TIS 2 direktyva: tinklų ir informacinių sistemų apsauga

Kibernetinis saugumas apima tinklų ir informacinių sistemų (TIS), jų naudotojų ir kitų paveiktų asmenų apsaugą nuo kibernetinių incidentų ir grėsmių. Siekiant reaguoti į padidėjusį kibernetinių grėsmių poveikį Europai, Direktyva 2022/2555, dar žinoma kaip TIS 2, pakeitė ankstesnę Direktyvą 2016/1148 arba TIS 1. TIS 2 padidina bendrą ES užmojį kibernetinio saugumo srityje, nes išplečiama jo taikymo sritis, nustatomos aiškesnės taisyklės ir griežtesnės priežiūros priemonės. Jame reikalaujama, kad valstybės narės stiprintų savo kibernetinio saugumo pajėgumus, kartu nustatydamos rizikos valdymo priemones ir ataskaitų teikimo reikalavimus daugiau sektorių subjektams ir nustatydamos bendradarbiavimo, dalijimosi informacija, priežiūros ir kibernetinio saugumo priemonių vykdymo užtikrinimo taisykles.

Direktyvoje nustatyta, kad kiekviena valstybė narė turi priimti nacionalinę kibernetinio saugumo strategiją, kuri apima tiekimo grandinės saugumo, pažeidžiamumo valdymo ir švietimo bei informuotumo kibernetinio saugumo klausimais politiką. Valstybės narės taip pat turi sudaryti ir reguliariai atnaujinti esminių paslaugų operatorių sąrašą, užtikrindamos, kad šie subjektai laikytųsi direktyvos reikalavimų.

Be sektorių, kurie jau įtraukti į TIS 1 (energetika, transportas, sveikatos priežiūra, finansai, vandentvarka ir skaitmeninė infrastruktūra), naujosios taisyklės taip pat taikomos viešųjų elektroninių ryšių, labiau skaitmeninių paslaugų (pvz., socialinių platformų), atliekų ir nuotekų tvarkymo, ypatingos svarbos produktų gamybos, pašto ir pasiuntinių paslaugų, viešojo administravimo paslaugų teikėjams tiek centriniu, tiek regioniniu lygmenimis, taip pat kosmoso sektoriui. Paprastai šiuose ypatingos svarbos sektoriuose veikiantys vidutinio dydžio ir dideli subjektai turės imtis tinkamų kibernetinio saugumo rizikos valdymo priemonių ir pranešti atitinkamoms nacionalinėms institucijoms apie didelius incidentus. Tai yra incidentai, kurie gali sukelti didelių sutrikimų ar žalos.

Į direktyvą taip pat įtrauktos nuostatos dėl priežiūros, vykdymo užtikrinimo ir savanoriškų tarpusavio vertinimų, kuriais siekiama didinti tarpusavio pasitikėjimą ir kibernetinio saugumo pajėgumus visoje ES. Juo taip pat nustatoma aukščiausiosios vadovybės atskaitomybė už kibernetinio saugumo rizikos valdymo priemonių nesilaikymą, taip atkreipiant valdybos dėmesį į kibernetinį saugumą.

Direktyva sukuriamas reagavimo į kompiuterių saugumo incidentus tarnybų (CSIRT) tinklas, skirtas keistis informacija apie kibernetines grėsmes ir reaguoti į incidentus. Šios grupės yra labai svarbios siekiant išlaikyti informuotumą apie padėtį ir teikti pagalbą. Siekiant valdyti didelio masto kibernetinio saugumo incidentus ar krizes, direktyva sukuriamas Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas (EU-CyCLONe). Šis tinklas remia koordinuotą valdymą ir užtikrina reguliarų valstybių narių ir ES institucijų keitimąsi informacija didelio masto incidentų ir krizių atveju. 

Be to, TIS bendradarbiavimo grupė yra TIS direktyva sukurta platforma, kuria siekiama sudaryti palankesnes sąlygas ES valstybių narių, Europos Komisijos ir ES kibernetinio saugumo agentūros (ENISA) strateginiam bendradarbiavimui ir keitimuisi informacija. Grupė skelbia neprivalomas gaires ir rekomendacijas, kuriomis remiamas TIS direktyvos įgyvendinimas.

2026 m. sausio 20 d. Komisija pasiūlė tikslinius TIS 2 direktyvos pakeitimus, kurie yra naujo kibernetinio saugumo dokumentų rinkinio dalis, kad būtų padidintas teisinis aiškumas. Pakeitimais bus supaprastinta ES veikiančių įmonių atitiktis ES kibernetinio saugumo taisyklėms ir rizikos valdymo reikalavimams. Jos palengvins reikalavimų laikymąsi 28 700 įmonių, įskaitant 6 200 labai mažų ir mažųjų įmonių.  

Pagrindiniai faktai

TIS 1 (Direktyva 2016/1148) buvo pirmasis išsamus ES teisės aktas, kuriuo siekiama didinti tinklų ir informacinių sistemų kibernetinį saugumą, kad būtų apsaugotos ES ekonomikai ir visuomenei gyvybiškai svarbios paslaugos. 2020 m. gruodžio mėn. Komisija pasiūlė peržiūrėti TIS 1 ir priimti TIS 2, kuris įsigaliojo 2023 m. sausio mėn. Valstybės narės TIS 2 direktyvą į nacionalinę teisę turėjo perkelti iki 2024 m. spalio 17 d. TIS 2 nuo 2024 m. spalio 18 d. panaikino TIS 1.