Salīdzinot ar iepriekšējo versiju, jaunajā tīklu un informācijas drošības direktīvā jeb NIS2 vairs nav atšķirības starp pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem: uzņēmumi tiks klasificēti, pamatojoties uz to nozīmīgumu, un iedalīti divās kategorijās: būtiski un svarīgi uzņēmumi, uz kuriem attieksies atšķirīgi uzraudzības režīmi.
Tas nozīmē, ka visas nozares un organizācijas, uz kurām attiecas NIS2 , ir ļoti svarīgas ES dalībvalstu kopienām. Tiek konstatēts, ka to darbības pārtraukšana radītu nopietnu kaitējumu sabiedrībai, ja tās vairs nespētu pildīt savas funkcijas. Līdz ar to klasifikācija tika izveidota, lai nošķirtu to, ka ne visas nozares incidenta gadījumā ietekmē sabiedrību vienādā mērā. Tālāk tekstā mēs aplūkojam atšķirību starp abām kategorijām - būtiskām un svarīgām - un to ietekmi uz to, kādas izmaiņas ieviesīs NIS2.
Būtiskie vai svarīgie subjekti?
NIS2 ieviešana paplašinās sākotnējās NIS direktīvas darbības jomu. Proti, vairākiem subjektiem būs jāsāk ievērot prasības. Bet kādas ir šīs prasības un kā tās tiks īstenotas?
Pienākums rūpēties un pienākums ziņot
Visām organizācijām, uz kurām attiecas NIS2 -būtiskām vai svarīgām, būs jāsāk ievērot pienākums rūpēties par savu darbību. Direktīvā ir ietverts to pasākumu veidu saraksts, kas pakalpojumu sniedzējiem jāievēro kā minimums. Tie ietver riska novērtēšanu, lai pārbaudītu, vai subjekts pievērš pietiekamu uzmanību informācijas sistēmu drošībai, krīžu pārvaldībai un darbības nepārtrauktībai liela kiberincidenta gadījumā, kā arī spēj nodrošināt savas piegādes ķēdes drošību. Turklāt pienākums rūpēties ietver tīkla un informācijas sistēmu drošības nodrošināšanu, kriptogrāfijas un šifrēšanas izmantošanu, kā arī politikas un procedūru izstrādi, kas novērtē riska pārvaldības pasākumu efektivitāti. Savukārt pienākums ziņot attieksies arī uz visiem subjektiem, uz kuriem attiecas NIS2. Saskaņā ar šo pienākumu attiecīgajiem subjektiem 24 stundu laikā pēc tam, kad tie ir uzzinājušas par incidentu, būs jāinformē savas valsts iestādes, pēc tam 72 stundu laikā jāinformē par jaunāko informāciju un pēc mēneša jāveic galīgais novērtējums.
Uzraudzība
Abām struktūrām ir vienādi gan pienākumi, gan saistības; tas paredz, ka būtisku un svarīgu subjektu vadības struktūru locekļiem ir jāiziet apmācība, kā arī jāveic atbilstoši un samērīgi tehniski, operatīvi un organizatoriski pasākumi, lai pārvaldītu tīkla un informācijas sistēmu drošībai radītos riskus. Struktūras tos izmanto darbībai vai pakalpojumu sniegšanai, lai novērstu vai minimizētu iespējamo incidentu ietekmi uz pakalpojumu saņēmējiem.
Būtiskiem subjektiem arī būs jābūt proaktīvai sagatavotības sistēmai, lai novērtētu nepareizas pārvaldības iespējamas sekas pat bez incidenta. Otrai kategorijai - svarīgiem subjektiem- atbilstība tiek sagaidīta reaktīvi. Proti, šo subjektu atbilstība tiesību aktiem un prasībām tiks pārbaudīta tikai pēc incidenta. Ja tiks konstatēts, ka rīcība nav bijusi pietiekama un prasības netika ievērotas, abām struktūru kategorijām tiks piemērotas vienādas sankcijas.
Svarīgi, ka līdz 2025. gada 17. aprīlim un pēc tam reizi divos gados kompetentās iestādes sniegs informāciju Komisijai un Sadarbības grupai par būtisko un svarīgo subjektu skaitu katrā nozarē.