Direktīvā (ES) 2022/2555, kas pazīstama kā TID 2 direktīva, ir noteikts kopējs kiberdrošības tiesiskais regulējums, kura mērķis ir paaugstināt kiberdrošības līmeni Eiropas Savienībā (ES), pieprasot ES dalībvalstīm stiprināt kiberdrošības spējas un ieviest kiberdrošības riska pārvaldības pasākumus un ziņošanu kritiskās nozarēs, kā arī noteikumus par sadarbību, informācijas apmaiņu, uzraudzību un izpildi.
SVARĪGĀKIE ASPEKTI
Kiberdrošība ir darbības, kas nepieciešamas, lai aizsargātu tīkla un informācijas sistēmas, šo sistēmu lietotājus un citus cilvēkus, kurus ietekmē kiberdraudi.
Kritiskās nozares
Šī direktīva galvenokārt attiecas uz vidējiem un lieliem uzņēmumiem, kas darbojas šādās sevišķi kritiskās nozarēs, kā noteikts tās I pielikumā:
enerģētika:
elektroenerģija, tostarp ražošanas, sadales un pārvades sistēmas un uzlādes punkti,
centralizēta siltumapgāde un aukstumapgāde,
nafta,, tostarp ražošana, uzglabāšana un pārvade cauruļvados,
gāze, tostarp piegādes, sadales un pārvades sistēmās un uzglabāšanā, un
ūdeņradis;
transports pa gaisu, dzelzceļu, ūdeni un autoceļiem;
banku pakalpojumi un finanšu tirgu infrastruktūras, piemēram, kredītiestādes, tirdzniecības vietu operatori un centrālie darījumu partneri;
veselība,, tostarp veselības aprūpes pakalpojumu sniedzēji, farmaceitisko pamatproduktu un kritisko medicīnas ierīču ražotāji un ES references laboratorijas;
dzeramais ūdens;
notekūdeņi;
digitālā infrastruktūra, tostarp datu centru pakalpojumi, mākoņdatošanas pakalpojumi, publisko elektronisko sakaru tīklu un publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji;
IKT pārvaldīti pakalpojumi (uzņēmumu darījumi ar uzņēmumiem);
kosmoss;
valsts pārvalde centrālā un reģionālā līmenī, izņemot tiesu iestādes, parlamentus un centrālās bankas; direktīva neattiecas uz valsts pārvaldes iestādēm, kas veic darbības valsts drošības, sabiedrības drošības, aizsardzības vai tiesībaizsardzības jomā.
Tā attiecas arī uz citām kritiskajām nozarēm, kas noteiktas II pielikumā:
pasta un kurjeru pakalpojumi;
atkritumu apsaimniekošana;
ķimikāliju izgatavošana, ražošana un izplatīšana;
pārtikas ražošana, pārstrāde un izplatīšana;
ražošana,, jo īpaši medicīnisko ierīču, datoru, elektronisko un optisko izstrādājumu, dažu veidu elektrisko iekārtu un mašīnu, mehānisko transportlīdzekļu un citu transporta līdzekļu ražošana;
tiešsaistes tirdzniecības vietu, meklētājprogrammu un sociālo tīklu digitālo pakalpojumu sniedzēji;
pētniecības organizācijas.
Valsts kiberdrošības stratēģija
Katrai dalībvalstij jāpieņem valsts stratēģija, lai panāktu un uzturētu augstu kiberdrošības līmeni kritiskajās nozarēs, tajā skaitā:
pārvaldības sistēma, kas precizē attiecīgo ieinteresēto personu lomas un pienākumus valsts līmenī;
politika, kas attiecas uz piegādes ķēžu drošību;
politika par vājo vietu pārvaldību;
politika par kiberdrošības izglītības un apmācības veicināšanu un attīstīšanu; un
pasākumi, lai uzlabotu iedzīvotāju informētību par kiberdrošību.
