Išsamus NIS2 direktyvos vadovas: viskas, ką įmonės turi žinoti, kad atitiktų naujus Europos kibernetinio saugumo reikalavimus.

Skaitmeninis saugumas tapo svarbiausiu Europos Sąjungoje veikiančių organizacijų prioritetu.. Spartėjantys skaitmeninimo procesai ir sparčiai didėjantis kibernetinių atakų skaičius tapo akivaizdu, kad reikia bendro ir tvirto reguliavimo, galinčio apsaugoti ekonomiką, pagrindines paslaugas ir piliečių privatumą. Šiame kontekste NIS2 direktyva žengė žingsnį į priekį, išplėsdama savo reikalavimus ir sugriežtindama viską, kas susiję su kibernetiniu saugumu., turintis precedento neturintį poveikį Europoje.

Nesvarbu, ar esate įmonės vadovybės dalis, dirbate viešajame sektoriuje, ar esate atsakingas už IT, labai svarbu gerai suprasti, kaip NIS2 veikia jus.. Šiame straipsnyje išsamiai aprašomi pagrindiniai direktyvos aspektai, įskaitant tai, kam ji taikoma, jos techninius ir veiklos reikalavimus, pagrindines datas, pranešimo apie incidentus procedūras, poveikį tiekimo grandinei, naujas valdymo pareigas, sankcijas, neišvengiamą teisės aktų perkėlimą į Ispaniją ir praktinius išteklius, skirtus pasirengti ir išvengti rizikos. Jei norite išvengti kelių milijonų dolerių baudų, užtikrinti verslo tęstinumą ir išlikti Europos skaitmeninio saugumo priešakyje, skaitykite toliau.

Kas yra NIS2 direktyva ir kodėl ji svarbi Europai?

NIS2 – Tinklo ir informacinių sistemų direktyva 2 – yra pirmojo Europos kibernetinio saugumo teisės akto (2016 m. NIS direktyva) evoliucija ir išplėtimas., sukurtas reaguoti į daug sudėtingesnę ir atviresnę skaitmeninę aplinką. Naujoji direktyva buvo paskelbta Europos Sąjungos oficialiajame leidinyje 2022 m. pabaigoje ir formaliai įsigaliojo 16 m. sausio 2023 d. Pagal jį reikalaujama, kad valstybės narės perkeltų jį į savo nacionalinius teisės aktus iki 17 m. spalio 2024 d. ir nuo kitos spalio 18 d., nors kai kuriose šalyse terminai buvo pratęsti.

NIS2 tikslas – užtikrinti bendrą ir aukštą tinklų ir informacinių sistemų saugumo lygį visoje Europos Sąjungoje., padėdamas pagrindą skaitmeninei ekonomikai ir pagrindinėms visuomenės paslaugoms, kad jos liktų apsaugotos nuo vis sudėtingesnių ir agresyvesnių grėsmių.

Tarp pagrindinių naujų funkcijų yra:

• Reikšmingas reguliuojamų sektorių ir įpareigotųjų subjektų skaičiaus padidėjimas.
• Daug griežtesni rizikos valdymo ir incidentų pranešimo reikalavimai.
• Vienalytė ir griežta priežiūros ir sankcijų sistema Europos lygiu.
• Nauji specialūs įsipareigojimai tiekimo grandinei, tiekėjams ir subrangovams.
• Sustiprintas subjektų valdymo organų vaidmuo ir tiesioginė atsakomybė.

Taikymo sritis: kas privalo laikytis NIS2?

NIS2 tiesiogiai ir privalomai veikia viešuosius ir privačius subjektus vadinamuosiuose „kritiniuose sektoriuose“ ir „didelio kritiškumo sektoriuose“, išvardytuose direktyvos I ir II prieduose.. Didžiausias skirtumas nuo originalaus NIS yra tas Sektorių ir organizacijų tipų sąrašas padaugėjo, o kriterijus – jau ne tik veikla, bet ir dydis bei strateginė svarba.

Paprastai jie turi atitikti NIS2:

• Visos vidutinės ir didelės įmonės (daugiau nei 50 darbuotojų arba metinė apyvarta viršija 10 mln. eurų), veikiančios šiuose sektoriuose.
• Tam tikrais atvejais mažos ir labai mažos įmonės taip pat gali atitikti reikalavimus, jei jų funkcija yra labai svarbi šaliai arba jos yra vienintelės esminės paslaugos teikėjos.

