iStock photo Getty images Plus
Noteikumi nodrošinās drošāku un spēcīgāku Eiropu, būtiski paplašinot nozares un subjektu veidus, uz kuriem attiecas tā darbības joma, un pastiprinot drošības prasības uzņēmumiem.
Nesenie apdraudējumi ir pastiprinājuši nepieciešamību ātri un kopīgi uzlabot ES kiberdrošību iedzīvotāju un uzņēmumu aizsardzībai. Ir arī ļoti svarīgi, lai kritiskās nozares un infrastruktūra arī turpmāk būtu droša un noturīga. Risinot šīs problēmas, TID 2 direktīva aizstāj noteikumus par tīklu un informācijas sistēmu drošību (TID direktīva), kas bija pirmais ES mēroga tiesību akts par kiberdrošību, paverot ceļu inovatīvākai regulatīvai pieejai kiberdrošībai daudzās dalībvalstīs.
Svarīgu papildu nozaru aizsardzība
Palielinoties konkrētu nozaru savstarpējai savienojamībai un digitalizācijai, palielinās kiberdraudi. Nodrošinot, ka lielākam skaitam nozaru un vienību ir jāveic kiberdrošības riska pārvaldības pasākumi, tiks paaugstināts kiberdrošības līmenis Eiropā. TID 2 direktīva tagad aptver papildu nozares, kas ir kritiski svarīgas ekonomikai un sabiedrībai, tostarp publisko elektronisko sakaru tīklu un pakalpojumu sniedzējus, datu centru pakalpojumus, notekūdeņu un atkritumu apsaimniekošanu, kritiski svarīgu produktu ražošanu, pasta un kurjeru pakalpojumus un valsts pārvaldes struktūras. Noteikumi aptver arī veselības aprūpes nozari plašākā nozīmē, piemēram, iekļaujot zāļu pētniecību un izstrādi vai farmaceitisko produktu ražošanu. Dalībvalstīm būs zināma rīcības brīvība noteikt mazākas struktūras ar augstu drošības profilu, kuras būtu jāiekļauj direktīvas darbības jomā.
Uzlabotas drošības prasības uzņēmumiem
TID 2 direktīva arī stiprina kiberdrošības riska pārvaldības prasības, kas uzņēmumiem ir jāievēro. Tāpat kā saskaņā ar TID direktīvu uzņēmumiem būs jāveic atbilstīgi un samērīgi tehniskie, operatīvie un organizatoriskie pasākumi, lai pārvaldītu kiberdrošības riskus, novērstu un līdz minimumam samazinātu iespējamo incidentu ietekmi. Šī prasība kļūst daudz konkrētāka TID 2 ietvaros ar mērķtiecīgu pasākumu sarakstu, kas cita starpā ietver reaģēšanu uz incidentiem un krīžu pārvarēšanu, neaizsargātības novēršanu un atklāšanu, politiku un procedūras kiberdrošības riska pārvaldības pasākumu efektivitātes novērtēšanai vai kiberdrošības higiēnu un apmācību.
Lai palīdzētu palielināt informācijas apmaiņu un sadarbību kiberkrīžu pārvaldības jomā gan valstu, gan ES līmenī, direktīva racionalizē incidentu ziņošanas pienākumus ar precīzākiem noteikumiem par ziņošanu, saturu un termiņiem. Turklāt valstu iestādēm ir stingrāki uzraudzības pasākumi, kā arī stingrākas izpildes prasības, kā arī administratīvo sankciju saraksts, tostarp naudas sodi par kiberdrošības riska pārvaldības un ziņošanas pienākumu pārkāpumiem.
Turpmākie pasākumi
Dalībvalstu rīcībā būs 21 mēnesis, lai transponētu TID2 direktīvu valsts tiesību aktos. Šajā laikā dalībvalstis pieņem un publicē pasākumus, kas vajadzīgi, lai izpildītu šīs direktīvas prasības.
Padome 2022. gada decembrī pieņēma ieteikumu par Savienības mēroga koordinācijas pieeju kritiskās infrastruktūras noturības stiprināšanai, kurā dalībvalstis tiek aicinātas paātrināt sagatavošanās darbu TID 2 un Direktīvas par kritisko vienību noturību (CER) transponēšanai un piemērošanai.
Pamatinformācija
Kiberdrošība ir Komisijas prioritāte un digitālās un savienotās Eiropas stūrakmens.
Pirmais ES mēroga kiberdrošības tiesību akts, TID direktīva, kas stājās spēkā 2016. gadā, palīdzēja panākt vienādi augstu tīklu un informācijas sistēmu drošības līmeni visā ES. TID direktīva aptvēra vairākas nozares, tostarp enerģētiku, transportu, banku un finanšu nozari, veselības aprūpi, dzeramā ūdens piegādi un sadali, kā arī digitālo infrastruktūru. Tas attiecās arī uz digitālo pakalpojumu sniedzējiem, jo īpaši mākoņdatošanas pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietām un tiešsaistes meklētājprogrammām.
Sava galvenā politiskā mērķa “Digitālajam laikmetam gatava Eiropa“ietvaros Komisija paziņoja par TID direktīvas pārskatīšanu 2020. gada decembrī. ES Kiberdrošības akts, kas ir spēkā kopš 2019. gada, nodrošināja Eiropai produktu, pakalpojumu un procesu kiberdrošības sertifikācijas satvaru un nostiprināja ES Kiberdrošības aģentūras (ENISA) pilnvaras. Komisija 2022. gada septembrī pieņēma Kibernoturības akta priekšlikumu, kurā noteiktas kiberdrošības prasības produktiem ar digitālu elementu, aptverot gan aparatūru, gan programmatūru.