Dalībvalstīm līdz ir jāizveido būtisku un svarīgu vienību saraksts, kā arī vienību, kas sniedz domēna vārdu reģistrācijas pakalpojumus, saraksts. Tām šis saraksts regulāri jāpārskata un vajadzības gadījumā jāatjaunina, bet pēc tam tas jādara vismaz reizi divos gados. Eiropas Komisija ir pieņēmusi pamatnostādnes attiecībā uz informāciju, kas jāsavāc, veidojot šos sarakstus, kā arī veidni, kur to darīt.
Komisija ir publicējusi arī vadlīnijas, kurās precizēti noteikumi par saistību starp Direktīvu (ES) 2022/2555 un spēkā esošajiem un turpmākajiem nozaru ES tiesību aktiem, kas attiecas uz kiberdrošības riska pārvaldības pasākumiem vai prasībām ziņot par incidentiem. Vadlīniju pielikumā sniegts nepilnīgs saraksts ar nozaru tiesību aktiem, kurus Komisija uzskata par tādiem, uz kuriem attiecas Direktīvas (ES) 2022/2555 4. pants.
Datordrošības incidentu reaģēšanas grupas (CSIRT) sniedz tehnisko palīdzību iestādēm, tostarp:
uzraugot un analizējot kiberdraudus, ievainojamības un incidentus valsts līmenī;
sniedzot agrīnus brīdinājumus, brīdinājumus, paziņojumus un informāciju attiecīgajām struktūrām un citām ieinteresētajām personām par kiberdraudiem, vājajā vietām un incidentiem, ja iespējams, gandrīz reāllaikā;
reaģējot uz incidentiem un vajadzības gadījumā sniedzot palīdzību;
vācot un analizējot kriminālistikas datus un nodrošinot risku un incidentu dinamisku analīzi, kā arī nodrošinot situācijas apzināšanu attiecībā uz kiberdrošību;
pēc pieprasījuma nodrošinot proaktīvu tīklu un informācijas sistēmu skenēšanu, lai atklātu vājās vietas ar potenciāli būtisku ietekmi.
CSIRT tīkls
Ar direktīvu tiek izveidots valstu CSIRT tīkls, lai veicinātu ātru un efektīvu operatīvo sadarbību.
Ar direktīvu tiek izveidota sadarbības grupa, lai atbalstītu un veicinātu stratēģisko sadarbību un informācijas apmaiņu. Tās sastāvā ir dalībvalstu, Komisijas un ENISA pārstāvji. Vajadzības gadījumā sadarbības grupa var uzaicināt Eiropas Parlamentu un attiecīgo ieinteresēto personu pārstāvjus piedalīties tās darbā.
Eiropas Kiberkrīžu sadarbības organizāciju tīklu (EU-CyCLONe) veido dalībvalstu kiberkrīžu vadības iestāžu pārstāvji kopā ar Komisiju gadījumos, kad iespējamam vai notiekošam liela mēroga kiberdrošības incidentam ir vai varētu būt būtiska ietekme uz nozarēm, uz kurām attiecas šī direktīva. Citos gadījumos Komisija piedalīsies tīkla darbībās kā novērotāja.
Tīkls atbalsta liela mēroga kiberdrošības incidentu un krīžu koordinētu pārvaldību operatīvā līmenī un nodrošina regulāru informācijas apmaiņu starp dalībvalstīm un ES iestādēm, struktūrām, birojiem un aģentūrām.
Tīklam cita starpā ir šādi uzdevumi:
koordinēt plašapmēra kiberdrošības incidentu un krīžu pārvaldību un atbalstīt lēmumu pieņemšanu politiskā līmenī;
paaugstināt sagatavotības līmeni;
veidot vienotu situācijas izpratni;
izvērtēt plašapmēra kiberdrošības incidentu un krīžu sekas un ietekmi un ierosināt iespējamos risku mazinošus pasākumus.
Kiberdrošības riska pārvaldības pasākumi
Vienībām ir jāveic atbilstoši un samērīgi tehniskie, darbības un organizatoriskie kiberdrošības riska pārvaldības pasākumi. Pasākumu katalogs cita starpā ietver riska analīzi un informācijas sistēmu drošības politiku, incidentu risināšanu, darbības nepārtrauktību, darbības atjaunošanu pēc katastrofām un krīžu pārvaldību, piegādes ķēdes drošību, ievainojamību apstrādi un atklāšanu, higiēnas pamatpraksi, politiku un procedūras attiecībā uz kriptogrāfijas (un vajadzības gadījumā šifrēšanas) izmantošanu, cilvēkresursu drošību un daudzfaktoru autentifikācijas vai pastāvīgas autentifikācijas risinājumu izmantošanu. Šiem pasākumiem jābalstās uz pieeju visiem apdraudējumiem.
