TIS2 direktyva
TISdirektyva – pirmasis ES kibernetinio saugumo teisės aktas – yra pirmoji horizontaliosios vidaus rinkos priemonė, kuria siekiama didinti Sąjungos tinklų ir informacinių sistemų atsparumą kibernetinio saugumo rizikai. Nepaisant didelių pasiekimų, TIS direktyva parodė tam tikrus apribojimus. Dėl COVID-19 krizės suintensyvėjusi skaitmeninė visuomenės transformacija išplėtė grėsmių aplinką. Atsirado naujų iššūkių, kuriems spręsti reikia pritaikytų ir novatoriškų sprendimų.
Kad galėtų išanalizuoti TIS direktyvos poveikį ir nustatyti jos trūkumus, Komisija surengė išsamias konsultacijas su suinteresuotosiomis šalimis. Komisija nustatė šias pagrindines problemas:
- nepakankamas ES veikiančių įmonių kibernetinio atsparumo lygis
- nenuoseklus valstybių narių ir sektoriųatsparumas
- nepakankamas bendras valstybių narių supratimas apie pagrindines grėsmes ir iššūkius
- trūksta bendro atsako į krizes.
Todėl, siekdama reaguoti į didėjančias grėsmes, kylančias dėl skaitmeninimo ir tarpusavio sąsajų, 2020 m. gruodžio mėn. Komisija pasiūlė peržiūrėtą perspektyvių taisyklių rinkinį, kuriuo siekiama padidinti kibernetinio atsparumo lygį Sąjungoje, dėl kurio 2022 m. gegužės 13 d. teisėkūros institucijos pasiekė politinį susitarimą, o 2022 m. lapkričio mėn. pabaigoje oficialiai priėmė naująją direktyvą.
Po COVID-19 krizės Europos ekonomika tapo labiau priklausoma nuo skaitmeninių sprendimų nei bet kada anksčiau. Sektoriai ir paslaugos tampa vis labiau tarpusavyje susiję ir tarpusavyje susiję. Tai lėmė augančią ir sparčiai kintančią kibernetinio saugumo grėsmių aplinką: bet koks sutrikimas, net iš pradžių susijęs tik su vienu subjektu ar sektoriumi, gali turėti pakopinį poveikį platesniu mastu, dėl kurio gali atsirasti plataus masto ir ilgalaikis neigiamas poveikis paslaugų teikimui visoje vidaus rinkoje.
COVID-19 pandemija parodė mūsų vis labiau tarpusavyje susijusių visuomenių pažeidžiamumą netikėtos rizikos akivaizdoje. Ji sustiprino jau kylančius dabartinės TIS direktyvos klausimus ir tapo jos persvarstymo katalizatoriumi. Konkretus TIS direktyvos pakeitimas atsižvelgiant į šią krizę buvo išplėsti naujosios direktyvos taikymo sritį, įtraukiant konkretesnius sveikatos sektoriaus elementus, pavyzdžiui, subjektus, vykdančius vaistų mokslinių tyrimų ir technologinės plėtros veiklą.
TIS2 direktyvojenumatytos teisinės priemonės bendram kibernetinio saugumo lygiui ES didinti, siekiant prisidėti prie bendro vidaus rinkos veikimo. Ji grindžiama trimis pagrindiniais ramsčiais, kurie buvo TIS1 direktyvos pagrindas:
- Remiantis tinklų ir informacinių sistemų saugumo strategija TIS1, siekiant aukšto valstybių narių pasirengimo lygio, TIS2 direktyvoje reikalaujama, kad valstybės narės priimtų nacionalinę kibernetinio saugumo strategiją. Valstybės narės taip pat privalo paskirti nacionalines reagavimo į kompiuterinius saugumo incidentus tarnybas (CSIRT), kurios būtų atsakingos už rizikos ir incidentų valdymą, kompetentingą nacionalinę kibernetinio saugumo instituciją ir bendrą informacinį punktą (SPOC). BKP turi vykdyti ryšių palaikymo funkciją, kad užtikrintų tarpvalstybinį valstybių narių institucijų bendradarbiavimą su atitinkamomis kitų valstybių narių institucijomis ir, kai tinkama, su Komisija ir ENISA, taip pat užtikrintų tarpsektorinį bendradarbiavimą su kitomis savo valstybės narės kompetentingomis institucijomis.
