Direktīva par pasākumiem nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā (TID 2 direktīva) — bieži uzdotie jautājumi

TIDdirektīva — pirmais ES kiberdrošības tiesību akts — ir pirmais horizontālais iekšējā tirgus instruments, kura mērķis ir uzlabot tīklu un informācijas sistēmu noturību pret kiberdrošības riskiem Savienībā. Neraugoties uz ievērojamiem sasniegumiem, TID direktīva ir parādījusi zināmus ierobežojumus. Sabiedrības digitālā pārveide, ko pastiprināja Covid-19 krīze, ir paplašinājusi apdraudējuma vidi. Ir parādījušies jaunas problēmas, kas prasa pielāgotus un novatoriskus risinājumus.

Lai varētu analizēt TID direktīvas ietekmi un konstatēt trūkumus, Komisija veica plašu apspriešanos ar ieinteresētajām personām. Komisija apzināja šādus galvenos jautājumus:

• nepietiekams ES darbojošos uzņēmumu kibernoturības līmenis
• nekonsekventa noturība starp dalībvalstīm un nozarēm
• nepietiekama dalībvalstu kopīga izpratne par galvenajiem apdraudējumiem un problēmām
• kopīgas reaģēšanas uz krīzēm trūkums.

Tā rezultātā un lai reaģētu uz pieaugošajiem draudiem, ko rada digitalizācija un savstarpējā savienojamība, Komisija 2020. gada decembrī ierosināja pārskatītu nākotnes prasībām atbilstošu noteikumu kopumu, kura mērķis ir stiprināt kibernoturības līmeni Savienībā, par kuru abi likumdevēji 2022. gada 13. maijā ir panākuši politisku vienošanos un 2022. gada novembra beigās oficiāli pieņēma jauno direktīvu.

Kopš Covid-19 krīzes Eiropas ekonomika ir kļuvusi vairāk atkarīga no digitālajiem risinājumiem nekā jebkad agrāk. Nozares un pakalpojumi kļūst arvien ciešāk savstarpēji saistīti un savstarpēji atkarīgi. Tā rezultātā pieaug un strauji attīstās kiberdrošības draudu aina: visiem traucējumiem, pat tādiem, kas sākotnēji attiecās uz vienu vienību vai vienu nozari, var būt kaskādes efekts plašākā nozīmē, kas potenciāli var radīt tālejošu un ilgstošu negatīvu ietekmi uz pakalpojumu sniegšanu visā iekšējā tirgū.

Covid-19 pandēmija ir parādījusi mūsu arvien vairāk savstarpēji atkarīgo sabiedrību neaizsargātību, saskaroties ar negaidītiem riskiem. Tā pastiprināja jau aktuālās problēmas pašreizējā TID direktīvā un kalpoja par katalizatoru tās pārskatīšanai. Konkrētas izmaiņas TID direktīvā, ņemot vērā šo krīzi, bija paplašināt jaunās direktīvas darbības jomu, aptverot konkrētākus veselības nozares elementus, piemēram, struktūras, kas veic zāļu pētniecības un izstrādes darbības.

TID2 direktīvā ir paredzēti juridiski pasākumi, lai palielinātu vispārējo kiberdrošības līmeni ES nolūkā veicināt iekšējā tirgus vispārējo darbību. Tā pamatā ir trīs galvenie pīlāri, kas bija TID1 direktīvas pamatā:

