Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Summaries of EU Legislation

Tīklu un drošības sistēmu kiberdrošība

Date of last review:
01/03/2018
Author:
Eiropas Savienības Publikāciju birojs
Responsible entity(ies):
Komunikācijas tīklu, satura un tehnoloģiju ģenerāldirektorāts
Summarised document(s):

Tīklu un drošības sistēmu kiberdrošība

 

KOPSAVILKUMS:

Direktīva (ES) 2016/1148 — tīklu un informācijas sistēmu kiberdrošība

KĀDS IR ŠĪS DIREKTĪVAS MĒRĶIS?

Tajā ir aprakstīts plašs pasākumu kopums, kas pastiprina tīklu un informācijas sistēmu drošības līmeni (kiberdrošību*), lai nostiprinātu ES ekonomikai un sabiedrībai būtiskus pakalpojumus. Tās mērķis ir nodrošināt, ka ES valstis ir labi sagatavojušās un gatavas reaģēt uz kiberuzbrukumiem un pārvarēt tos:

Tajā arī ir aprakstīta sadarbība ES līmenī gan stratēģiskā, gan tehniskā līmenī.

Visbeidzot, tajā ir izklāstīts pienākums būtiskiem pakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem veikt atbilstošos drošības pasākumus un informēt attiecīgās valsts iestādes par nopietniem gadījumiem.

SVARĪGĀKIE ASPEKTI

Valsts kiberdrošības iespēju uzlabošana

ES valstīm ir pienākums:

  • nozīmēt vienu vai vairākas valstu kompetentās iestādes un CSIRT un norādīt vienotu kontaktpunktu (ja ir vairāk nekā viena kompetentā iestāde);
  • noteikt būtisko pakalpojumu sniedzējus svarīgos sektoros, piemēram, enerģijas, transporta, finanšu, bankas, veselības, ūdens un digitālās infrastruktūras, kur kiberuzbrukums varētu kavēt būtiska pakalpojuma nodrošināšanu.

ES valstīm ir arī jāievieš tīklu un informācijas sistēmu* valsts kiberdrošības stratēģija, kurā ietverti šādi jautājumi:

  • sagatavošanās un gatavība reaģēt uz kiberuzbrukumiem un pārvarēt tos,
  • valdības un citu iestāžu lomas, pienākumi un sadarbība,
  • izglītošanas, informētības uzlabošanas un apmācību programmas,
  • izpētes un attīstības plānošana,
  • riska noteikšanas plānošana.

Valstu kompetentās iestādes uzrauga direktīvas ievērošanu:

  • novērtējot būtisko pakalpojumu sniedzēju kiberdrošību un drošības politikas,
  • uzraugot digitālo pakalpojumu sniedzējus,
  • piedaloties sadarbības grupu (kas ietver tīklu un informācijas drošības (NIS) kompetentās iestādes no katras ES dalībvalsts, Eiropas Komisiju un Eiropas Savienības Tīklu un informācijas drošības aģentūru (ENISA)) darbā;
  • informējot sabiedrību, kad nepieciešams, lai novērstu incidentu vai pārvarētu esošu incidentu, ievērojot konfidencialitāti,
  • izdodot saistošus norādījumus par to, kā koriģēt kiberdrošības trūkumus.

CSIRT ir pienākums:

  • uzraudzīt kiberdrošības incidentus un reaģēt uz tiem,
  • sniegt riska analīzi un incidentu analīzi un informēt par situāciju,
  • piedalīties CSIRT tīklā,
  • sadarboties ar privāto sektoru,
  • veicināt standartizētas prakses izmantošanu incidentu un riska pārvarēšanā un informācijas klasifikācijā.

Drošības un paziņošanas prasības

Direktīvas mērķis ir veicināt riska pārvaldības kultūru. Uzņēmumiem, kas darbojas galvenajos sektoros, ir jānovērtē risks, kādu tie uzņemas, un jāpielāgo pasākumu kiberdrošības garantēšanai. Šiem uzņēmumiem ir jāinformē kompetentās iestādes un CSIRT par visiem saistošajiem incidentiem, piemēram, sistēmu uzlaušanu un datu zādzību, kas nopietni apdraud kiberdrošību un graujoši ietekmē būtisko pakalpojumu un preču piegādes turpmāko nodrošinājumu.

Lai noteiktu incidentus, par kādiem būtisko pakalpojumu* sniedzējiem ir jāinformē, ES valstīm ir jānosaka incidenta ilgums un ģeogrāfiskā izplatīšanās, kā arī citi faktori, piemēram, lietotāju skaits, kas paļaujas uz pakalpojumu.

Galvenajiem digitālo pakalpojumu sniedzējiem (meklētājprogrammas, mākoņskaitļošanas pakalpojumi un interneta tirgus vietas) arī būs jāievēro drošības un paziņošanas prasības.

Sadarbības ES līmenī uzlabošana

Ar direktīvu nosaka sadarbības grupu, kuras uzdevumi ir šādi:

  • sniegt norādes CSIRT tīklam,
  • sniegt labāko pieredzi būtisko pakalpojumu sniedzēju identifikācijā,
  • palīdzēt ES valstīm izstrādāt kiberdrošības iespējas,
  • sniegt informāciju un labāko praksi informētības uzlabošanā un apmācībā, izpētē un attīstībā,
  • sniegt informāciju un apkopot labāko praksi par risku un incidentiem,
  • apspriest incidentu paziņošanas modalitātes.

