Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti

Siekdama savo pagrindinio politikos tikslo – Europos Sąjungos valstybių narių tinkamo pasiruošimo vis besiplečiančiam skaitmenizavimui, ir atsižvelgdama į nuolat besikeičiančią technologinę aplinką bei kibernetinių grėsmių spektrą, Europos Komisija savo 2020 m. programoje paskelbė, kad iki metų pabaigos peržiūrės Europos kibernetinio saugumo strategiją ir teisinę bazę.  

2020 m. gruodžio 16 d. EK pristatė naują ES kibernetinio saugumo strategiją, į kurią buvo įtraukti pagrindinio kibernetinio saugumo teisės akto atnaujinimai, taip pat ir direktyvos dėl „aukšto bendro kibernetinio saugumo lygio visoje ES priemonių“ pasiūlymas – Tinklo ir informacinių sistemų saugumo (TIS) 2 direktyva, angliškai žinoma kaip NIS2.

TIS poveikio vertinimas

Kaip pažymi dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas, pirmoji TIS  direktyva prisidėjo prie rizikos valdymo kultūros plėtojimo įmonėse, nustatė už kibernetinį saugumą atsakingų institucijų atsakomybės ribas, įpareigojo valstybes identifikuoti kritinę informacinę infrastruktūrą bei sukurti kibernetinių incidentų valdymo tvarkas.  

„Pagrindiniai TIS taikymo subjektai – esmines paslaugas teikiančių? paslaugų operatoriai ir skaitmeniniu? paslaugu? tiekėjai. Vis dėlto, besikeičiantis kibernetinių grėsmių spektras bei tam tikri pirmosios TIS direktyvos taikymo ir įgyvendinimo trūkumai paskatino Komisiją atlikti išsamų TIS direktyvos poveikio vertinimą“, – paaiškina T. Jakštas.

2020 m. birželio 25 d. EK paskelbė bendrą TIS direktyvos pradinio poveikio vertinimą. Pagrindinėse išvadose skelbiama, jog TIS direktyvos taikymo sritis yra pernelyg ribota sektorių atžvilgiu, o tam didžiausią įtaką turi pastaraisiais metais suintensyvėjusi skaitmenizacija ir išaugę tarpusavio ryšiai tarp skirtingų sektorių; taip pat – TIS direktyvos taikymo sritis nebeatspindi ES skaitmeninės ekonominės plėtros aktualumo.

„Be to, vertinime padaryta išvada, kad direktyvoje nėra pakankamai aiškumo dėl ypatingos svarbos informacinės infrastruktūros taikymo srities kriterijų ar nacionalinės kompetencijos skaitmeninių paslaugų teikėjų atžvilgiu. Susidarė situacija, kad kai kuriuose valstybėse nebuvo nustatyti tam tikri ypatingos svarbos subjektai, kuriems turėtų būti taikomi TIS direktyvos reglamentai. Pavyzdžiui, kai kuriose valstybėse TIS direktyva nėra taikoma net didžiosioms ligoninėms, kai tuo tarpu kitose valstybėse narėse beveik kiekvienam sveikatos priežiūros paslaugų teikėjui galioja TIS reikalavimai“, – pavyzdį pateikia ekspertas.

TIS direktyva valstybėms narėms suteikė plačią veiksmų laisvę nustatant ypatingos svarbos sektorių saugumo reikalavimus ir pranešimų apie incidentus tvarkas. Komisijos atliktas poveikio vertinimas parodė, kad kai kuriais atvejais valstybės narės šiuos reikalavimus ir tvarkas įgyvendino labai skirtingai, sukurdamos papildomą naštą įmonėms, veikiančioms daugiau nei vienoje valstybėje narėje.

EK vertinimas taip pat parodė, kad TIS direktyvos priežiūros ir vykdymo tvarka yra neveiksminga. Labai skiriasi valstybių turimi finansiniai ir žmogiškieji ištekliai, kuriuos jos skiria savo įsipareigojimams (pavyzdžiui, ypatingos informacinės infrastruktūros nustatymui ar priežiūrai) įgyvendinti.

TIS 2 direktyvos naujovės

Pernai gruodį EK paskelbtas TIS direktyvos atnaujinimo pasiūlymas panaikina 2016 m. liepos 6 d. priimtą direktyvą (ES) 2016/1148 dėl tinklu? ir informaciniu? sistemų? saugumo visoje ES (TIS direktyvą), kuri buvo pirmasis visoje Bendrijoje galiojantis kibernetinio saugumo teisės aktas.

Naujuoju EK pasiūlymu siekiama pašalinti ankstesnės TIS direktyvos trūkumus, atsižvelgiant į pastaraisiais metais padidėjusį vidaus rinkos skaitmenizavimą ir besikeičiančią kibernetinio saugumo grėsmių aplinką.

Kaip teigia T. Jakštas, pirmiausia buvo išplėsta direktyvos taikymo sritis: ji taikoma didesniam skaičiui ypatingos svarbos sektorių.

„Nauji sektoriai įtraukiami, atsižvelgiant į jų svarbą ekonomikai ir visuomenei. Be to, EK pasiūlyme nebėra išskiriami esmines paslaugas teikiantys operatoriai (angl. Operators of Essential Services) ir skaitmeninių paslaugų teikėjai (angl. Digital Service Providers). Komisijos pateiktame pasiūlyme subjektai yra klasifikuojami pagal jų svarbą ir skirstomi į ypatingas arba svarbias kategorijas,“ – dėsto ekspertas.

