TID 2 direktīva: jauni noteikumi par tīklu un informācijas sistēmu kiberdrošību

Kiberdrošība ietver tīklu un informācijas sistēmu (TID), to lietotāju un citu skarto personu aizsardzību pret kiberincidentiem un kiberdraudiem. Lai reaģētu uz pieaugošo kiberdraudu ietekmi uz Eiropu, Direktīva 2022/2555, kas pazīstama arī kā TID 2, aizstāja tās priekšteci – Direktīvu 2016/1148 vai TID 1. TID 2 palielina ES kopējo mērķu vērienīgumu kiberdrošības jomā, paplašinot darbības jomu, ieviešot skaidrākus noteikumus un stingrākus uzraudzības instrumentus. Tajā noteikts, ka dalībvalstīm jāuzlabo savas kiberdrošības spējas, vienlaikus ieviešot riska pārvaldības pasākumus un ziņošanas prasības vienībām no vairākām nozarēm un izstrādājot noteikumus par sadarbību, informācijas apmaiņu, uzraudzību un kiberdrošības pasākumu izpildi.

Direktīva pilnvaro katru dalībvalsti pieņemt valsts kiberdrošības stratēģiju, kas ietver piegādes ķēdes drošības, neaizsargātības pārvaldības un kiberdrošības izglītības un izpratnes politiku. Dalībvalstīm ir arī jāizveido un regulāri jāatjaunina pamatpakalpojumu sniedzēju saraksts, nodrošinot, ka šīs vienības atbilst direktīvas prasībām. 

Papildus nozarēm, uz kurām jau attiecas TID 1, piemēram, enerģētika, transports, veselības aprūpe, finanses, ūdens resursu apsaimniekošana un digitālā infrastruktūra, šie noteikumi attiecas uz publisko elektronisko sakaru pakalpojumu sniedzējiem, plašāku digitālo pakalpojumu klāstu, piemēram, sociālajām platformām, notekūdeņu un atkritumu apsaimniekošanu, kritiski svarīgu produktu ražošanu, pasta un kurjeru pakalpojumiem, valsts pārvaldi gan centrālā, gan reģionālā līmenī vai kosmosu. Parasti vidējām un lielām vienībām šajās kritiskajās nozarēs būs jāveic atbilstoši kiberdrošības risku pārvaldības pasākumi un jāinformē attiecīgās valsts iestādes par būtiskiem incidentiem. Tie ir incidenti, kas var radīt būtiskus traucējumus vai kaitējumu. 

Direktīvā ir iekļauti arī noteikumi par uzraudzību, izpildi un brīvprātīgu salīdzinošo izvērtēšanu, lai uzlabotu savstarpējo uzticēšanos un kiberdrošības spējas visā ES. Ar to arī ievieš augstākās vadības pārskatatbildību par neatbilstību kiberdrošības riska pārvaldības pasākumiem, tādējādi pievēršot valdes uzmanību kiberdrošībai.

Ar direktīvu izveido datordrošības incidentu reaģēšanas vienību (CSIRT) tīklu, lai apmainītos ar informāciju par kiberdraudiem un reaģētu uz incidentiem. Šīm komandām ir izšķiroša nozīme situācijas apzināšanās uzturēšanā un palīdzības piedāvāšanā. Lai pārvaldītu plašapmēra kiberdrošības incidentus vai krīzes, ar direktīvu tiek izveidots Eiropas Kiberkrīžu sadarbības organizāciju tīkls (EU-CyCLONe). Šis tīkls atbalsta koordinētu pārvaldību un nodrošina regulāru informācijas apmaiņu starp dalībvalstīm un ES iestādēm plašapmēra incidentu un krīžu gadījumā. 

Vienlaikus TID sadarbības grupa ir platforma, kas izveidota ar TID direktīvu, lai veicinātu stratēģisko sadarbību un informācijas apmaiņu starp ES dalībvalstīm, Eiropas Komisiju un ES Kiberdrošības aģentūru (ENISA). Grupa publicē nesaistošas pamatnostādnes un ieteikumus, lai atbalstītu TID direktīvas īstenošanu.

Vispārīga informācija

TID 1 (Direktīva 2016/1148) bija pirmais visaptverošais ES tiesību akts, kura mērķis bija veicināt tīklu un informācijas sistēmu kiberdrošību, lai aizsargātu ES ekonomikai un sabiedrībai vitāli svarīgus pakalpojumus. Komisija 2020. gada decembrī ierosināja pārskatīt TID 1, kā rezultātā tika pieņemts TID 2, kas stājās spēkā 2023. gada janvārī. Dalībvalstīm TID2 direktīva valsts tiesību aktos bija jātransponē līdz 2024. gada 17. oktobrim. TID 2 no 2024. gada 18. oktobra atceļ TID 1.