1. Pamatojoties uz TID1 stratēģiju par tīklu un informācijas sistēmu drošību, lai panāktu augstu sagatavotības līmeni dalībvalstīs, TID2 direktīvā ir noteikts, ka dalībvalstīm ir jāpieņem valsts kiberdrošības stratēģija. Dalībvalstīm ir arī jāizraugās valsts datordrošības incidentu reaģēšanas vienības (CSIRT), kas ir atbildīgas par riska un incidentu risināšanu, kompetentā valsts kiberdrošības iestāde un vienotais kontaktpunkts (SPOC). SPOC ir jāveic sadarbības funkcija, lai nodrošinātu pārrobežu sadarbību starp dalībvalstu iestādēm un attiecīgajām iestādēm citās dalībvalstīs un attiecīgā gadījumā ar Komisiju un ENISA, kā arī lai nodrošinātu starpnozaru sadarbību ar citām kompetentajām iestādēm tās dalībvalstī.
2. TID2 direktīva arī turpina TID1 satvaru, ar ko izveido TID sadarbības grupu, lai atbalstītu un atvieglotu stratēģisko sadarbību un informācijas apmaiņu starp dalībvalstīm, un CSIRT tīklu, kas veicina ātru un efektīvu operatīvo sadarbību starp valstu CSIRT.
3. TID1 direktīva nodrošina, ka kiberdrošības pasākumi tiek veikti septiņās nozarēs, kas ir vitāli svarīgas mūsu ekonomikai un sabiedrībai un kas lielā mērā ir atkarīgas no IKT, piemēram, enerģētika, transports, banku nozare, finanšu tirgus infrastruktūra, dzeramais ūdens, veselības aprūpe un digitālā infrastruktūra.

Publiskām un privātām struktūrām, ko dalībvalstis identificējušas kā pamatpakalpojumu sniedzējus šajās nozarēs, ir jāveic kiberdrošības riska novērtējums un jāievieš piemēroti un samērīgi drošības pasākumi. Tām ir jāziņo attiecīgajām iestādēm par nopietniem incidentiem. Turklāt galveno digitālo pakalpojumu sniedzējiem (digitālo pakalpojumu sniedzējiem vai DPS), piemēram, meklētājprogrammām, mākoņdatošanas pakalpojumiem un tiešsaistes tirdzniecības vietām, arī ir jāievēro direktīvā noteiktās drošības un paziņošanas prasības. Tajā pašā laikā pēdējiem minētajiem tiek piemērots tā sauktais “vieglais” regulatīvais režīms, kas nozīmē, ka uz šīm vienībām neattiecas ex ante uzraudzības pasākumi.

TID2 direktīva ievērojami paplašina nozaru darbības jomu un ievieš lieluma robežvērtību, lai noteiktu, kuras vienības ietilpst tās darbības jomā un kurām būtu jāziņo par būtiskiem kiberdrošības incidentiem valstu kompetentajām iestādēm.

TID2 direktīvas mērķis ir novērst iepriekšējo noteikumu trūkumus, tos pielāgot pašreizējām vajadzībām un padarīt tos piemērotus nākotnes vajadzībām.

Šajānolūkā direktīva paplašina iepriekšējo noteikumu darbības jomu, pievienojot jaunas nozares, pamatojoties uz to digitalizācijas un savstarpējās savienojamības pakāpi un to, cik svarīgas tās ir ekonomikai un sabiedrībai, ieviešot skaidru noteikumu par lieluma robežvērtību, kas nozīmē, ka darbības jomā tiks iekļauti visi vidējie un lielie uzņēmumi atsevišķās nozarēs. Tajā pašā laikā dalībvalstīm ir atstāta zināma rīcības brīvība noteikt mazākas vienības ar augstu drošības riska profilu, uz kurām būtu jāattiecina arī jaunās direktīvas pienākumi.

Jaunā direktīva arī likvidē atšķirību starp pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem. Vienības tiktu klasificētas pēc to nozīmīguma un iedalītas divās kategorijās: būtiskās un svarīgās vienības, uz kurām attieksies atšķirīgs uzraudzības režīms.

Tā stiprina un racionalizē drošības un ziņošanas prasības uzņēmumiem, ieviešot riska pārvaldības pieeju, kas nodrošina minimālo piemērojamo drošības pamatelementu sarakstu. Ar jauno direktīvu ievieš precīzākus noteikumus par incidentu ziņošanas procesu, ziņojumu saturu un termiņiem.

Turklāt TID2 pievēršas piegādes ķēžu un piegādātāju attiecību drošībai, pieprasot atsevišķiem uzņēmumiem novērst kiberdrošības riskus piegādes ķēdēs un piegādātāju attiecībās. Eiropas līmenī direktīva stiprina galveno informācijas un komunikācijas tehnoloģiju piegādes ķēdes kiberdrošību. Dalībvalstis sadarbībā ar Komisiju un ENISA var veikt Savienības līmenī koordinētus kritisko piegādes ķēžu drošības riska novērtējumus, pamatojoties uz veiksmīgo pieeju, kas izmantota saistībā ar Komisijas Ieteikumu par 5G tīklu kiberdrošību.

Direktīva ievieš stingrākus uzraudzības pasākumus valstu iestādēm, stingrākas izpildes prasības, un tās mērķis ir saskaņot sankciju režīmus visās dalībvalstīs.

Tas arī palielina sadarbības grupas lomu stratēģisku politikas lēmumu izstrādē un palielina informācijas apmaiņu un sadarbību starp dalībvalstu iestādēm. Tā arī uzlabo operatīvo sadarbību CSIRT tīklā un izveido Eiropas kiberkrīžu koordinācijas organizāciju tīklu (EU-CyCLONe), lai atbalstītu plaša mēroga kiberdrošības incidentu un krīžu koordinētu pārvaldību.

TID2 arī izveido pamata satvaru ar atbildīgiem galvenajiem dalībniekiem attiecībā uz koordinētu neaizsargātības atklāšanu attiecībā uz nesen atklātajām vājajām vietām visā ES un izveido ES neaizsargātības datubāzi par publiski zināmām IKT produktu un IKT pakalpojumu vājajām vietām, ko pārvalda un uztur ES kiberdrošības aģentūra (ENISA).

TID2 aptver vienības no šādām nozarēm:

Ļoti kritiskas nozares: enerģija (elektroenerģija, centralizētā siltumapgāde un aukstumapgāde, nafta, gāze un ūdeņradis); transports (gaisa, dzelzceļa, ūdens un autoceļu transports); banku pakalpojumi; finanšu tirgus infrastruktūras; veselība, tostarp farmaceitisko produktu, tostarp vakcīnu ražošana; dzeramais ūdens; notekūdeņi; digitālā infrastruktūra (interneta apmaiņas punkti; DNS pakalpojumu sniedzēji; TLD nosaukumu reģistri; mākoņdatošanas pakalpojumu sniedzēji; datu centru pakalpojumu sniedzēji; satura piegādes tīkli; uzticamības pakalpojumu sniedzēji; publisko elektronisko sakaru tīklu un publiski pieejamu elektronisko sakaru pakalpojumu nodrošinātāji); IKT pakalpojumu pārvaldība (pārvaldīti pakalpojumu sniedzēji un pārvaldīto drošības pakalpojumu sniedzēji), valsts pārvalde un kosmoss.

Citas kritiski svarīgas nozares: pasta un kurjeru pakalpojumi; atkritumu apsaimniekošana; ķimikālijas; pārtika; medicīnas ierīču, datoru un elektronikas, mehānismu un iekārtu, mehānisko transportlīdzekļu, piekabju un puspiekabju un citu transportlīdzekļu ražošana; digitālo pakalpojumu sniedzēji (tiešsaistes tirdzniecības vietas, tiešsaistes meklētājprogrammas un sociālo tīklu pakalpojumu platformas) un pētniecības organizācijas.

Pašreizējo drošības un incidentu ziņošanas prasībuizvērtējums liecina, ka dažos gadījumos dalībvalstis šīs prasības ir īstenojušas ievērojami dažādos veidos. Tas ir radījis papildu slogu uzņēmumiem, kas darbojas vairāk nekā vienā dalībvalstī.

Turklāt attiecībā uz kiberdrošības prasībām mēs vēlamies būt pārliecināti, ka visi uzņēmumi savā kiberdrošības riska pārvaldības politikā pievēršas nepieciešamajam pamatelementu kopumam.

Šā iemesla dēļ TID2 ietver sarakstu ar 10 galvenajiem elementiem, kas visiem uzņēmumiem ir jārisina vai jāīsteno to veikto pasākumu ietvaros, tostarp incidentu risināšana, piegādes ķēdes drošība, neaizsargātības apstrāde un izpaušana, kriptogrāfijas izmantošana un attiecīgā gadījumā šifrēšana.