Teisės tekste išskiriama:

• Esminiai subjektai: Priklauso itin svarbiems sektoriams, kvalifikuoti patikimų paslaugų operatoriai, aukščiausio lygio domenų vardų registrai, DNS tiekėjai, vidutinės įmonės, teikiančios viešuosius elektroninių ryšių tinklus, tam tikri viešieji subjektai ir tie, kuriuos kiekviena valstybė laiko strateginiu.
• Svarbūs subjektai: likusieji subjektai kritiniuose sektoriuose, kurie neatitinka pirmiau minėtų kriterijų.

Paveikti sektoriai skirstomi į dvi dideles grupes:

Didelio kritiškumo sektoriai (I priedas):

• Energija (elektra, dujos, žalia nafta, vandenilis, centralizuoto šildymo ir vėsinimo sistemos)
• Transportas (oru, geležinkeliu, jūra ir upėmis, keliais)
• Bankininkystės ir finansų rinkos infrastruktūra
• sveikata
• Geriamasis vanduo ir nuotekos
• Skaitmeninė infrastruktūra (duomenų centrai, debesys, interneto mainų taškai, DNS ir kt.)
• IKT paslaugų valdymas
• Viešasis administravimas (centrinis ir regioninis)
• erdvė

Kiti svarbūs sektoriai (II priedas):

• Pašto ir kurjerių paslaugos
• Atliekų tvarkymas
• Chemijos pramonė
• Maisto produktų gamyba, perdirbimas ir platinimas
• Gamyba (įskaitant IT, optiką, elektros įrangą, mašinas, transportavimą ir kt.)
• Skaitmeninių paslaugų teikėjai (internetinės prekyvietės, paieškos sistemos, socialinės žiniasklaidos platformos)
• Tyrimas

yra neįtraukti, su keliomis išimtimis, gynybos, nacionalinio saugumo, policijos, teismų, parlamentų ir centrinių bankų srityse.

Atminkite: Vien jūsų įmonės nebuvimas sąraše neatleidžia jūsų nuo reikalavimų laikymosi, jei teikiate pagrindines šalies funkcionavimui reikalingas paslaugas.. Valstybės narės gali išplėsti įpareigotųjų subjektų sąrašą remdamosi nacionaliniais kritiškumo kriterijais.

Pagrindiniai NIS2 direktyvos principai ir plėtra

NIS2 direktyva reiškia radikalų kibernetinio saugumo valdymo pokytį, nes ji ne tik išplečia apsaugą į daugiau sektorių, bet ir sugriežtina reikalavimus bei priežiūrą.. Kai kurie jo pagrindinės naujovės garsas:

• Apimties plėtinys: Ji nebeįpareigoja tik klasikinių pagrindinių paslaugų ar ypatingos svarbos infrastruktūros paslaugų teikėjų; apima daug daugiau sektorių ir subjektų tipų.
• „Maksimalaus dydžio“ metodas: Dauguma įsipareigojimų turi įtakos vidutinėms ir didelėms įmonėms, tačiau yra išimčių mažoms įmonėms, jei jų funkcija yra pagrindinė.
• Kritikų sampratos apžvalga: Atskiriami „esminiai“ ir „svarbūs“ subjektai, pirmiesiems taikant griežtesnį priežiūros ir sankcijų režimą.
• Europos suderinimas: Tai sumažina skirtumus tarp šalių ir palengvina bendradarbiavimą bei bendrą reagavimą į tarpvalstybinius ar didelio masto incidentus.

Pagrindiniai įsipareigojimai: ko NIS2 reikalauja iš įmonių ir subjektų?

NIS2 įsipareigojimai yra daug ir yra suformuluoti atsižvelgiant į dvi pagrindinės ašys: aktyvus kibernetinio saugumo rizikos valdymas ir greitas pranešimas apie reikšmingus incidentus. Be to, stiprinamas vidinis valdymas ir ryšiai su tiekėjais, klientais ir valdžios institucijomis.

1. Kibernetinio saugumo rizikos vertinimas ir valdymas

Visi įpareigoti subjektai turi nustatyti, analizuoti ir valdyti riziką kurios kelia grėsmę jų skaitmeninių sistemų ir paslaugų prieinamumui, konfidencialumui, vientisumui ir autentiškumui.

Minimalios priemonės apima:

• Saugumo politika ir rizikos analizė: Turto inventorizacija, grėsmių, pažeidžiamumo ir galimo poveikio nustatymas.
• Incidentų valdymas: Reagavimo planai, specializuota įranga ir stebėjimo sistemos.
• Veiklos tęstinumas ir krizių valdymas: atsarginės kopijos, periodinis atkūrimo bandymas, atsarginių kopijų planai ir atsparumo nelaimėms valdymas.
• Tiekimo grandinės saugumas: Reikalauti ir patikrinti, ar tiekėjai ir partneriai atitinka standartus, ir įrašykite tai raštu sutartyse.
• Saugumas kuriant, įsigyjant ir prižiūrint sistemas: Šifravimas, prieigos kontrolė, reguliarus atnaujinimas ir pataisymas.
• Periodiškas priemonių efektyvumo vertinimas: periodiniai auditai ir peržiūros (vidinės arba išorinės), siekiant patikrinti atitiktį.
• Periodiniai kibernetinio saugumo ir kibernetinės higienos mokymai visiems darbuotojams ir ypač vadovybei.
• Šifravimo ir informacijos apsaugos politika.
• Prieigos kontrolė, kelių veiksnių autentifikavimas ir turto valdymas.

2. Pranešimas apie incidentą: terminai ir procedūros

Greitas pranešimas valdžios institucijoms yra vienas iš pagrindinių NIS2 ramsčių. Subjektai turi informuoti CSIRT (reagavimo į incidentus komandas) arba nacionalines kompetentingas institucijas apie bet kokį reikšmingas incidentas kuris sukelia arba gali sukelti rimtus veiklos sutrikimus, didelę ekonominę žalą arba turi įtakos trečiosioms šalims.

Terminai yra labai griežti:

• Išankstinis įspėjimas: Per pirmąjį 24 valandų po to, kai buvo informuotas apie įvykį.
• Pilnas pranešimas: daugiausiai 72 valandų, atnaujinama informacija, sunkumas, poveikis ir taikomos priemonės. (Patikimiems paslaugų teikėjams – 24 val.).
• Galutinė ataskaitaPer vieną mėnesį su visa svarbia informacija, priežastimis, priemonėmis ir pasekmėmis.

Taip pat reikėtų atsiminti, kad Privaloma informuoti paveiktus naudotojus ar klientus, kai incidentas gali jiems rimtai paveikti., kuriame pateikiamos veiksmų gairės ir jų apsaugos priemonės.

3. Valdymas, mokymas ir vadovavimo atsakomybė

NIS2 pagrindinis dėmesys skiriamas vyresniųjų vadovų dalyvavimui. Valdymo komandos turi patvirtinti saugumo priemones ir aktyviai stebėti jų įgyvendinimą. Be to, jie turi būti periodiškai mokomi ir ugdomi (taip pat ir darbuotojams).

Direktyva aiškiai numato, kad didelio aplaidumo ar priežiūros stokos atveju vyresnieji vadovai gali būti nubausti drausminėmis nuobaudomis, įskaitant laikiną atėmimą eiti pareigas esminiuose subjektuose.

4. Tiekimo grandinės valdymas ir saugumas tiekėjų sutartyse

Tiekimo grandinės incidentai buvo vienas rimčiausių pastarojo meto kibernetinių atakų Europoje vektorių.. Dėl šios priežasties NIS2 reikalauja, kad subjektai įvertintų ir stebėtų savo tiesioginių tiekėjų ir subrangovų saugumą, įtrauktų kibernetinio saugumo sąlygas ir reikalavimus į sutartis, atliktų auditą, įvertintų bendrą produktų ir paslaugų atsparumą ir stebėtų žinomus trečiųjų šalių komponentų pažeidžiamumus.

5. Tarptautinis bendradarbiavimas ir bendradarbiavimas

Keitimasis atitinkama informacija apie grėsmes, incidentus, pažeidžiamumą ir geriausią praktiką yra privalomas tiek nacionaliniu, tiek Europos mechanizmais (Bendradarbiavimo grupė, CSIRT tinklas ir EU-CyCLONE didelio masto krizių valdymui).

6. Auditų, patikrinimų ir priežiūros režimas

Direktyvoje išskiriamos dvi priežiūros sistemos:

• Pagrindiniams subjektams: periodiniai auditai, patikrinimai vietoje arba nuotoliniu būdu, nuolatinė nacionalinių agentūrų priežiūra ir sankcijų režimas. tiek a priori, tiek a posteriori.
• Dideliems subjektams: tik reaktyvi priežiūra, t. y. tik gavus požymius arba įrodymus, kad nesilaikoma reikalavimų.

Valdžios institucijos gali reikalauti dokumentų, audito rezultatų, prieigos prie sistemų ir duomenų ar net viešai atskleisti rimtus pažeidimus.

7. Kiti atitinkami įsipareigojimai

• Privaloma subjektų registracija, pagrindinė informacija ir periodinis atnaujinimas kompetentingoms institucijoms.
• Bendradarbiavimas su Europos organizacijomis, pagrindinių Europos subjektų įtraukimas į ENISA duomenų bazę.
• Sektoriniai vienkartiniai incidentų pranešimo ir valdymo mechanizmai.
• Duomenų apsaugos reikalavimai visada pagal Bendrąjį duomenų apsaugos reglamentą (BDAR).

Pagrindinės NIS2 direktyvos datos ir įgyvendinimo grafikas

Diegimo ir atitikties tvarkaraštis yra vienas jautriausių NIS2 aspektų.. Tai yra kritinės datos:

• 16 sausis 2023: Oficialus direktyvos įsigaliojimas.
• spalio 17 d. 2024 m.: galutinis terminas, per kurį šalys turi priimti ir paskelbti nacionalinius teisės aktus, perkeliančius NIS2.
• spalio 18 d. 2024 m.: neišvengiamas įgyvendinimas visose valstybėse narėse; subjektai turi būti parengti.
• balandžio 17 d. 2025 m.: esminių ir svarbių nacionalinio lygmens subjektų sąrašo sudarymo ir perdavimo Briuseliui galutinis terminas.
• 17 sausis 2025: galutinis terminas pranešti apie kiekvienoje šalyje taikomą sankcijų režimą.

Likę etapai, tokie kaip nacionalinių kibernetinio saugumo strategijų kūrimas ar įgyvendinimo aktų (konkrečių techninių reikalavimų) paskelbimas, turi datos, kurios periodiškai skelbiamos oficialiuose Europos ir nacionaliniuose portaluose.

Perkėlimas į Ispaniją: kibernetinio saugumo koordinavimo ir valdymo įstatymas

Ispanija patvirtino Kibernetinio saugumo koordinavimo ir valdymo įstatymo projektą pritaikyti savo teisinę bazę NIS2. Nors galutinis tekstas gali būti koreguojamas, pagrindiniai aspektai yra šie:

• Plati taikymo sritis: Apima viešąsias ir privačias organizacijas, įsikūrusias arba veikiančias Ispanijoje, visuose svarbiuose ir labai svarbiuose sektoriuose, kaip nurodyta direktyvos prieduose.
• Išsami rizikos analizė ir apsaugos įsipareigojimai tinklų, sistemų ir paslaugų, įskaitant tiekėjų ir partnerių, turinčių prieigą prie svarbių duomenų, vertinimą.
• Pareiga pranešti apie atitinkamus incidentus ir rimtas grėsmes tiek valdžios institucijoms, tiek paveiktiems vartotojams ar klientams.
• Informacijos saugumo pareigūno pareigybės sukūrimas kiekviename subjekte, atsakingas už projektavimą, priežiūrą ir atitikties reglamentavimui užtikrinimą, valdymo centralizavimą.
• Nacionalinio kibernetinio saugumo centro įkūrimas kaip pagrindinis koordinatorius valstybės lygiu ir dialogo su ES kanalas.
• Kontrolės ir priežiūros įgaliojimų priskyrimas kelioms ministerijoms: Vidaus reikalai (kibernetinio saugumo koordinavimo biuras), gynyba (CCN), skaitmeninė transformacija, kartu su sektoriaus institucijomis.
• Specializuotos incidentų valdymo komandos, pažeidžiamumo aptikimas, nukentėjusių subjektų palaikymas ir išankstinių įspėjimų išdavimas.
• Skubus tvarkymas ir prioritetinis parlamentinis koordinavimas paspartinti įstatymo įsigaliojimą iki ES reglamentuojamų terminų.

Subjektų klasifikacija: „esminis“ ir „svarbus“

NIS2 nustato dvi skirtingas objektų kategorijas:

• Esminiai subjektai: didelės įmonės labai svarbiuose sektoriuose, kvalifikuoti patikimi ir DNS teikėjai, vidutinės įmonės tam tikruose subsektoriuose, kritiniai subjektai pagal nacionalinius teisės aktus ir valstybės sprendimus (pvz., buvę NIS1 pagrindinių paslaugų operatoriai).
• Svarbūs subjektai: Visi kiti įtraukti į svarbiausius sektorius, kurie neatitinka esminių kriterijų.

Šis skirtumas turi įtakos priežiūros intensyvumui, sankcijų griežtumui ir dokumentų reikalavimų tipui.

