NIS2 direktīva: vai efektīvākais veids kibernoturības stiprināšanai visā ES

Foto: Freepik.com

Pēdējo gadu laikā kiberdrošība un tās stiprināšana visā Eiropas Savienībā (ES) ir kļuvusi par vienu no prioritātēm. Kiberuzbrukumi kļūst sarežģītāk identificējami un savlaicīgi novēršami. Tie rada gan finansiālos zaudējumus, gan ietekmē uzņēmumu darbību, to reputāciju un sabiedrības labklājību. Lai preventīvi varētu sagatavoties nākamajiem uzbrukumiem, pēc iespējas ātrāk tos identificēt un likvidēt radītās sekas, Eiropas Parlamentā 2022. gada decembrī tika pieņemta NIS2 (Network and Information Security Directive 2) direktīva, kas paredz vēl stingrāku drošības pasākumu ievērošanu. Nacionālais kiberdrošības likums Latvijā ir stājies spēkā šī gada 1. septembrī.

Kiberdraudi, kas rada paliekošas sekas

Kā liecina Eiropola (Eiropas Policijas birojs) apkopotā informācija par 2023. gadu – ES arvien turpina pieaugt kiberuzbrukumu skaits. Visbiežākais kiberuzbrukumu veids ir izspiedējprogrammatūras palaišana, kas inficē datorsistēmas, bloķējot pieeju failiem. Par datorsistēmu atbloķēšanu tiek prasīta izpirkuma maksa. Visbiežāk izspiedējprogrammatūra tiek izplatīta caur pikšķerēšanas e-pastiem, kas satur ļaunprātīgus pielikumus un saites vai caur inficētām vietnēm. Dažkārt tā var iekļūt ierīcēs arī caur novecojušām programmatūrām vai operētājsistēmām, kurām nav uzstādīti jaunākie drošības atjauninājumi.

Eiropas Savienības Kiberdrošības aģentūras (ENISA) sagatavotajā ziņojumā tiek lēsts, ka kiberuzbrukumu finansiālā ietekme 2022. gadā  ES veidojusi 2,4 miljardus EUR. Turklāt visbiežāk kiberuzbrukumi tiek vērsti uz kritiskās infrastruktūras sektoriem, piemēram, enerģētikas, veselības aprūpes un transporta ar mērķi ietekmēt pakalpojumu kvalitāti vai apturēt to darbību pavisam.

NIS2: vai panaceja cīņā pret kiberuzbrukumiem?

Foto: bda.lv

Aicinām uz sarunu mūsu pasniedzēju, IT un inovāciju speciālistu Normundu Upenieku, lai aprunātos par to, kas ir NIS2 direktīva, uz kādām jomām tā attiecināma un kādas prasības ietver.

1.     Izskaidro, lūdzu, kāda ir būtiskākā atšķirība starp NIS1 un NIS2 direktīvām?

Tāpat kā NIS2, arī NIS1 direktīva tika ieviesta Eiropas Parlamentā 2016. gadā ar mērķi stiprināt kiberdrošības līmeni visā ES. Būtiskākā atšķirība ir tāda, ka NIS2 direktīvā ietverts vēl plašāks sektoru un pakalpojumu sniedzēju saraksts, uz kuriem attiecas prasību izpilde, tajā skaitā dažādu kiberdrošības pasākumu stingra ievērošana, lai panāktu vēl ciešāku ES dalībvalstu sadarbību un proaktīvāku rīcību kiberdraudu gadījumā. NIS2 direktīvas virsmērķis ir panākt, lai, notiekot kiberuzbrukumam, netiktu traucēta, ierobežota vai pilnīgi pārtraukta neviena pakalpojuma darbība.

2.     Uz kurām nozarēm jaunās direktīvas prasības ir attiecināmas?

Primāri tiek izšķirti būtiskie un svarīgie pakalpojumu sniedzēji. Likuma subjekti jeb organizācijas, uz kurām attiecas prasību izpilde, ir diezgan daudz. Tās ir finanšu, veselības aprūpes, transporta, pētniecības, pārtikas, ražošanas, digitālās infrastruktūras, enerģētikas un vēl citu nozaru pārstāvētas organizācijas. Turklāt statusa piešķiršanas brīdī tiek ņemts vērā, kādu un cik lielu pienesumu attiecīgais uzņēmums sniedz valsts kopējai ekonomikai. Svarīgi, ka direktīvas prasību izpilde attiecas arī privātā sektora un nevalstiskajām organizācijām.

3.     Saprotams, ka definētās jomas ir salīdzinoši daudz, taču, kā uzņēmumu pārstāvjiem zināt, ka prasību izpilde attieksies tieši uz viņiem?

Lai noskaidrotu, vai NIS2 direktīva attiecas uz kādu konkrētu uzņēmumu, līdz 2025. gada 1. oktobrim jāsagatavo un jāiesniedz pašnovērtējuma ziņojums. Ja nav skaidrības par atbilstību vienai vai otrai kategorijai, iespējams vērsties Latvijas Nacionālajā kiberdrošības centrā, kas ir uzraugošā institūcija Latvijā.

