Palyginus su ankstesne dokumento versija, naujojoje Tinklų ir informacinių sistemų saugumo direktyvoje (toliau - TIS2) panaikinamas būtiniausių paslaugų operatorių ir skaitmeninių paslaugų teikėjų atskyrimas: subjektai bus klasifikuojami pagal jų svarbą ir skirstomi į dvi kategorijas: kritinės svarbos ir svarbius subjektus, kuriems bus taikomi skirtingi priežiūros režimai.
Tai reiškia, kad visi sektoriai ir organizacijos, kurios yra minimos TIS2 direktyvoje, yra labai svarbios ES valstybėms narėms, nes jų veiklos sutrikdymas padarytų didelę žalą visuomenei. Įgyvendinus TIS2, bus išplėsta pradinės direktyvos reguliavimo sritis. Konkrečiau - daugiau organizacijų turės pradėti laikytis reikalavimų. Tačiau, kokie tai reikalavimai ir kaip jie bus vykdomi?
Pareiga informuoti ir pareiga prižiūrėti
Visos organizacijos, kurioms taikoma TIS2 - kritinės svarbos ir svarbios, turės pradėti laikytis savo pareigos prižiūrėti infrastruktūrą. Direktyvoje pateikiamas paslaugų tiekėjams privalomų laikytis priemonių sąrašas. Tarp jų - rizikos vertinimas, kuriuo siekiama patikrinti, ar organizacija skiria pakankamai dėmesio informacinių sistemų saugumui, krizių valdymui ir veiklos tęstinumui rimto kibernetinio incidento atveju, ir ar gali užtikrinti savo tiekimo grandinės saugumą. Be to, prie priežiūros pareigos priskiriama tinklo ir informacinių sistemų saugumo užtikrinimas, kriptografijos ir šifravimo naudojimas, įmonės politikos ir procedūrų, kuriomis vertinamas rizikos valdymo priemonių veiksmingumas, taikymas. Pareiga informuoti, t.y. - teikti ataskaitas, taip pat bus taikoma visoms organizacijoms, kurioms galioja TIS2. Pagal šią pareigą paveiktos organizacijos privalės apie tai pranešti savo nacionalinėms institucijoms per 24 valandas nuo tada, kai sužino apie incidentą, po to per 72 valandas pateikti atnaujintą informaciją ir po mėnesio atlikti galutinį vertinimą.
Stebėjimas
Abiejų išskirtų grupių pareigos ir atsakomybės yra vienodos; pavyzdžiui, kritinės svarbos ir svarbių subjektų valdymo organų nariai privalo išklausyti mokymus ir imtis atitinkamų techninių, praktinių ir organizacinių priemonių, norėdami suvaldyti kylančią tinklo ir informacinių sistemų saugumo riziką. Vykdydami veiklą ar teikdami paslaugas, subjektai taiko šias priemones, kad būtų išvengta incidentų poveikio jų ar kitų paslaugų gavėjams arba šis poveikis būtų kuo mažesnis.
Taip pat bus reikalaujama, kad kritinės svarbos organizacijos turėtų proaktyvią pasirengimo sistemą, kuri leistų įvertinti netinkamo valdymo poveikį net ir neįvykus incidentui. Antrosios kategorijos - svarbių organizacijų - atitikties tikimasi reaktyviai. Tai reiškia, kad šių organizacijų atitiktis įstatymams ir reikalavimams bus tikrinama tik įvykus incidentui. Jei atliekami veiksmai ir reikalavimų laikymasis bus įvertinti kaip nepakankami, abiejų kategorijų subjektams bus taikomos tos pačios sankcijos.
Svarbu atkreipti dėmesį, kad iki 2025 m. balandžio 17 d., o vėliau kas dvejus metus kompetentingos institucijos praneš Komisijai ir Bendradarbiavimo grupei apie kritinės svarbos ir svarbių kiekvieno sektoriaus subjektų skaičių.