Attiecībā uz ziņošanu par incidentiem mums ir jāpanāk pareizais līdzsvars starp vajadzību pēc ātras ziņošanas, lai izvairītos no incidentu iespējamas izplatīšanās, un vajadzību pēc padziļinātas ziņošanas, lai gūtu vērtīgu pieredzi, kas gūta no atsevišķiem incidentiem. Jaunajā direktīvā ir paredzēta daudzpakāpju pieeja ziņošanai par incidentiem. Skartajiem uzņēmumiem 24 stundu laikā no brīža, kad tie pirmo reizi uzzināja par incidentu, ir jāiesniedz agrīns brīdinājums CSIRT vai kompetentajai valsts iestādei, kas arī ļautu tiem lūgt palīdzību (norādījumus vai darbības konsultācijas par iespējamo riska mazināšanas pasākumu īstenošanu), ja tie to pieprasa. Pēc agrīnās brīdināšanas 72 stundu laikā pēc tam, kad ir kļuvis zināms par incidentu, būtu jāiesniedz paziņojums par incidentu un galīgais ziņojums ne vēlāk kā vienu mēnesi vēlāk.

Jaunā TID direktīva kompetento iestāžu uzdevumu centrā izvirza uzraudzību un izpildi un nosaka saskaņotu sistēmu visām uzraudzības un izpildes darbībām dalībvalstīs.

Lai stiprinātu uzraudzību, kas palīdz nodrošināt efektīvu atbilstību, TID2 paredz minimālo uzraudzības līdzekļu sarakstu, ar kura palīdzību kompetentās iestādes var uzraudzīt būtiskās un svarīgās vienības. Tie ietver regulāras un mērķtiecīgas revīzijas, pārbaudes uz vietas un ārpus tām, informācijas pieprasījumu un piekļuvi dokumentiem vai pierādījumiem.

Turklāt jaunajā direktīvā ir noteikta uzraudzības režīmu diferencēšana starp būtiskām un svarīgām vienībām, lai nodrošinātu taisnīgu līdzsvaru starp pienākumiem gan vienībām, gan kompetentajām iestādēm.

Attiecībā uz izpildi dalībvalstīs līdz šim ir bijusi vispārēja nevēlēšanās piemērot sodus vienībām, kas nav ieviesušas drošības pasākumus vai neziņo par incidentiem. Tas var negatīvi ietekmēt vienību kibernoturību. Lai nodrošinātu efektīvu izpildi, ar jauno direktīvu izveido konsekventu sankciju sistēmu visā Savienībā. Tāpēc ar to izveido minimālo administratīvo sankciju sarakstu par TID2 direktīvā noteikto kiberdrošības riska pārvaldības un ziņošanas pienākumu pārkāpumiem. Šīs sankcijas ietver saistošus norādījumus, lai īstenotu drošības revīzijas ieteikumus, lai drošības pasākumus saskaņotu ar TID prasībām, un administratīvus naudas sodus. Attiecībā uz administratīviem naudas sodiem jaunajā TID direktīvā ir nošķirtas būtiskās un svarīgās vienības. Attiecībā uz būtiskajām vienībām tajā noteikts, ka dalībvalstīm ir jāparedz noteikts administratīvo naudas sodu līmenis, proti, ne vairāk kā EUR 10,000,000 vai 2 % no kopējā gada apgrozījuma pasaulē iepriekšējā finanšu gadā, atkarībā no tā, kura summa ir lielāka. Attiecībā uz svarīgām vienībām TID2 paredz, ka dalībvalstīm ir jāparedz maksimālais naudas sods vismaz EUR 7,000,000 apmērā vai vismaz 1,4 % no kopējā gada apgrozījuma pasaulē iepriekšējā finanšu gadā, atkarībā no tā, kura summa ir lielāka.

Īstenojot savas izpildes pilnvaras, kompetentajām iestādēm būtu pienācīgi jāņem vērā katra gadījuma konkrētie apstākļi, piemēram, pārkāpuma raksturs, smagums un ilgums, radītais kaitējums vai radītie zaudējumi, pārkāpuma tīša vai nolaidība.