- TIS2 direktyva taip pat tęsiama TIS1 sistema, kuria įsteigiama TIS bendradarbiavimo grupė, siekiant remti ir palengvinti valstybių narių strateginį bendradarbiavimą ir keitimąsi informacija, ir CSIRT tinklas, kuriuo skatinamas greitas ir veiksmingas nacionalinių CSIRT operatyvinis bendradarbiavimas.
- TIS1 direktyva užtikrinama, kad kibernetinio saugumo priemonių būtų imamasi septyniuose sektoriuose, kurie yra gyvybiškai svarbūs mūsų ekonomikai ir visuomenei ir kurie labai priklauso nuo IRT, pavyzdžiui, energetikos, transporto, bankininkystės, finansų rinkų infrastruktūros, geriamojo vandens, sveikatos priežiūros ir skaitmeninės infrastruktūros.
Viešieji ir privatieji subjektai, kuriuos valstybės narės nurodė kaip esminių paslaugų teikėjus šiuose sektoriuose, privalo atlikti kibernetinio saugumo rizikos vertinimą ir taikyti tinkamas bei proporcingas saugumo priemones. Jos privalo pranešti atitinkamoms institucijoms apie rimtus incidentus. Be to, pagrindinių skaitmeninių paslaugų teikėjai (skaitmeninių paslaugų teikėjai arba skaitmeninių paslaugų teikėjai), pavyzdžiui, paieškos sistemos, debesijos kompiuterijos paslaugos ir elektroninės prekyvietės, taip pat turi laikytis direktyvoje nustatytų saugumo ir pranešimo reikalavimų. Be to, pastariesiems taikoma vadinamoji „lengva“ reguliavimo tvarka, o tai reiškia, kad šiems subjektams netaikomos ex ante priežiūros priemonės.
TIS2 direktyva gerokai išplečiama sektorių taikymo sritis ir nustatoma dydžio riba, pagal kurią nustatoma, kurie subjektai patenka į jos taikymo sritį ir turėtų pranešti apie didelius kibernetinio saugumo incidentus nacionalinėms kompetentingoms institucijoms.
TIS2 direktyva siekiama pašalinti ankstesnių taisyklių trūkumus, jas pritaikyti prie dabartinių poreikių ir užtikrinti, kad jos būtų perspektyvios.
Šiuo tikslu direktyvoje išplečiama ankstesnių taisyklių taikymo sritis, įtraukiant naujus sektorius, atsižvelgiant į jų skaitmeninimo laipsnį ir tarpusavio sąsajas, taip pat į tai, kaip jie yra labai svarbūs ekonomikai ir visuomenei, nustatant aiškią dydžio ribą, o tai reiškia, kad į taikymo sritį bus įtrauktos visos vidutinės ir didelės įmonės tam tikruose sektoriuose. Kartu valstybėms narėms paliekama tam tikra veiksmų laisvė nustatyti mažesnius didelės saugumo rizikos subjektus, kuriems taip pat turėtų būti taikomi naujojoje direktyvoje nustatyti įpareigojimai.
Naująja direktyva taip pat panaikinamas esminių paslaugų operatorių ir skaitmeninių paslaugų teikėjų atskyrimas. Subjektai būtų klasifikuojami pagal jų svarbą ir suskirstyti į dvi kategorijas: esminiams ir svarbiems subjektams, kuriems bus taikoma skirtinga priežiūros tvarka.
Juo sugriežtinami ir supaprastinami įmonių saugumo ir ataskaitų teikimo reikalavimai, nustatant rizikos valdymo metodą, kuriame pateikiamas būtiniausių taikytinų saugumo elementų sąrašas. Naujojoje direktyvoje pateikiamos tikslesnės nuostatos dėl pranešimo apie incidentus proceso, pranešimų turinio ir terminų.