Ar to nosaka arī CSIRT tīklu, kas ietver ES dalībvalstu CSIRT pārstāvjus un datorsistēmu drošības incidentu reaģēšanas komandas (CERT-EU). Tās uzdevumi:

  • sniegt informāciju par CSIRT pakalpojumiem,
  • sniegt informāciju par kiberdrošības incidentiem,
  • atbalstīt ES dalībvalstis, kas reaģē uz pārrobežu incidentiem,
  • apspriest un noteikt koordinētu atbildi uz incidentu, par kuru ziņojusi ES,
  • apspriest, izpētīt un noteikt turpmākās sadarbības formas, tostarp:
    • riska un incidentu kategorijas,
    • agrīnos brīdinājumus,
    • abpusējo palīdzību,
    • koordinēt darbu starp dalībvalstīm, kas reaģē uz risku un incidentiem, kas skar vairāk nekā vienu ES dalībvalsti,
  • informēt sadarbības grupu par tās darbībām un pieprasīt norādes,
  • apspriest no kiberdrošības uzdevumiem apgūto,
  • pēc individuālās CSIRT pieprasījuma apspriest tās iespējas,
  • izsniegt norādes par sadarbību.

Sodi

ES dalībvalstīm ir jāievieš efektīvi, proporcionāli un atturoši sodi, lai garantētu šīs direktīvas nosacījumu ievērošanu.

KOPŠ KURA LAIKA DIREKTĪVA IR PIEMĒROJAMA?

Tā ir piemērojama kopš 2016. gada 8. augusta. ES valstu tiesību aktos tā ir jāiekļauj līdz 2018. gada 9. maijam, un būtisko pakalpojumu sniedzēji ir jānosaka līdz 2018. gada 9. novembrim.

KONTEKSTS

GALVENIE TERMINI

Kiberdrošība: tīklu un informācijas sistēmu spēju pretoties darbībai, kas apdraud digitālo datu vai pakalpojumu, ko šādas sistēmas nodrošina, pieejamību, autentifikāciju, integritāti un konfidencialitāti.
Tīkls un informācijas sistēma: elektronisks sakaru tīkls vai kāda ierīce vai starpsavienotu ierīču grupa, kas apstrādā digitālos datus, kā arī uzglabā, apstrādā, izgūst vai pārsūta digitālos datus.
Būtiskie pakalpojumi: privātie uzņēmumi vai publikas organizācijas ar svarīgu lomu sabiedrībā un ekonomikā, piemēram, ūdensapgādes, elektrības pakalpojumu sniedzēji utt.

PAMATDOKUMENTS

Eiropas Parlamenta un Padomes Direktīva 2016/1148 (2016. gada 6. jūlijs) par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (OV L 194, 19.7.2016., 1.–30. lpp.)

SAISTĪTIE DOKUMENTI

Komisijas Īstenošanas regula (ES) 2018/151 (2018. gada 30. janvāris) ar ko paredz noteikumus Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/1148 piemērošanai attiecībā uz tādu elementu precizēšanu, kuri jāņem vērā digitālo pakalpojumu sniedzējiem, lai pārvaldītu riskus, kas tiek radīti tīklu un informācijas sistēmu drošībai, un tādu rādītāju precizēšanu, kuri jāņem vērā, lai noteiktu, vai incidentam ir būtiska ietekme (OV L 26, 31.1.2018., 48.–51. lpp.)

Komisijas Īstenošanas lēmums (ES) 2017/179 (2017. gada 1. februāris), ar ko saskaņā ar Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā 11. panta 5. punktu nosaka Sadarbības grupas darbībai nepieciešamos procedūras noteikumus (OV L 28, 2.2.2017., 73.–77. lpp.)

Komisijas paziņojums Eiropas Parlamentam un Padomei: Maksimāla NIS izmantošana — par Direktīvas (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā efektīvu ieviešanu (COM(2017) 476 final 2, 4.10.2017.)

Komisijas Ieteikums (ES) 2017/1584 (2017. gada 13. septembris) par koordinētu reaģēšanu uz plašapmēra kiberdrošības incidentiem un krīzēm (OV L 239, 19.9.2017., 36.–58. lpp.)

Kopīgs paziņojums Eiropas Parlamentam un Padomei — Noturība, preventīvie pasākumi un aizsardzība: Spēcīgas ES kiberdrošības izveide (JOIN(2017) 450 final, 13.9.2017.)

Komisijas dienestu darba dokuments — 2013. gada ES kiberdrošības stratēģijas novērtējums (SWD(2017) 295 final, 13.9.2017.)

Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 (2014. gada 23. jūlijs) par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (OV L 257, 28.8.2014., 73.–114. lpp.)

Padomes Lēmums 2013/488/ES (2013. gada 23. septembris) par drošības noteikumiem ES klasificētas informācijas aizsardzībai (OV L 274, 15.10.2013., 1.–50. lpp.).

Lēmuma 2013/488/ES turpmākie grozījumi ir iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai dokumentāla vērtība.

Eiropas Parlamenta un Padomes Direktīva 2013/40/ES (2013. gada 12. augusts) par uzbrukumiem informācijas sistēmām, un ar kuru aizstāj Padomes Pamatlēmumu 2005/222/TI (OV L 218, 14.8.2013., 8.–14. lpp.)

Eiropas Parlamenta un Padomes Regula (ES) 526/2013 (2013. gada 21. maijs) par Eiropas Savienības Tīklu un informācijas drošības aģentūru (ENISA) un ar ko atceļ Regulu (EK) Nr. 460/2004 (OV L 165, 18.6.2013., 41.–58. lpp.)

Kopīgais paziņojums Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai — Eiropas Savienības kiberdrošības stratēģija: Atvērta un droša kibertelpa (JOIN(2013) 1 final, 7.2.2013)

Pēdējo reizi atjaunots: 01.03.2018

Top