Įsipareigojimai pranešti apie incidentus ir valdyti krizes

Įmonės ir organizacijos turėtų labai aiškiai suprasti sąvokas „reikšmingas incidentas“, „beveik netikėtas incidentas“ ir „reikšminga kibernetinė grėsmė“.:

• Reikšmingas incidentas: bet koks įvykis, sukeliantis rimtų paslaugų teikimo trikdžių, didelių ekonominių nuostolių arba padaręs didelę žalą fiziniams ar juridiniams asmenims.
• Didelė kibernetinė grėsmė: Techninė grėsmė, kuri dėl savo dydžio gali sukelti didelę žalą arba sutrikdyti.
• Netoliese: Įvykis, galėjęs sukelti incidentą, bet neįvykęs dėl prevencinių priemonių.

Visais šiais atvejais pageidautina, kad pranešimas būtų teikiamas elektroninėmis priemonėmis, per konkretų nacionalinį įėjimo punktą., ir vadovaudamiesi tokia tvarka:

• Pradinis išankstinis įspėjimas (24 val.).
• Pilnas išankstinis pranešimas (72 val., išskyrus išimtis).
• Galutinė ataskaita (1 mėnuo po įvykio pabaigos).

Laiku neįvykdytas pranešimas gali būti laikomas sunkiu nusikaltimu ir už jį baudžiama..

Reikalingos techninės, veiklos ir organizacinės priemonės

NIS2 apima minimalų sąrašą priemonių, kurias turi priimti visi subjektai, visada atsižvelgdami į proporcingumo principą ir įgyvendinimo išlaidas.:

• Vidaus saugumo politika ir nuolatinė rizikos analizė.
• Incidentų valdymas ir reagavimas: Įskaitant stebėjimo sistemas, reagavimo grupes, CSIRT integravimą ir eskalavimo protokolus.
• Verslo tęstinumo planai, atsarginių kopijų valdymas, atkūrimo testavimas ir krizių planai.
• Griežtas tiekimo grandinės ir tiekėjų valdymas: auditas, sutartiniai reikalavimai, produktų ir paslaugų atsparumo stebėjimas, trečiųjų šalių kibernetinio saugumo geriausios praktikos integravimas.
• Saugumas sistemų ir programų gyvavimo cikle: šifravimo naudojimas, programavimo saugus, pataisymas ir prieigos kontrolė.
• Periodinis priemonių efektyvumo vertinimas: Vidinis ir išorinis auditas, dokumentų peržiūra ir techninis testavimas.
• Vidinės mokymo programos ir reguliarus informuotumo didinimas.
• Aiški kriptografijos ir kelių veiksnių autentifikavimo naudojimo politika.
• Turto valdymas, inventoriaus ir informacijos prieigos kontrolė.

Sankcijos ir priežiūros režimas

NIS2 numatytos sankcijos yra ypač griežtos esminiams subjektams, siekiant užtikrinti taisyklės laikymąsi ir veiksmingumą.:

• Esminiai subjektai: Baudos iki 10 milijonų eurų arba 2% pasaulinės metinės apyvartos (atsižvelgiant į tai, kuri suma didesnė).
• Svarbūs subjektai: Baudos iki 7 milijonų eurų arba 1,4% pasaulinės metinės apyvartos (atsižvelgiant į tai, kuri suma didesnė).

Be to, sankcijos gali būti viešos ir apimti sertifikatų sustabdymą, neatitikimo paskelbimą ar net laikiną diskvalifikavimą iš vadovaujančių pareigų rimčiausiais atvejais.

Kaip pasiruošti atitikčiai NIS2: praktiniai žingsniai

NIS2 atitiktis yra būtina. Įmonės turėtų nedelsdamos pradėti rengti veiksmų planą, kuris apima:

• Išsami IT infrastruktūros ir skaitmeninio turto inventorizacija.
• Rizikos analizė ir kibernetinio saugumo politikos apibrėžimas suderinta su ISO 27001, ENS ir kitomis tarptautiniu mastu pripažintomis sistemomis.
• Sutarčių ir susitarimų su tiekėjais peržiūra ir atnaujinimas užtikrinti atitiktį tiekimo grandinėje.
• Reagavimo į incidentus planų įgyvendinimas ir vidinių įspėjimo kanalų bei sklandaus ryšio su CSIRT projektavimas.
• Periodinių kibernetinio saugumo auditų (vidaus ir išorės) atlikimas.
• Specialūs ir nuolatiniai mokymai vadovams ir darbuotojams.
• Stebėsenos ir išankstinio įspėjimo mechanizmų sukūrimas.
• Oficialus informacijos saugumo pareigūno paskyrimas.
• Dokumentuotų pranešimų apie krizes ir valdymo protokolų kūrimas.