Be to, TIS2 sprendžiami tiekimo grandinių saugumo ir santykių su tiekėjais klausimai, reikalaujant, kad atskiros įmonės spręstų kibernetinio saugumo rizikos klausimus tiekimo grandinėse ir santykiuose su tiekėjais. Europos lygmeniu šia direktyva stiprinamas pagrindinių informacinių ir ryšių technologijų tiekimo grandinės kibernetinis saugumas. Valstybės narės, bendradarbiaudamos su Komisija ir ENISA, gali atlikti Sąjungos lygmens koordinuotus ypatingos svarbos tiekimo grandinių saugumo rizikos vertinimus, remdamosi sėkmingu požiūriu, kurio laikomasi pagal Komisijos rekomendaciją dėl 5G tinklų kibernetinio saugumo.
Direktyva nustatomos griežtesnės priežiūros priemonės nacionalinėms institucijoms, griežtesni vykdymo užtikrinimo reikalavimai ir siekiama suderinti sankcijų režimus visose valstybėse narėse.
Juo taip pat stiprinamas Bendradarbiavimo grupės vaidmuo priimant strateginius politikos sprendimus ir stiprinamas valstybių narių institucijų keitimasis informacija ir bendradarbiavimas. Juo taip pat stiprinamas operatyvinis bendradarbiavimas CSIRT tinkle ir įsteigiamas Europos kibernetinių krizių ryšių palaikymo organizacijų tinklas (EU-CyCLONe), siekiant remti koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą.
TIS2 taip pat nustatoma pagrindinė sistema su atsakingais pagrindiniais subjektais dėl koordinuoto pažeidžiamumo atskleidimo, susijusio su naujai nustatyta pažeidžiamumu visoje ES, ir sukuriama viešai žinomų IRT produktų ir IRT paslaugų pažeidžiamumo duomenų bazė, kurią turi valdyti ir prižiūrėti ES kibernetinio saugumo agentūra (ENISA).
TIS2 apima subjektus iš šių sektorių:
Didelės svarbos sektoriai: energija (elektros energija, centralizuotas šildymas ir vėsinimas, nafta, dujos ir vandenilis); transportas (oro, geležinkelių, vandens ir kelių); bankininkystė; finansų rinkų infrastruktūra; sveikata, įskaitant farmacijos produktų, įskaitant vakcinas, gamybą; geriamasis vanduo; nuotekoms; skaitmeninė infrastruktūra (interneto mainų punktai; DNS paslaugų teikėjai; Aukščiausio lygio domenų vardų registrai; debesijos kompiuterijos paslaugų teikėjai; duomenų centrų paslaugų teikėjai; turinio pristatymo tinklai; patikimumo užtikrinimo paslaugų teikėjai; viešųjų elektroninių ryšių tinklų ir viešai prieinamų elektroninių ryšių paslaugų teikėjai); IRT paslaugų valdymas (valdomų paslaugų teikėjai ir valdomų saugumo paslaugų teikėjai), viešasis administravimas ir kosmosas.
Kiti ypatingos svarbos sektoriai: pašto ir kurjerių paslaugos; atliekų tvarkymas; cheminės medžiagos; maisto produktai; medicinos prietaisų, kompiuterių ir elektronikos, mašinų ir įrangos, motorinių transporto priemonių, priekabų ir puspriekabių bei kitos transporto įrangos gamyba; skaitmeninių paslaugų teikėjai (internetinės prekyvietės, interneto paieškos sistemos ir socialinių tinklų paslaugų platformos) ir mokslinių tyrimų organizacijos.
Įvertinus dabartines saugumo ir pranešimo apie incidentus taisykles paaiškėjo, kad kai kuriais atvejais valstybės narės šiuos reikalavimus įgyvendino labai skirtingai. Dėl to daugiau nei vienoje valstybėje narėje veiklą vykdančioms įmonėms atsirado papildoma našta.
Be to, kalbant apie kibernetinio saugumo reikalavimus, norime būti tikri, kad visos įmonės savo kibernetinio saugumo rizikos valdymo politikoje atsižvelgia į būtinus pagrindinius elementus.