Naujosios direktyvos taikymo sritis apima tokius naujus sektorius kaip viešasis administravimas, kosmosas, skaitmeninė infrastruktūra ir kt.  

nuotrauka::1 nocrop

Griežtesni reikalavimai

EK pasiūlyme nustatytos griežtesnės priežiūros priemonės nacionalinėms valdžios institucijoms ir griežtesni vykdymo reikalavimai.

Pasiūlymu taip pat siekiama suderinti sankcijų režimus visose valstybėse narėse, todėl yra numatoma sudaryti administracinių sankcijų sąrašą, įskaitant baudas už kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo įsipareigojimų pažeidimą.

Trečiasis svarbus pakeitimas – siūloma taikyti griežtesnius saugumo reikalavimus įmonėms, nurodant tikslinių priemonių sąrašą, įskaitant reagavimą į įvykius ir krizių valdymą, pažeidžiamumų valdymą ir atskleidimą, pažeidžiamumų testavimą ir efektyvų šifravimo naudojimą.

Pasiūlyme taip pat kalbama apie pagrindinių informacinių ir ryšių technologijų tiekimo grandinių kibernetinio saugumo stiprinimą, nurodant, kad turėtų būti įvertinta ir atsižvelgta į bendrą tiekėjų ir paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant saugias produktų ir paslaugų kūrimo procedūras.

Be to, EK pasiūlymu siekiama nustatyti tiesioginę atsakomybę įmonės vadovybei už siūlomų rizikos valdymo priemonių nesilaikymą.

Dar vienas svarbus aspektas, kurį išskiria „NRD Cyber Security“ ekspertai – tai,  kad numatyta supaprastinta pranešimų apie incidentus tvarka, išskiriant tikslesnes nuostatas dėl pranešimo proceso, turinio ir laiko.

Glaudesnis vidaus bendradarbiavimas

Siekiant sustiprinti koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą ES lygiu, EK savo pasiūlyme akcentuoja Europos kibernetinių krizių ryšių palaikymo organizacijų tinklo (EU-CyCLONe) sukūrimą. Prie pagrindinių šio tinklo veikimo tikslų priskiriama efektyvesnis dalijimasis informacija ir glaudesnis valstybių narių valdžios institucijų bendradarbiavimas.

Dar viena svarbi naujovė – Komisijos pasiūlyme numatytas suderintas pažeidžiamumų (angl. responsible disclosure) atskleidimas ES lygiu ir Europos pažeidžiamumo registro sukūrimas.

nuotrauka::2 right

Tarpusavyje susiję reglamentai

Naujoji politika privalės būti derinama su kitais teisiniais reglamentais finansų ir kitose srityse, pabrėžia Modestas Sadauskas, „NRD Cyber Security“ informacijos ir kibernetinio saugumo ekspertas.

„Peržiūrint TIS direktyvą, pirmiausia bus atsižvelgiama į tris EK iniciatyvas. Pirmoji – ypatingos svarbos subjektų atsparumo direktyvos peržiūra. Ji susijusi su energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos, skaitmeninės infrastruktūros ir kitais sektoriais. Taip pat dėmesys atkreipiamas į ES reglamentą dėl skaitmeninės veiklos atsparumo finansų sektoriuje (DORA) ir į ES elektros tinklo kodekso iniciatyvą dėl kibernetinio saugumo reikalavimų“, – vardija M. Sadauskas.

DORA reglamentas, kuris tebėra derinamas, finansų sektoriui suteiktų teisinį aiškumą dėl kibernetinio saugumo nuostatų taikymo tarpvalstybiniams finansiniams subjektams ir panaikintų valstybių narių poreikį individualiai tobulinti veiklos atsparumo taisykles bei standartus.

Tikėtini rezultatai ir tolimesni žingsniai

Visi minimi atnaujinimai  prisideda prie reikšmingo Europos kibernetinio saugumo sistemos stiprinimo, teigia T. Jakštas.

Jo teigimu, numatomi teisiniai pokyčiai turėtų sustiprinti pasitikėjimą skaitmenine ekonomika.

Be to, aukštesnis suderinimo lygis gali sumažinti reguliavimo išlaidas toms įmonėms, kurios dirba skirtingose teisinėse jurisdikcijose.

Dar vienas svarbus aspektas yra tas, kad EK pasiūlymas galimai pareikalaus dar didesnių investicijų į personalą ir išteklius (ypač tų įmonių, kurios laikomos esminiais ir svarbiais subjektais).

„Tikėtina, kad nauji saugumo reglamentai atskiruose sektoriuose, pavyzdžiui, finansų ar energetikos, padės susisteminti ir komunikuoti sektoriaus specifines kibernetinio saugumo žinias, informacijos sklaidą, pritaikyti konkrečiam sektoriui skirtus incidentų reagavimo procesus ir technologijas, atsižvelgiant į sektorinių grėsmių spektro vystymąsi“, – prognozuoja „NRD Cyber Security“ ekspertas.

Komisijos pasiūlymai dėl TIS atnaujinimo bus perduoti Europos Sąjungos Tarybai ir Europos Parlamentui tolesnėms diskusijoms. Susitarus dėl TIS atnaujinimo, valstybės narės turės 18 mėnesių perkelti TIS  direktyvą į savo nacionalinę teisę.

Daugiau apie nacionalinės kibernetinio saugumo strategijos kūrimą ir teisinės bazės analizę bei ir vystymą.

Daugiau apie ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką.