TIS 2 direktyva: naujos tinklų ir informacinių sistemų kibernetinio saugumo taisyklės

Kibernetinis saugumas apima tinklų ir informacinių sistemų, jų naudotojų ir kitų paveiktų asmenų apsaugą nuo kibernetinių incidentų ir grėsmių. Reaguojant į padidėjusį kibernetinių grėsmių poveikį Europai, ⁇ Direktyva 2022/2555, dar vadinama TIS 2 ⁇ , pakeitė ankstesnę Direktyvą 2016/1148 arba TIS 1. TIS 2 padidina bendrą ES užmojį kibernetinio saugumo srityje, nes išplečiama jo taikymo sritis, nustatomos aiškesnės taisyklės ir griežtesnės priežiūros priemonės. Jame reikalaujama, kad valstybės narės ⁇ stiprintų savo kibernetinio saugumo pajėgumus ⁇ , kartu nustatydamos rizikos valdymo priemones ir ataskaitų teikimo reikalavimus daugiau sektorių subjektams ir nustatydamos bendradarbiavimo, dalijimosi informacija, priežiūros ir kibernetinio saugumo priemonių vykdymo užtikrinimo taisykles.

Direktyvoje nustatyta, kad kiekviena valstybė narė turi priimti nacionalinę kibernetinio saugumo strategiją, kuri apima tiekimo grandinės saugumo, pažeidžiamumo valdymo ir švietimo bei informuotumo kibernetinio saugumo klausimais politiką. Valstybės narės taip pat turi sudaryti ir reguliariai atnaujinti esminių paslaugų operatorių sąrašą, užtikrindamos, kad šie subjektai laikytųsi direktyvos reikalavimų. 

Be sektorių, kurie jau įtraukti į TIS 1, pavyzdžiui, energetikos, transporto, sveikatos priežiūros, finansų, vandentvarkos ir skaitmeninės infrastruktūros, šios taisyklės taikomos viešųjų elektroninių ryšių paslaugų, labiau skaitmeninių paslaugų, pavyzdžiui, socialinių platformų, nuotekų ir atliekų tvarkymo, ypatingos svarbos produktų gamybos, pašto ir pasiuntinių paslaugų, viešojo administravimo tiek centriniu, tiek regioniniu lygmenimis arba kosmoso srityje, teikėjams. Paprastai šiuose ypatingos svarbos sektoriuose veikiantys vidutinio dydžio ir dideli subjektai turės imtis tinkamų kibernetinio saugumo rizikos valdymo priemonių ir pranešti atitinkamoms nacionalinėms institucijoms apie didelius incidentus. Tai yra incidentai, kurie gali sukelti didelių sutrikimų ar žalos. 

Į direktyvą taip pat įtrauktos nuostatos dėl priežiūros, vykdymo užtikrinimo ir savanoriškų tarpusavio vertinimų, kuriais siekiama didinti tarpusavio pasitikėjimą ir kibernetinio saugumo pajėgumus visoje ES. Juo taip pat nustatoma aukščiausiosios vadovybės atskaitomybė už kibernetinio saugumo rizikos valdymo priemonių nesilaikymą, taip atkreipiant valdybos dėmesį į kibernetinį saugumą.

Direktyva sukuriamas reagavimo į kompiuterių saugumo incidentus tarnybų (CSIRT) tinklas, skirtas keistis informacija apie kibernetines grėsmes ir reaguoti į incidentus. Šios grupės yra labai svarbios siekiant išlaikyti informuotumą apie padėtį ir teikti pagalbą. Siekiant valdyti didelio masto kibernetinio saugumo incidentus ar krizes, direktyva sukuriamas ⁇ Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas (EU-CyCLONe) ⁇ . Šis tinklas remia koordinuotą valdymą ir užtikrina reguliarų valstybių narių ir ES institucijų keitimąsi informacija didelio masto incidentų ir krizių atveju. 

Be to, TIS bendradarbiavimo grupė yra TIS direktyva sukurta platforma, kuria siekiama sudaryti palankesnes sąlygas ES valstybių narių, Europos Komisijos ir ES kibernetinio saugumo agentūros (ENISA) strateginiam bendradarbiavimui ir keitimuisi informacija. Grupė skelbia neprivalomas gaires ir rekomendacijas, kuriomis remiamas TIS direktyvos įgyvendinimas.

Pagrindiniai faktai

TIS 1 (Direktyva 2016/1148) buvo pirmasis išsamus ES teisės aktas, kuriuo siekiama didinti tinklų ir informacinių sistemų kibernetinį saugumą, kad būtų apsaugotos ES ekonomikai ir visuomenei gyvybiškai svarbios paslaugos. 2020 m. gruodžio mėn. Komisija pasiūlė peržiūrėti TIS 1 ir priimti TIS 2, kuris įsigaliojo 2023 m. sausio mėn. Valstybės narės TIS 2 direktyvą į nacionalinę teisę turėjo perkelti iki 2024 m. spalio 17 d. TIS 2 nuo 2024 m. spalio 18 d. panaikino TIS 1.