Tīklu un informācijas sistēmu kiberdrošība (2022)

 

KOPSAVILKUMS:

Direktīva (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā ES

KĀDS IR ŠĪS DIREKTĪVAS MĒRĶIS?

Direktīvā, kas zināma kā TID 2, ir noteikts kopīgs kiberdrošības tiesiskais regulējums, kura mērķis ir paaugstināt kiberdrošības līmeni Eiropas Savienībā (ES), pieprasot ES dalībvalstīm stiprināt kiberdrošības spējas un ieviešot kiberdrošības riska pārvaldības pasākumus un ziņošanu kritiskajās nozarēs līdz ar noteikumiem par sadarbību, informācijas apmaiņu, uzraudzību un izpildi.

SVARĪGĀKIE ASPEKTI

Kiberdrošība ir darbības, kas jāveic, lai aizsargātu tīklu un informācijas sistēmas, šādu sistēmu lietotājus un citas personas, kuras skar kiberdraudi.

Kritiskās nozares

Direktīva galvenokārt attiecas uz vidējiem un lieliem uzņēmumiem, kas darbojas šādās sevišķi kritiskajās nozarēs, kā noteikts I pielikumā:

• enerģētika:
  • elektroenerģija, tostarp ražošanas, sadales un pārvades sistēmas un uzlādes punkti,
  • centralizēta siltumapgāde un aukstumapgāde,
  • nafta, tostarp ražošana, uzglabāšana un pārvades cauruļvadi,
  • gāze, tostarp piegāde, sadales un pārvades sistēmas un uzglabāšana, un
  • ūdeņradis;
• transports gaisa, dzelzceļa, ūdens un auto transports;
• banku un finanšu tirgus infrastruktūras, piemēram, kredītiestādes, tirdzniecības vietu operatori un centrālie darījumu partneri;
• veselība, tostarp veselības aprūpes sniedzēji, farmaceitisko pamatvielu un kritiski svarīgu medicīnisko ierīču ražotāji un ES references laboratorijas;
• dzeramais ūdens;
• notekūdeņi;
• digitāla infrastruktūra, tostarp datu centru pakalpojumu sniedzēji, mākoņpakalpojumu sniedzēji, publisko elektronisko sakaru tīklu nodrošinātāji un publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji;
• IKT pakalpojumu pārvaldība (uzņēmumu darījumi ar uzņēmumiem);
• kosmoss;
• valsts pārvalde centrālajā un reģionālajā līmenī, izņemot tiesu iestādes, parlamentus un centrālās bankas, taču tas neattiecas uz valsts pārvaldes struktūrām, kas veic darbības valsts drošības, sabiedriskās drošības, aizsardzības vai tiesībaizsardzības jomā.

Tā attiecas arī uz citām kritiskajām nozarēm, kas noteiktas II pielikumā:

• pasta un kurjeru pakalpojumi;
• atkritumu apsaimniekošana;
• ķimikāliju izgatavošana, ražošana un izplatīšana;
• pārtikas ražošana, pārstrāde un izplatīšana;
• ražošana, proti, medicīnisko ierīču, elektronisko un optisko produktu, dažu veidu elektrisko iekārtu un mehānismu, motorizēto transportlīdzekļu un citu transporta iekārtu ražošana;
• tiešsaistes tirdzniecības vietu, meklētājprogrammu un sociālo tīklu digitālo pakalpojumu sniedzēji;
• pētniecības organizācijas.

Valsts kiberdrošības stratēģija

Katrai dalībvalstij jāpieņem valsts stratēģija, lai panāktu un uzturētu augstu kiberdrošības līmeni kritiskajās nozarēs, tajā skaitā:

• pārvaldības satvars, kurā precizētas attiecīgo ieinteresēto personu lomas un pienākumi valsts līmenī;
• politika, kas attiecas uz piegādes ķēžu drošību;
• ievainojamību pārvaldības politika;
• politika attiecībā uz kiberdrošības izglītības un apmācības veicināšanu un attīstību un
• pasākumi, lai uzlabotu iedzīvotāju informētību par kiberdrošību.