Dėl šios priežasties TIS2 apima 10 pagrindinių elementų, kuriuos visos įmonės turi spręsti arba įgyvendinti imdamosi priemonių, įskaitant incidentų valdymą, tiekimo grandinės saugumą, pažeidžiamumo valdymą ir informacijos atskleidimą, kriptografijos naudojimą ir, kai tinkama, šifravimą, sąrašą.
Kalbant apie pranešimus apie incidentus, turime rasti tinkamą pusiausvyrą tarp poreikio skubiai pranešti apie incidentus, kad būtų išvengta galimo incidentų plitimo, ir poreikio teikti išsamias ataskaitas, kad būtų galima pasinaudoti vertinga patirtimi, įgyta per atskirus incidentus. Naujojoje direktyvoje numatytas daugiapakopis pranešimo apie incidentus metodas. Nukentėjusios įmonės per 24 valandas nuo tada, kai pirmą kartą sužino apie incidentą, gali pateikti išankstinį įspėjimą CSIRT arba kompetentingai nacionalinei institucijai, kuris taip pat suteiktų joms galimybę prašyti pagalbos (gairių arba veiklos konsultacijų dėl galimų rizikos mažinimo priemonių įgyvendinimo), jei jos to paprašytų. Po išankstinio perspėjimo per 72 valandas nuo tada, kai sužinoma apie incidentą, turėtų būti pateiktas pranešimas apie incidentą, o galutinė ataskaita – ne vėliau kaip po vieno mėnesio.
Naujojoje TIS direktyvoje priežiūra ir vykdymo užtikrinimas yra svarbiausi kompetentingų institucijų uždaviniai ir nustatoma nuosekli visos priežiūros ir vykdymo užtikrinimo veiklos visose valstybėse narėse sistema.
Siekiant sustiprinti priežiūrą, padedančią užtikrinti veiksmingą reikalavimų laikymąsi, TIS2 numato minimalų priežiūros priemonių, kuriomis kompetentingos institucijos gali prižiūrėti esminius ir svarbius subjektus, sąrašą. Tai yra reguliarūs ir tiksliniai auditai, patikrinimai vietoje ir už jos ribų, informacijos prašymas ir galimybė susipažinti su dokumentais ar įrodymais.
Be to, naujojoje direktyvoje nustatomas esminių ir svarbių subjektų priežiūros režimų diferencijavimas, siekiant užtikrinti tinkamą tiek subjektų, tiek kompetentingų institucijų pareigų pusiausvyrą.
Kalbant apie vykdymo užtikrinimą, iki šiol valstybės narės apskritai nenoro taikyti sankcijų subjektams, kurie netaiko saugumo priemonių arba nepraneša apie incidentus. Tai gali turėti neigiamų pasekmių subjektų kibernetiniam atsparumui. Siekiant, kad vykdymo užtikrinimas būtų veiksmingas, naująja direktyva nustatoma nuosekli sankcijų sistema visoje Sąjungoje. Todėl juo nustatomas minimalus administracinių sankcijų už kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo pareigų, nustatytų TIS2 direktyvoje, nesilaikymą sąrašas. Šios sankcijos apima privalomus nurodymus, saugumo audito rekomendacijų įgyvendinimą, saugumo priemonių suderinimą su TIS reikalavimais ir administracines baudas. Kalbant apie administracines baudas, naujojoje TIS direktyvoje atskiriami esminiai ir svarbūs subjektai. Esminių subjektų atžvilgiu reikalaujama, kad valstybės narės numatytų tam tikrą administracinių baudų lygį, visų pirma ne mažiau kaip 10 000 000 EUR arba 2 % bendros praėjusių finansinių metų metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Kalbant apie svarbius subjektus, TIS2 reikalaujama, kad valstybės narės numatytų maksimalią ne mažesnę kaip 7 000 000 EUR baudą arba bent 1,4 proc. bendros praėjusių finansinių metų metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.
Naudodamosi savo vykdymo užtikrinimo įgaliojimais, kompetentingos institucijos turėtų tinkamai atsižvelgti į konkrečias kiekvieno atvejo aplinkybes, pavyzdžiui, pažeidimo pobūdį, sunkumą ir trukmę, padarytą žalą ar patirtus nuostolius, tyčinį ar neatsargų pažeidimo pobūdį.