Lai nodrošinātu patiesu pārskatatbildību par kiberdrošības pasākumiem organizatoriskajā līmenī, TID2 ievieš noteikumus par to fizisko personu atbildību, kuras ieņem augstākās vadības amatus vienībās, uz kurām attiecas jaunās TID direktīvas darbības joma.

Jaunie noteikumi uzlabo veidu, kādā ES novērš liela mēroga kiberdrošības incidentus un krīzes un reaģē uz tiem. Tās to dara, ieviešot skaidrus pienākumus, atbilstošu plānošanu un plašāku ES sadarbību. TID2 paredz, ka dalībvalstīm ir jāieceļ valsts iestādes, kas ir atbildīgas par kiberkrīžu pārvarēšanu, jāievieš valsts mēroga kiberdrošības incidentu un reaģēšanas uz krīzēm plāni un jāizveido Eiropas Kiberkrīžu sadarbības organizācijas tīkls (EU-CYCLONe), lai atbalstītu plaša mēroga kiberdrošības incidentu un krīžu koordinētu pārvaldību operatīvā līmenī. Šis tīkls ir svarīgs elements, kas palīdz izveidot ES kiberkrīžu pārvarēšanas satvaru, ko Komisija izklāstīja 2017. gadā ar Ieteikumu par koordinētu reaģēšanu uz liela mēroga incidentiem un krīzēm.

Parasti uzskata, ka būtiskās un svarīgās vienības ir tās dalībvalsts jurisdikcijā, kurā tās veic uzņēmējdarbību. Ja vienība veic uzņēmējdarbību vairāk nekā vienā dalībvalstī, tai vajadzētu būt katras šīs dalībvalsts jurisdikcijā. Kompetentajām iestādēm katrai no šīm dalībvalstīm būtu jāsadarbojas, jāsniedz savstarpēja palīdzība vienai otrai un vajadzības gadījumā jāveic kopīgas uzraudzības darbības. Šim noteikumam ir vairāki izņēmumi:

• publisko elektronisko sakaru tīklu nodrošinātāji vai pakalpojumu sniedzēji vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji būtu tās dalībvalsts jurisdikcijā, kurā tie sniedz savus pakalpojumus.
• valsts pārvaldes iestādes būtu tās dalībvalsts jurisdikcijā, kas tās dibinājusi.
• noteiktu veidu subjekti būtu tās dalībvalsts jurisdikcijā, kurā to galvenā iedibinājuma vieta ir Savienībā. Šīs vienības ir domēnu nosaukumu sistēmas pakalpojumu sniedzēji, augstākā līmeņa domēnu nosaukumu reģistri, vienības, kas sniedz domēnu nosaukumu reģistrācijas pakalpojumus, mākoņdatošanas pakalpojumu sniedzēji, datu centru pakalpojumu sniedzēji, satura piegādes tīklu nodrošinātāji, pārvaldīto pakalpojumu sniedzēji, pārvaldīto drošības pakalpojumu sniedzēji, kā arī tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālo tīklu platformu nodrošinātāji. Tas ir nepieciešams, lai nodrošinātu, ka šādas struktūras nesaskaras ar daudzām atšķirīgām juridiskajām prasībām, jo tās īpaši lielā mērā sniedz pakalpojumus pāri robežām. Efektīvas uzraudzības nolūkā dalībvalstis pieprasīs, lai šāda veida vienības cita starpā paziņotu, ja vienības galvenā iedibinājuma vieta ir, kā arī citas juridiskās uzņēmējdarbības vietas Savienībā vai, ja tās neveic uzņēmējdarbību Savienībā, vietas, kur ir iecelts subjekta pārstāvis. ENISA būtu jāizveido un jāuztur reģistrs, kurā būtu dalībvalstu sniegtā informācija.

ES sadarbība tiek turpināta, ļaujot dalībvalstīm rīkoties kopīgi un novērst jaunos drošības riskus, ko rada pašreizējā digitālā pārveide.

