Kas ir NIS2 direktīva?
Eiropas Savienības Tīklu un informācijas sistēmu drošības direktīva 2 (NIS2) ir tiesību akts, kas tika pieņemts 2022. gada decembrī un parakstīts likumā 2023. gada 16. janvārī, lai nodrošinātu vienādi augstu kiberdrošības līmeni visā Eiropas Savienībā. Tā aizstāj sākotnējo NIS direktīvu (2016) un būtiski paplašina tās darbības jomu un nosaka stingrākas prasības, reaģējot uz pieaugošajiem kiberdraudiem. Direktīvas mērķis ir stiprināt kritiski svarīgu un digitāli atkarīgu organizāciju noturību pret kiberuzbrukumiem.
NIS2 prasības un paplašinātais tvērums
NIS2 direktīva paplašina regulēto nozaru loku, iekļaujot ne tikai tradicionālās kritiskās infrastruktūras nozares, piemēram, enerģētiku, transportu, banku un finanšu tirgus, veselības aprūpi, bet arī jaunus sektorus, tostarp atkritumu apsaimniekošanu, pasta pakalpojumus, ķimikālijas, pārtikas ražošanu, industriālo ražošanu un digitālos pakalpojumus. Organizācijas tiek iedalītas divās kategorijās: būtiskās un svarīgās vienības, un uz tām attiecas atšķirīgas uzraudzības un izpildes prasības.
Galvenās prasības ietver visaptverošu riska pārvaldības pasākumu ieviešanu, draudu identificēšanu, ievainojamības novērtējumus un incidentu reaģēšanas plānus. Organizācijām ir obligāti jāziņo par kiberincidentiem noteiktos termiņos, jāveic ikgadēji pašnovērtējuma ziņojumi un jāieceļ kiberdrošības pārvaldnieks. Direktīva arī nosaka valdes locekļu personīgo atbildību par kiberdrošības pasākumiem.
NIS2 ieviešana Latvijā
Latvijā NIS2 direktīvas prasības ir transponētas nacionālajā likumdošanā ar jaunu tiesību aktu – Nacionālo kiberdrošības likumu (NKDL), kas tika pieņemts Saeimā 2024. gada 20. jūnijā un stājās spēkā 2024. gada 1. septembrī. Likuma mērķis ir stiprināt kiberdrošību Latvijā un ieviest NIS2 direktīvas prasības, lai panāktu vienādi augstu kiberdrošības līmeni visā ES.
Lai gan Latvija ir izveidojusi būtisku nacionālo ietvaru NIS2 ieviešanai, Eiropas Komisija 2025. gada 7. maijā nosūtīja Latvijai argumentētu atzinumu par to, ka nav paziņots par pilnīgu transponēšanu. Tas norāda, ka, lai gan likumdošanas process ir pabeigts nacionālā līmenī, ES līmeņa transponēšanas fails vēl netika uzskatīts par pilnīgu.
Galvenie termiņi un atbildīgās iestādes
Nacionālais kiberdrošības likums nosaka vairākus svarīgus termiņus Latvijas uzņēmumiem un iestādēm:
- Līdz 2025. gada 1. aprīlim organizācijām, uz kurām attiecas likums, jānosaka savs statuss un jāreģistrējas Nacionālajā kiberdrošības centrā (NKC).
- Līdz 2025. gada 1. jūlijam jāuzsāk ziņošana par kiberdrošības incidentiem.
- Līdz 2025. gada 1. oktobrim ir jāieceļ kiberdrošības pārvaldnieks un jāiesniedz pirmais pašnovērtējuma ziņojums.
Latvijā par būtisko un svarīgo pakalpojumu sniedzēju uzraudzību atbild Nacionālais kiberdrošības centrs (NKC), savukārt par IKT kritisko infrastruktūru – Satversmes aizsardzības birojs (SAB). NKC ir izstrādājis arī Ministru kabineta noteikumus par minimālajām kiberdrošības prasībām, kas stājās spēkā 2025. gada 2. jūlijā.
Ietekme uz uzņēmumiem un sagatavošanās
NIS2 un NKDL ieviešana skar tūkstošiem uzņēmumu Latvijā, kas iepriekš nebija pakļauti kiberdrošības regulējumam. Tas palielina administratīvo slogu, jo būs nepieciešama kiberrisku politika, procedūras incidentu identificēšanai un ziņošanai, kā arī nepārtrauktas darbības nodrošināšanas plāns. Uzņēmumiem jāparedz resursu ieguldījumi kiberdrošības pasākumu pilnveidošanai, darbinieku apmācībām un atbilstošas dokumentācijas izstrādei. Lai gan tas prasa pūles, atbilstība NIS2 uzlabos uzņēmumu kibernoturību un sagatavotību nākotnes kiberdraudiem.