Siekiant užtikrinti realią atskaitomybę už kibernetinio saugumo priemones organizaciniu lygmeniu, TIS2 nustatomos nuostatos dėl fizinių asmenų, einančių vyresniosios vadovybės pareigas subjektuose, kuriems taikoma naujoji TIS direktyva, atsakomybės.
Naujosiomis taisyklėmis gerinami ES prevencijos, valdymo ir reagavimo į didelio masto kibernetinio saugumo incidentus ir krizes būdai. Jos tai daro nustatydamos aiškią atsakomybę, tinkamą planavimą ir glaudesnį ES bendradarbiavimą. Pagal TIS 2 reikalaujama, kad valstybės narės paskirtų nacionalines institucijas, atsakingas už kibernetinių krizių valdymą, nustatytų nacionalinius didelio masto kibernetinio saugumo incidentų ir reagavimo į krizes planus ir sukurtų Europos kibernetinių krizių ryšių palaikymo organizacijų tinklą (EU-CYCLONe), kuris padėtų koordinuotai valdyti didelio masto kibernetinio saugumo incidentus ir krizes operatyviniu lygmeniu. Šis tinklas yra pagrindinis komponentas, padedantis sukurti ES kibernetinių krizių valdymo sistemą, kurią 2017 m. Komisija apibrėžė Rekomendacija dėl koordinuoto atsako į didelio masto incidentus ir krizes.
Paprastai laikoma, kad esminiai ir svarbūs subjektai priklauso valstybės narės, kurioje jie yra įsteigti, jurisdikcijai. Jei subjektas įsteigtas daugiau nei vienoje valstybėje narėje, jis turėtų priklausyti kiekvienos iš šių valstybių narių jurisdikcijai. Kiekvienos iš šių valstybių narių kompetentingos institucijos turėtų bendradarbiauti, teikti savitarpio pagalbą ir prireikus vykdyti bendrus priežiūros veiksmus. Yra keletas šios taisyklės išimčių:
- viešųjų elektroninių ryšių tinklų ar paslaugų teikėjai arba viešai prieinamų elektroninių ryšių paslaugų teikėjai priklausytų valstybės narės, kurioje jie teikia savo paslaugas, jurisdikcijai.
- viešojo administravimo subjektai priklausytų juos įsteigusios valstybės narės jurisdikcijai.
- tam tikrų rūšių subjektai priklausytų valstybės narės, kurioje jų pagrindinė buveinė yra Sąjungoje, jurisdikcijai. Šie subjektai apima domenų vardų sistemos paslaugų teikėjus, aukščiausio lygio domenų vardų registrus, domenų vardų registravimo paslaugas teikiančius subjektus, debesijos kompiuterijos paslaugų teikėjus, duomenų centrų paslaugų teikėjus, turinio pristatymo tinklo paslaugų teikėjus, valdomų paslaugų teikėjus, valdomų saugumo paslaugų teikėjus, taip pat internetinių prekyviečių, interneto paieškos sistemų ir socialinių tinklų platformų teikėjus. Taip siekiama užtikrinti, kad tokiems subjektams nebūtų taikomi įvairūs teisiniai reikalavimai, nes jie teikia paslaugas tarpvalstybiniu mastu. Kad būtų galima vykdyti veiksmingą priežiūrą, valstybės narės privalės, be kita ko, pranešti apie tai, kur yra subjekto pagrindinė buveinė, taip pat apie jo kitas juridines buveines Sąjungoje arba, jei jie nėra įsisteigę Sąjungoje, vietą, kurioje paskiriamas subjekto atstovas. ENISA turėtų sukurti ir tvarkyti registrą, kuriame būtų kaupiama valstybių narių šiuo pagrindu pateikta informacija.
ES bendradarbiavimas tęsiamas suteikiant valstybėms narėms galimybę veikti kartu ir kovoti su kylančia saugumo rizika, kylančia dėl vykstančios skaitmeninės transformacijos.