Konkrētāk, dalībvalstis varēs kopīgi uzraudzīt ES noteikumu īstenošanu un savstarpēji palīdzēt cita citai pārrobežu ļaunprātīgas rīcības gadījumā, veidot strukturētāku dialogu ar privāto sektoru un koordinēt iekšējā tirgū pārdotās programmatūras un aparatūras vājās vietas atklāšanu. Tās arī varēs koordinēti strādāt, lai novērtētu ar jaunajām tehnoloģijām saistītos drošības riskus un apdraudējumus, kā tas pirmo reizi tika darīts ar 5G palīdzību.

Dalībvalstis izmantos ES sadarbību, lai uzlabotu valstu spējas, izmantojot personāla apmaiņu starp iestādēm un salīdzinošo izvērtēšanu. Esošās grupas, jo īpaši sadarbības grupa, kas apvieno valstu kiberdrošības iestādes, un datordrošības incidentu reaģēšanas vienību tīkls (CSIRT), palīdzēs uzlabot sadarbību attiecīgi stratēģiskā un tehniskā līmenī.

TID2 direktīva ir cieši saistīta ar divām citām iniciatīvām — Kritisko vienību noturības (CER) direktīvu un Regulu par finanšu sektora digitālās darbības noturību (Digitālās operatīvās noturības akts, DORA).

TID 2 un Kritisko vienību noturības direktīvas (CER direktīva)darbības joma ir lielā mērā saskaņota, lai nodrošinātu, ka kritisko vienību fiziskā un kibernoturība tiek risināta visaptverošā veidā. Uz vienībām, kas identificētas kā kritiskās vienības saskaņā ar CER direktīvu, attieksies arī TID2 direktīvā noteiktie kiberdrošības pienākumi. Turklāt valstu kompetentajām iestādēm saskaņā ar CER un TID2 direktīvu ir jāsadarbojas un regulāri jāapmainās ar attiecīgu informāciju, piemēram, par riskiem, kiberdraudiem un incidentiem, kā arī par riskiem, kas nav saistīti ar kiberdrošību, apdraudējumiem un incidentiem. TID2 sadarbības grupai regulāri un vismaz reizi gadā būs jātiekas ar Kritisko vienību noturības grupu, kas izveidota saskaņā ar CER direktīvu.

Attiecībā uz finanšu sektoru, lai gan jaunā TID direktīva ietver kredītiestādes, tirdzniecības vietu operatorus un centrālos darījumu partnerus, kas ietilpst tās darbības jomā, DORA attieksies uz šīm struktūrām attiecībā uz kiberdrošības riska pārvaldību un ziņošanas pienākumiem. Tajā pašā laikā ir svarīgi saglabāt ciešas attiecības informācijas apmaiņai starp finanšu sektoru un citām nozarēm, uz kurām attiecas TID 2. Šajā nolūkā saskaņā ar DORA Eiropas uzraudzības iestādes (EUI) finanšu nozarē un finanšu sektora valstu kompetentās iestādes varētu piedalīties TID sadarbības grupas diskusijās. Turklāt DORA kompetentās iestādes varētu iepazīties ar attiecīgo informāciju un apmainīties ar to ar vienoto kontaktpunktu (SPOC) un CSIRT, kas izveidoti saskaņā ar TID2. Kompetentās iestādes, SPOC vai CSIRT, kas izveidotas saskaņā ar TID2, saņemtu arī informāciju par būtiskiem ar IKT saistītiem incidentiem no kompetentajām iestādēm saskaņā ar DORA. Turklāt dalībvalstīm būtu jāturpina iekļaut finanšu nozari savās kiberdrošības stratēģijās, un valstu CSIRT var aptvert finanšu nozari savās darbībās.

Dalībvalstīm direktīva būs jātransponē līdz 2024. gada 17. oktobrim (21 mēnesis pēc TID2 stāšanās spēkā). Pēc tam Komisijai ir periodiski jāpārskata direktīvas darbība un pirmo reizi līdz 2027. gada 17. oktobrim par to jāziņo Parlamentam un Padomei.