Dalībvalstīm līdz 2025. gada 17. aprīlim ir jāizveido būtisku un svarīgu vienību saraksts, kā arī subjekti, kas sniedz domēna vārdu reģistrācijas pakalpojumus. Tām šis saraksts ir regulāri un pēc tam vismaz reizi divos gados jāpārskata un vajadzības gadījumā jāatjaunina. Eiropas Komisija ir pieņēmusi pamatnostādnes par informāciju, kas jāapkopo, veidojot šos sarakstus, kā arī veidni, ar kuras palīdzību to izdarīt.

Komisija ir arī izdevusi pamatnostādnes, precizējot noteikumus par saistību starp Direktīvu (ES) 2022/2555 un pašreizējiem un turpmākajiem nozares ES tiesību aktiem, kas attiecas uz kiberdrošības riska pārvaldības pasākumiem vai ziņošanas par incidentiem prasībām. Pamatnostādņu pielikumā ir sniegts nepilnīgs to nozares tiesību aktu saraksts, par kuriem Komisija uzskata, ka tie ietilpst Direktīvas (ES) 2022/2555 darbības jomā.

Datordrošības incidentu reaģēšanas vienības

Datordrošības incidentu reaģēšanas vienības (CSIRT) sniedz tehnisko palīdzību vienībām, tajā skaitā:

• veicot kiberdraudu, ievainojamību un incidentu uzraudzību un analīzi valsts līmenī;
• nodrošinot agrīnu brīdinājumu, trauksmju, paziņojumu sniegšanu un informācijas izplatīšanu attiecīgajām vienībām, kā arī citām attiecīgām ieinteresētajām personām par kiberdraudiem, ievainojamībām un incidentiem, ja iespējams – gandrīz reāllaikā;
• reaģējot uz incidentiem un vajadzības gadījumā sniedzot palīdzību;
• vācot un analizējot kriminālistikas datus un nodrošinot risku un incidentu dinamisku analīzi, kā arī nodrošinot situācijas apzināšanu attiecībā uz kiberdrošību;
• pēc pieprasījuma nodrošinot proaktīvu tīklu un informācijas sistēmu skenēšanu, lai atklātu ievainojamības ar potenciāli būtisku ietekmi.

CSIRT tīkls

Ar direktīvu tiek izveidots valstu CSIRT tīkls, lai veicinātu ātru un efektīvu operatīvo sadarbību.

Koordinēta ievainojamību izpaušana

Dalībvalstis:

• norīko vienu no savām CSIRT, lai koordinētu IKT produktos vai pakalpojumos atklāto ievainojamību izpaušanu;
• nodrošina, ka cilvēki dalībvalstīs var anonīmi ziņot par ievainojamībām, ja tas tiek prasīts.

Eiropas Savienības Kiberdrošības aģentūra (ENISA) izstrādās un uzturēs ievainojamību datubāzi.

Sadarbības grupa

Ar direktīvu tiek izveidota sadarbības grupa, lai atbalstītu un veicinātu stratēģisko sadarbību un informācijas apmaiņu. Tās sastāvā ir dalībvalstu, Komisijas un ENISA pārstāvji. Vajadzības gadījumā sadarbības grupa var uzaicināt Eiropas Parlamentu un attiecīgo ieinteresēto personu pārstāvjus piedalīties tās darbā.

Eiropas Kiberkrīžu sadarbības organizāciju tīkls

Eiropas Kiberkrīžu sadarbības organizāciju tīkls (EU-CyCLONE) ir tīkls, kurā ietilpst dalībvalstu kiberkrīžu pārvaldības iestāžu pārstāvji, kā arī Komisija gadījumos, kad iespējamam vai notiekošam liela mēroga kiberdrošības incidentam ir vai varētu būt būtiska ietekme nozarēs, uz kurām attiecas direktīva. Citos gadījumos Komisija tīkla darbībās piedalīsies novērotāja statusā.