Pārvaldības iestādēm ir jāapstiprina šie pasākumi un jāuzrauga to īstenošana, un tās var tikt sauktas pie atbildības par pārkāpumiem.
Ziņošana
Vienībām ir jāziņo savai CSIRT vai attiecīgajai iestādei par jebkuru incidentu, kas:
ir izraisījuši vai var izraisīt nopietnus darbības traucējumus vai finansiālus zaudējumus struktūrai;
ir ietekmējuši vai varētu ietekmēt citus, radot ievērojamu materiālu vai nemateriālu kaitējumu.
Turklāt ENISA kopā ar Komisiju un sadarbības grupu reizi divos gados sagatavos ziņojumu par kiberdrošības stāvokli ES, kas tiks iesniegts arī Parlamentam.
Uzraudzība un izpildes panākšana
Direktīvā ir paredzēti pasākumi un sankcijas, lai nodrošinātu tās izpildi.
Salīdzinošā izvērtēšana
Salīdzinošās izvērtēšanas mērķis ir mācīties no kopīgas pieredzes, stiprināt savstarpēju uzticēšanos, panākt augstu kopēju kiberdrošības līmeni un uzlabot dalībvalstu kiberdrošības spējas un politiku, kas nepieciešama šīs direktīvas īstenošanai. Šīs izvērtēšanas ietver apmeklējumus uz vietas vai virtuālus apmeklējumus un informācijas apmaiņu ārpus uzņēmuma. Dalība salīdzinošajā izvērtēšanā ir brīvprātīga.
Īstenošanas regulā (ES) 2024/2690 ir paredzēti noteikumi Direktīvas (ES) 2022/2555 piemērošanai attiecībā uz kiberdrošības riska pārvaldības pasākumutehniskajām un metodoloģiskajām prasībām, kā arī precizēti gadījumi, kad incidents tiek uzskatīts par būtisku attiecībā uz:
domēnvārdu sistēmas pakalpojumu sniedzējiem,
augstākā līmeņa domēnvārdu reģistriem,
mākoņdatošanas pakalpojumu sniedzējiem,
datu centru pakalpojumu sniedzējiem,
satura piegādes tīklu nodrošinātājiem,
pārvaldītu pakalpojumu sniedzējiem,
pārvaldītu drošības pakalpojumu sniedzējiem,
tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālo tīklu pakalpojumu platformu nodrošinātājiem, un
uzticamības pakalpojumu sniedzējiem,
Atcelšana
Ar Direktīvu (ES) 2022/2555 no tika atcelta Direktīva (ES) 2016/1148 (skatīt kopsavilkumu), un ar Īstenošanas regulu (ES) 2024/2690 tika atcelta Īstenošanas regula (ES) 2018/151, kurā bija paredzēti Direktīvas (ES) 2016/1148 piemērošanas noteikumi.
KOPŠ KURA LAIKA ŠIE NOTEIKUMI IR PIEMĒROJAMI?
Direktīva bija jātransponē valsts tiesību aktos līdz . Noteikumi tiek piemēroti no .
Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (OV L 333, , 80.–152. lpp.).
Direktīvas (ES) 2022/2555 turpmākie grozījumi ir iekļauti pamattekstā. Šai konsolidētajai versijai ir tikai dokumentāla vērtība.
SAISTĪTIE DOKUMENTI
Komisijas Īstenošanas regula (ES) 2024/2690 (), kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES)2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (OV L, 2024/2690, ).
Komisijas Paziņojums Komisijas vadlīnijas par to, kā piemērojams Direktīvas (ES) 2022/2555 (TID 2 direktīvas) 3. panta 4. punkts 2023/C 324/02 (OV C 324, , 2.–7. lpp.).
