–88)

Žr. konsoliduotą versiją.

2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (OL L 257, 2014 8 28, p. 73–114)

2013 m. rugpjūčio 12 d. Europos Parlamento ir Tarybos direktyva 2013/40/ES dėl atakų prieš informacines sistemas, kuria pakeičiamas Tarybos pamatinis sprendimas 2005/222/TVR (OL L 218, 2013 8 14, p. 8–14)

2013 m. gruodžio 17 d. Europos Parlamento ir Tarybos sprendimas Nr. 1313/2013/ES dėl Sąjungos civilinės saugos mechanizmo (OL L 347, 2013 12 20, p. 924–947).

Žr. konsoliduotą versiją.

2011 m. gruodžio 13 d. Europos Parlamento ir Tarybos direktyva 2011/93/ES dėl kovos su seksualine prievarta prieš vaikus, jų seksualiniu išnaudojimu ir vaikų pornografija, kuria pakeičiamas Tarybos pamatinis sprendimas 2004/68/TVR (OL L 335, 2011 12 17, p. 1–14)

Žr. konsoliduotą versiją.

2008 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 300/2008 dėl civilinės aviacijos saugumo bendrųjų taisyklių ir panaikinantis Reglamentą (EB) Nr. 2320/2002 (OL L 97, 2008 4 9, p. 72–84)

Žr. konsoliduotą versiją.

2002 m. liepos 12 d. Europos Parlamento ir Tarybos Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37–47)

Žr. konsoliduotą versiją.

paskutinis atnaujinimas 03.05.2024