Tīkls atbalsta plašapmēra kiberdrošības incidentu un krīžu koordinētu pārvaldību operatīvā līmenī un nodrošina regulāru informācijas apmaiņu starp dalībvalstīm un ES iestādēm, struktūrām un aģentūrām.

Tīklam cita starpā ir šādi uzdevumi:

• koordinēt plašapmēra kiberdrošības incidentu un krīžu pārvaldību un atbalstīt lēmumu pieņemšanu politiskā līmenī;
• paaugstināt sagatavotības līmeni;
• veidot vienotu situācijas izpratni;
• izvērtēt plašapmēra kiberdrošības incidentu un krīžu sekas un ietekmi un ierosināt iespējamos risku mazinošus pasākumus.

Ziņojumu sniegšana

Vienībām ir jāziņo savai CSIRT vai attiecīgajai iestādei par jebkuru incidentu, kas:

• ir izraisījis vai spēj izraisīt smagus pakalpojumu darbības traucējumus vai finansiālus zaudējumus attiecīgajai vienībai;
• ir ietekmējis vai varētu ietekmēt citus, nodarot ievērojamus materiālos vai nemateriālos zaudējumus.

Turklāt ENISA sadarbībā ar Komisiju un sadarbības grupu reizi divos gados sagatavos ziņojumu par kiberdrošības stāvokli ES, kas tiks iesniegts arī Parlamentam.

Uzraudzība un izpildes panākšana

Direktīvā ir paredzēti pasākumi un sankcijas, lai nodrošinātu tās izpildi.

Salīdzinošā izvērtēšana

Salīdzinošās izvērtēšanas tiek veiktas, lai mācītos no kopīgās pieredzes, stiprinātu savstarpēju uzticēšanos, sasniegtu augstu kopējo kiberdrošības līmeni un uzlabotu dalībvalstu kiberdrošības spējas un politiku, kas nepieciešama šīs direktīvas īstenošanai. Šīs izvērtēšanas ietver fiziskus vai virtuālus apmeklējumus klātienē un informācijas apmaiņu no tālienes. Dalība salīdzinošajā izvērtēšanā ir brīvprātīga.

KOPŠ KURA LAIKA ŠIE NOTEIKUMI IR PIEMĒROJAMI?

Direktīva valstu tiesību aktos ir jātransponē līdz 2024. gada 17. oktobrim. Noteikumi ir jāpiemēro no 2024. gada 18. oktobra.

KONTEKSTS

Ar direktīvu atceļ Direktīvu (ES) 2016/1148 (skatīt kopsavilkumu) no 2024. gada 18. oktobra.

Plašāka informācija:

• Kiberdrošība (Eiropas Komisija);
• Kiberdrošība:kā ES novērš kiberdraudus (Eiropadome, Eiropas Savienības Padome);
• Kā ES reaģē uz krīzēm un veido noturību (Eiropadome, Eiropas Savienības Padome);
• Digitāla nākotne Eiropai (Eiropadome, Eiropas Savienības Padome).

PAMATDOKUMENTS

Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, 27.12.2022., 80.–152. lpp.).

Direktīvas (ES) 2022/2555 turpmākie grozījumi ir iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai dokumentāla vērtība.

SAISTĪTIE DOKUMENTI

Komisijas Paziņojums Komisijas vadlīnijas par to, kā piemērojams Direktīvas (ES) 2022/2555 (TID 2 direktīvas) 3. panta 4. punkts 2023/C 324/02 (OV L 324, 14.9.2023., 2.–7. lpp.).

Komisijas Paziņojums Komisijas vadlīnijas par to, kā piemērojams Direktīvas (ES) 2022/2555 (TID 2 direktīvas) 4. panta 1. un 2. punkts 2023/C 328/02 (OV L 328, 18.9.2023., 2.–10. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 (2022. gada 14. decembris) par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, 27.12.2022., 1.–79. lpp.).

Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2557 (2022. gada 14. decembris) par kritisko vienību noturību un Padomes Direktīvas 2008/114/EK atcelšanu (OV L 333, 27.12.2022., 164.–198. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2021/696 (2021. gada 28. aprīlis), ar ko izveido Savienības kosmosa programmu un Eiropas Savienības Kosmosa programmas aģentūru un atceļ Regulas (ES) Nr. 912/2010, (ES) Nr. 1285/2013 un (ES) Nr. 377/2014 un Lēmumu Nr. 541/2014/ES (OV L 170, 12.5.2021., 69.–148. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2021/694 (2021. gada 29. aprīlis), ar ko izveido programmu “Digitālā Eiropa” un atceļ Lēmumu (ES) 2015/2240 (OV L 166, 11.5.2021., 1.–34. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (ES) 2019/881 (2019. gada 17. aprīlis) par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, 7.6.2019., 15.–69. lpp.).

Komisijas Ieteikums (ES) 2019/534 (2019. gada 26. marts) 5G tīklu kiberdrošība (OV L 88, 29.3.2019., 42.–47. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2018/1139 (2018. gada 4. jūlijs) par kopīgiem noteikumiem civilās aviācijas jomā un ar ko izveido Eiropas Savienības Aviācijas drošības aģentūru, un ar ko groza Eiropas Parlamenta un Padomes Regulas (EK) Nr. 2111/2005, (EK) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 un Direktīvas 2014/30/ES un 2014/53/ES un atceļ Eiropas Parlamenta un Padomes Regulas (EK) Nr. 552/2004 un (EK) Nr. 216/2008 un Padomes Regulu (EEK) Nr. 3922/91 (OV L 212, 22.8.2018., 1.–122. lpp.).

Skatīt konsolidēto versiju.

Padomes Īstenošanas lēmums (ES) 2018/1993 (2018. gada 11. decembris) par ES integrētajiem krīzes situāciju politiskās reaģēšanas mehānismiem (OV L 320, 17.12.2018., 28.–34. lpp.).

Eiropas Parlamenta un Padomes Direktīva (ES) 2018/1972 (2018. gada 11. decembris) par Eiropas Elektronisko sakaru kodeksa izveidi (pārstrādāta redakcija) (OV L 321, 17.12.2018., 36.–214. lpp.).

Skatīt konsolidēto versiju.

Komisijas Ieteikums (ES) 2017/1584 (2017. gada 13. septembris) par koordinētu reaģēšanu uz plašapmēra kiberdrošības incidentiem un krīzēm (OV L 239, 19.9.2017., 36.–58. lpp.).

Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1.–88. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 (2014. gada 23. jūlijs) par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (OV L 257, 28.8.2014., 73.–114. lpp.).

Eiropas Parlamenta un Padomes Direktīva 2013/40/ES (2013. gada 12. augusts) par uzbrukumiem informācijas sistēmām, un ar kuru aizstāj Padomes Pamatlēmumu 2005/222/TI (OV L 218, 14.8.2013., 8.–14. lpp.).

Eiropas Parlamenta un Padomes Lēmums Nr. 1313/2013/ES (2013. gada 17. decembris) par Savienības civilās aizsardzības mehānismu (OV L 347, 20.12.2013., 924.–947. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Direktīva 2011/93/ES (2011. gada 13. decembris) par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, un ar kuru aizstāj Padomes Pamatlēmumu 2004/68/TI (OV L 335, 17.12.2011., 1.–14. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Regula (EK) Nr. 300/2008 (2008. gada 11. marts) par kopīgiem noteikumiem civilās aviācijas drošības jomā un ar ko atceļ Regulu (EK) Nr. 2320/2002 (OV L 97, 9.4.2008., 72.–84. lpp.).

Skatīt konsolidēto versiju.

Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, 31.7.2002., 37.–47. lpp.).

Skatīt konsolidēto versiju.

Pēdējo reizi atjaunots: 03.05.2024