iStock photo Getty images Plus
Taisyklėmis bus užtikrinta saugesnė ir stipresnė Europa, nes bus gerokai išplėsti į jų taikymo sritį patenkantys sektoriai ir subjektų rūšys ir sugriežtinti įmonėms taikomi saugumo reikalavimai.
Pastarojo meto grėsmės padidino poreikį greitai ir kartu stiprinti ES kibernetinį saugumą siekiant apsaugoti piliečius ir įmones. Taip pat labai svarbu, kad ypatingos svarbos sektoriai ir infrastruktūra išliktų saugūs ir atsparūs. Sprendžiant šiuos uždavinius, TIS 2 direktyva pakeičiamos tinklų ir informacinių sistemų saugumo taisyklės (TIS direktyva), kurios buvo pirmasis ES masto teisės aktas dėl kibernetinio saugumo, kuriuo sudarytos sąlygos taikyti novatoriškesnį reguliavimo požiūrį į kibernetinį saugumą daugelyje valstybių narių.
Papildomų svarbių sektorių apsauga
Dėl didesnio tam tikrų sektorių sujungimo ir skaitmeninimo didėja kibernetinės grėsmės. Užtikrinus, kad daugiau sektorių ir subjektų turėtų imtis kibernetinio saugumo rizikos valdymo priemonių, Europoje padidės kibernetinio saugumo lygis. TIS 2 direktyva dabar apima papildomus sektorius, kurie yra itin svarbūs ekonomikai ir visuomenei, įskaitant viešųjų elektroninių ryšių tinklų ir paslaugų, duomenų centrų paslaugų, nuotekų ir atliekų tvarkymo, ypatingos svarbos produktų gamybos, pašto ir kurjerių paslaugų ir viešojo administravimo subjektus teikėjus. Taisyklės taip pat taikomos sveikatos priežiūros sektoriui platesniu mastu, pavyzdžiui, įtraukiant vaistų mokslinius tyrimus ir technologinę plėtrą arba farmacijos produktų gamybą. Valstybės narės turės tam tikrą veiksmų laisvę nustatydamos mažesnius didelio saugumo lygio subjektus, kurie turėtų būti įtraukti į direktyvos taikymo sritį.
Griežtesni saugumo reikalavimai įmonėms
TIS 2 direktyva taip pat sugriežtinami kibernetinio saugumo rizikos valdymo reikalavimai, kurių įmonės privalo laikytis. Kaip ir pagal TIS direktyvą, įmonės turės imtis tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių, kad galėtų valdyti kibernetinio saugumo riziką, užkirsti kelią galimiems incidentams ir kuo labiau sumažinti jų poveikį. Šis reikalavimas tampa daug konkretesnis pagal TIS 2, pateikiant tikslinių priemonių sąrašą, įskaitant, be kita ko, reagavimą į incidentus ir krizių valdymą, pažeidžiamumo valdymą ir atskleidimą, politiką ir procedūras, skirtas kibernetinio saugumo rizikos valdymo priemonių veiksmingumui įvertinti, arba kibernetinio saugumo higieną ir mokymą.
Siekiant padėti didinti keitimąsi informacija ir bendradarbiavimą kibernetinių krizių valdymo srityje tiek nacionaliniu, tiek ES lygmenimis, direktyva supaprastinamos prievolės pranešti apie incidentus, nustatant tikslesnes nuostatas dėl pranešimų teikimo, turinio ir tvarkaraščio. Be to, nacionalinėms institucijoms taikomos griežtesnės priežiūros priemonės, taip pat griežtesni vykdymo užtikrinimo reikalavimai, taip pat administracinių sankcijų sąrašas, įskaitant baudas už kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo pareigų pažeidimą.
Tolesni veiksmai:
Valstybės narės turės per 21 mėnesį perkelti TIS 2 direktyvą į nacionalinę teisę. Per šį laikotarpį valstybės narės priima ir paskelbia priemones, būtinas, kad būtų laikomasi šios direktyvos.
2022 m. gruodžio mėn. Taryba priėmė rekomendaciją dėl Sąjungos masto koordinavimo metodo ypatingos svarbos infrastruktūros objektų atsparumui didinti, kurioje valstybių narių prašoma paspartinti TIS 2 ir Direktyvos dėl ypatingos svarbos subjektų atsparumo perkėlimo į nacionalinę teisę ir taikymo parengiamąjį darbą.
Ginčo aplinkybės
Kibernetinis saugumas yra Komisijos prioritetas ir skaitmeninės ir sujungtos Europos kertinis akmuo.
2016 m. įsigaliojęs pirmasis ES masto kibernetinio saugumo įstatymas – TIS direktyva – padėjo pasiekti bendrą aukštą tinklų ir informacinių sistemų saugumo lygį visoje ES. TIS direktyva apėmė kelis sektorius, įskaitant energetikos, transporto, bankininkystės ir finansų, sveikatos, geriamojo vandens tiekimo ir paskirstymo sektorius, taip pat skaitmeninę infrastruktūrą. Ji taip pat apėmė skaitmeninių paslaugų teikėjus, visų pirma debesijos paslaugų teikėjus, internetines prekyvietes ir interneto paieškos sistemas.
2020 m. gruodžio mėn. Komisija, siekdama savo pagrindinio politikos tikslo – padaryti Europą prie skaitmeninio amžiaus prisitaikiusią Europą, pasiūlė peržiūrėti TIS direktyvą. ES kibernetinio saugumo aktu, kuris galioja nuo 2019 m., nustatyta Europos produktų, paslaugų ir procesų kibernetinio saugumo sertifikavimo sistema ir sustiprinti ES kibernetinio saugumo agentūros (ENISA) įgaliojimai. 2022 m. rugsėjo mėn. Komisija priėmė pasiūlymą dėl kibernetinio atsparumo akto, kuriuo nustatomi skaitmeninio elemento, apimančio ir aparatinę, ir programinę įrangą, kibernetinio saugumo reikalavimai.