Komisijas Paziņojums Komisijas vadlīnijas par to, kā piemērojams Direktīvas (ES) 2022/2555 (TID 2 direktīvas) 4. panta 1. un 2. punkts 2023/C 328/02 (OV C 328, , 2.–10. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) 2022/2554 () par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) 2016/1011 (OV L 333, , 1.–79. lpp.).
Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2557 () par kritisko vienību noturību un Padomes Direktīvas 2008/114/EK atcelšanu (OV L 333, , 164.–198. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) 2021/696 (), ar ko izveido Savienības kosmosa programmu un Eiropas Savienības Kosmosa programmas aģentūru un atceļ Regulas (ES) Nr. 912/2010, (ES) Nr. 1285/2013 un (ES) Nr. 377/2014 un Lēmumu Nr. 541/2014/ES (OV L 170, , 69.–148. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) 2021/694 (), ar ko izveido programmu “Digitālā Eiropa” un atceļ Lēmumu (ES) 2015/2240 (OV L 166, , 1.–34. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) 2019/881 () par ENISA (Eiropas Savienības Kiberdrošības aģentūra) un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju, un ar ko atceļ Regulu (ES) Nr. 526/2013 (Kiberdrošības akts) (OV L 151, , 15.–69. lpp.).
Komisijas Ieteikums (ES) 2019/534 () 5G tīklu kiberdrošība (OV L 88, , 42.–47. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) 2018/1139 () par kopīgiem noteikumiem civilās aviācijas jomā un ar ko izveido Eiropas Savienības Aviācijas drošības aģentūru, un ar ko groza Eiropas Parlamenta un Padomes Regulas (EK) Nr. 2111/2005, (EK) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 un Direktīvas 2014/30/ES un 2014/53/ES un atceļ Eiropas Parlamenta un Padomes Regulas (EK) Nr. 552/2004 un (EK) Nr. 216/2008 un Padomes Regulu (EEK) Nr. 3922/91 (OV L 212, , 1.–122. lpp.).
Eiropas Parlamenta un Padomes Direktīva (ES) 2018/1972 () par Eiropas Elektronisko sakaru kodeksa izveidi (pārstrādāta redakcija) (OV L 321, , 36.–214. lpp.).
Padomes Īstenošanas lēmums (ES) 2018/1993 () par ES integrētajiem krīzes situāciju politiskās reaģēšanas mehānismiem (OV L 320, , 28.–34. lpp.).
Komisijas Ieteikums (ES) 2017/1584 () par koordinētu reaģēšanu uz plašapmēra kiberdrošības incidentiem un krīzēm (OV L 239, , 36.–58. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) 2016/679 () par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, , 1.–88. lpp.).
Eiropas Parlamenta un Padomes Regula (ES) Nr. 910/2014 () par elektronisko identifikāciju un uzticamības pakalpojumiem elektronisko darījumu veikšanai iekšējā tirgū un ar ko atceļ Direktīvu 1999/93/EK (OV L 257, , 73.–114. lpp.).
Eiropas Parlamenta un Padomes Direktīva 2013/40/ES () par uzbrukumiem informācijas sistēmām, un ar kuru aizstāj Padomes Pamatlēmumu 2005/222/TI (OV L 218, , 8.–14. lpp.).
Eiropas Parlamenta un Padomes Lēmums Nr. 1313/2013/ES () par Savienības civilās aizsardzības mehānismu (OV L 347, , 924.–947. lpp.).
Eiropas Parlamenta un Padomes Direktīva 2011/93/ES () par seksuālas vardarbības pret bērniem, bērnu seksuālas izmantošanas un bērnu pornogrāfijas apkarošanu, un ar kuru aizstāj Padomes Pamatlēmumu 2004/68/TI (OV L 335, , 1.–14. lpp.).
Eiropas Parlamenta un Padomes Regula (EK) Nr. 300/2008 () par kopīgiem noteikumiem civilās aviācijas drošības jomā un ar ko atceļ Regulu (EK) Nr. 2320/2002 (OV L 97, , 72.–84. lpp.).
Eiropas Parlamenta un Padomes Direktīva 2002/58/EK () par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV L 201, , 37.–47. lpp.).