Konkrečiau, valstybės narės galės bendrai prižiūrėti, kaip įgyvendinamos ES taisyklės, ir viena kitai padėti tarpvalstybinio piktnaudžiavimo atveju, palaikyti labiau struktūruotą dialogą su privačiuoju sektoriumi ir koordinuoti visoje vidaus rinkoje parduodamos programinės ir aparatinės įrangos pažeidžiamumo atskleidimą. Jie taip pat galės koordinuotai įvertinti su naujomis technologijomis susijusią saugumo riziką ir grėsmes, kaip pirmą kartą padaryta naudojant 5G.
Valstybėsnarės pasinaudos ES bendradarbiavimu, kad pagerintų nacionalinius pajėgumus valdžios institucijoms keičiantis darbuotojais ir atliekant tarpusavio vertinimus. Esamos grupės, visų pirma Bendradarbiavimo grupė, vienijanti nacionalines kibernetinio saugumo institucijas, ir Reagavimo į kompiuterinius saugumo incidentus tarnybų tinklas (CSIRT) prisidės prie bendradarbiavimo pažangos atitinkamai strateginiu ir techniniu lygmenimis.
TIS2 direktyva yra glaudžiai susijusi su kitomis dviem iniciatyvomis – Ypatingos svarbos subjektų atsparumo direktyva ir Reglamentu dėl finansų sektoriaus skaitmeninės veiklos atsparumo (Skaitmeninės veiklos atsparumo aktas, DORA).
TIS 2 ir Ypatingos svarbos subjektų atsparumo direktyvostaikymo sritis iš esmės suderinta siekiant užtikrinti, kad ypatingos svarbos subjektų fizinis ir kibernetinis atsparumas būtų visapusiškai sprendžiamas. Subjektams, kurie pagal CER direktyvą laikomi ypatingos svarbos subjektais, taip pat bus taikomi TIS2 direktyvoje nustatyti kibernetinio saugumo įpareigojimai. Be to, nacionalinės kompetentingos institucijos pagal CER ir TIS2 direktyvas turi bendradarbiauti ir reguliariai keistis atitinkama informacija, pavyzdžiui, apie riziką, kibernetines grėsmes ir incidentus, taip pat apie nekibernetinę riziką, grėsmes ir incidentus. Bendradarbiavimo grupė pagal TIS 2 turės reguliariai ir bent kartą per metus susitikti su Ypatingos svarbos subjektų atsparumo klausimų grupe, įsteigta pagal CER direktyvą.
Kalbant apie finansų sektorių, nors į naujosios TIS direktyvos taikymo sritį įtrauktos kredito įstaigos, prekybos vietų operatoriai ir pagrindinės sandorio šalys, DORA šiems subjektams taikys kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo prievoles. Kartu svarbu išlaikyti tvirtus finansų sektoriaus ir kitų sektorių, kuriems taikoma TIS 2, keitimosi informacija santykius. Tuo tikslu pagal DORA finansų sektoriaus Europos priežiūros institucijos (EPI) ir finansų sektoriaus nacionalinės kompetentingos institucijos galėtų dalyvauti TIS bendradarbiavimo grupės diskusijose. Be to, DORA kompetentingos institucijos galėtų konsultuotis ir dalytis atitinkama informacija su bendru informaciniu punktu (SPOC) ir CSIRT, įsteigtais pagal TIS 2. Kompetentingos institucijos, SPOC arba CSIRT, įsteigti pagal TIS 2, taip pat gautų išsamią informaciją apie didelius su IRT susijusius incidentus iš kompetentingų institucijų pagal DORA. Be to, valstybės narės turėtų ir toliau įtraukti finansų sektorių į savo kibernetinio saugumo strategijas, o nacionalinės CSIRT savo veikloje gali apimti finansų sektorių.
Valstybėsnarės direktyvą turės perkelti į nacionalinę teisę iki 2024 m. spalio 17 d. (21 mėnuo nuo TIS įsigaliojimo dienos). Tada Komisija turi periodiškai peržiūrėti direktyvos veikimą ir pirmą kartą iki 2027 m. spalio 17 d. pateikti ataskaitą Parlamentui ir Tarybai.