TID 2 direktīva: tīklu un informācijas sistēmu drošība,

Kiberdrošība ietver tīklu un informācijas sistēmu (TID), to lietotāju un citu skarto personu aizsardzību pret kiberincidentiem un kiberdraudiem. Lai reaģētu uz pieaugošo Eiropas pakļautību kiberdraudiem, ar Direktīvu 2022/2555, kas pazīstama arī kā TID 2, tika aizstāta tās priekštece Direktīva 2016/1148 vai TID 1. TID2 palielina ES kopējo mērķu vērienīgumu kiberdrošības jomā, izmantojot plašāku darbības jomu, skaidrākus noteikumus un stingrākus uzraudzības instrumentus. Tajā noteikts, ka dalībvalstīm ir jāuzlabo savas kiberdrošības spējas, vienlaikus ieviešot riska pārvaldības pasākumus un ziņošanas prasības vienībām no vairākām nozarēm un paredzot noteikumus par sadarbību, informācijas apmaiņu, uzraudzību un kiberdrošības pasākumu izpildi.

Direktīvā ir noteikts, ka katrai dalībvalstij ir jāpieņem valsts kiberdrošības stratēģija, kas ietver piegādes ķēdes drošības, neaizsargātības pārvaldības un kiberdrošības izglītības un informētības politiku. Dalībvalstīm ir arī jāizveido un regulāri jāatjaunina pamatpakalpojumu sniedzēju saraksts, nodrošinot, ka šīs vienības ievēro direktīvas prasības.

Papildus nozarēm, uz kurām jau attiecas TID 1 (enerģētika, transports, veselības aprūpe, finanses, ūdens resursu apsaimniekošana un digitālā infrastruktūra), jaunie noteikumi attiecas arī uz publisko elektronisko sakaru nodrošinātājiem, vairāk digitālo pakalpojumu sniedzējiem (piemēram, sociālajām platformām), atkritumu un notekūdeņu apsaimniekošanu, kritiski svarīgu produktu ražošanu, pasta un kurjeru pakalpojumiem un publisko pārvaldi gan centrālā, gan reģionālā līmenī, kā arī kosmosa nozari. Parasti vidējām un lielām vienībām šajās kritiskajās nozarēs būs jāveic atbilstoši kiberdrošības risku pārvaldības pasākumi un jāpaziņo attiecīgajām valsts iestādēm par būtiskiem incidentiem. Tie ir incidenti, kas var radīt būtiskus traucējumus vai kaitējumu.

Direktīvā ir iekļauti arī noteikumi par uzraudzību, izpildi un brīvprātīgu salīdzinošo izvērtēšanu, lai uzlabotu savstarpējo uzticēšanos un kiberdrošības spējas visā ES. Ar to arī ievieš augstākās vadības pārskatatbildību par kiberdrošības riska pārvaldības pasākumu neievērošanu, tādējādi pievēršot valdes uzmanību kiberdrošībai.

Ar direktīvu izveido datordrošības incidentu reaģēšanas vienību (CSIRT) tīklu, lai apmainītos ar informāciju par kiberdraudiem un reaģētu uz incidentiem. Šīm komandām ir izšķiroša nozīme situācijas apzināšanās uzturēšanā un palīdzības sniegšanā. Lai pārvaldītu plašapmēra kiberdrošības incidentus vai krīzes, ar direktīvu tiek izveidots Eiropas Kiberkrīžu sadarbības organizāciju tīkls (EU-CyCLONe). Šis tīkls atbalsta koordinētu pārvaldību un nodrošina regulāru informācijas apmaiņu starp dalībvalstīm un ES iestādēm liela mēroga incidentu un krīžu gadījumā. 

Vienlaikus TID sadarbības grupa ir platforma, kas izveidota ar TID direktīvu, lai atvieglotu stratēģisko sadarbību un informācijas apmaiņu starp ES dalībvalstīm, Eiropas Komisiju un ES Kiberdrošības aģentūru (ENISA). Grupa publicē nesaistošas pamatnostādnes un ieteikumus, lai atbalstītu TID direktīvas īstenošanu.

Vispārīga informācija

TID 1 (Direktīva 2016/1148) bija pirmais visaptverošais ES tiesību akts, kura mērķis bija uzlabot tīklu un informācijas sistēmu kiberdrošību, lai aizsargātu ES ekonomikai un sabiedrībai vitāli svarīgus pakalpojumus. Komisija 2020. gada decembrī ierosināja pārskatīt TID 1, kā rezultātā tika pieņemts TID 2, kas stājās spēkā 2023. gada janvārī. Dalībvalstīm TID 2 direktīva bija jātransponē valsts tiesību aktos līdz 2024. gada 17. oktobrim. TID 2 no 2024. gada 18. oktobra atcēla TID 1.