4.     Kādas prasības likuma subjektiem būs jāspēj izpildīt?

Primāri jau ir jāspēj noteikt statuss – būtiskais vai svarīgais pakalpojumu sniedzējs, bet tas, protams, nav viss.

• Līdz 2025. gada 1. oktobrim jāieceļ kiberdrošības pārvaldnieks, personai jābūt iegūtai augstākajai izglītībai vai atbilstošam sertifikātam, kā arī vismaz 2 gadu pieredzei darbā ar dažādiem kiberincidentiem. Par kiberdrošības pārvaldnieku var kļūt arī jau esošs darbinieks, kurš atbilst visām prasībām.
• Jāveic risku novērtējums, identificējot gan kritiskos aktīvus, gan potenciālos draudus un ievainojamību.
• Jāizstrādā kiberrisku un darbības nepārtrauktības plāns, lai būtu skaidrs, kā operatīvi rīkoties krīzes situācijā. Vēl pirms ieviešanas, plānam jābūt notestētam, kā arī regulāri atjaunotam – atbilstoši aktualitātēm kiberdrošības jomā.
• Jāorganizē darbinieku apmācības, lai visi būtu lietas kursā par to, kā rīkoties kiberdraudu gadījumā.
• Regulāri jāziņo par kiberincidentiem, lai ES dalībvalstis spētu ātrāk apmainīties ar informāciju, savlaicīgāk reaģēt un novērtēt kopējo kiberapdraudējumu situāciju.

Lai arī prasību ir diezgan daudz, tomēr jāatceras, ka, ja ir izstrādāts noteikts darbību kopums, vieglāk orientēties brīdī, kad radusies ārkārtas situācija, un ir jānovērš vai vismaz līdz minimumam jāsamazina kiberuzbrukuma ietekme.

5.     Vai, Tavuprāt, NIS2 direktīvas ieviešana ļaus samazināt kiberdaudu risku?

Domāju, ka noteikti spēs. Ne velti ir definētas stingrākas prasības, salīdzinot ar NIS1 direktīvu. Tādā veidā tiks uzlabota gan kiberdrošības pārvaldība uzņēmumos, gan starp pārējām ES dalībvalstīm, nodrošinot ātrāku un efektīvāku kiberdraudu pārvaldību.

Soda apmēri par prasību neievērošanu

NIS2 direktīva ietver arī visai iespaidīgu soda apmēru piemērošanu gadījumos, kad netiks izpildītas minētās prasības, netiks ziņots par incidentiem vai tiks sniegta nepatiesa informācija, kā arī nebūs veikti tehniskie un organizatoriskie pasākumi. Paredzētie soda apmēri:

• būtisko pakalpojumu sniedzējiem – līdz 10 milj. EUR, ja apgrozījums pārsniedz 500 milj. EUR gadā, tad 2 % no apgrozījuma;
• svarīgo pakalpojumu sniedzējiem – līdz 500 milj. EUR, ja apgrozījums pārsniedz 500 milj. EUR gadā, tad 1,4 % no apgrozījuma.

Mācību un sertifikācijas iespējas BDA

Foto: Freepik.com

Mēs, Baltijas Datoru Akadēmija (BDA), piedāvājam daudzveidīgas mācību un sertifkācijas iespējas kiberdrošības jomā. Šie kursi noderēs arī kiberdrošības pārvaldniekiem:

• NIS2 Vadošais ieviesējs;
• ISO 31000 Risku vadītājs;
• ISO/IEC 27001 Vadošais ieviesējs;
• ISO/IEC 27001 Vadošais auditors;
• CISSP® (Sertificēta informācijas sistēmu drošības profesionāļa kurss);
• CISM® (Sertificēta informācijas drošības vadītāja kurss);
• CEH (Sertificēta ētiskā hakera kurss);
• CompTIA® drošības pamati (Security+);
• Kiberdrošības e-kurss “Drošs darbinieks” – šīs mācības ir piemērotas pilnīgi visiem darbiniekiem, arī tiem, kuru tiešie darba pienākumi ikdienā nav saistīti ar IT un kiberdrošības jomām.

NIS2 direktīva palīdzēs cīņā ar kiberuzbrukumiem, mazinot gan to ietekmi, gan paātrinot seku likvidāciju. Tomēr jāatceras, ka visvājākais posms kibernoturības stiprināšanā ir pats cilvēks. Tieši tādēļ ir vērtīgi investēt darbinieku profesionālajā attīstībā, sniedzot iespēju izglītoties kiberdrošības jomā, lai tie vienmēr būtu lietas kursā par aktuālo, prastu atpazīt iespējamos draudus un pareizi reaģēt. Apskati mūsu daudzveidīgo mācību piedāvājumu un izvēlies atbilstošākos kursus!