Kādi uzņēmumi Latvijā ir pakļauti NIS2 direktīvai?

Kas ir NIS2 direktīva?

NIS2 (Network and Information Security Directive 2) ir Eiropas Savienības kiberdrošības direktīva, kas stājās spēkā 2023. gadā, aizstājot sākotnējo NIS1 direktīvu. Tā paplašina attiecināmo uzņēmumu loku un nosaka stingrākas prasības attiecībā uz:

Riska pārvaldību
Incidentu ziņošanu
Kiberdrošības uzraudzību un sankcijām
Latvijā šī direktīva tiek ieviesta nacionālajos likumos, un uzņēmumiem, kas sniedz kritiskus vai būtiskus pakalpojumus, būs jānodrošina augsts kiberdrošības līmenis.

Kuri uzņēmumi Latvijā ir pakļauti NIS2 direktīvai?

Saskaņā ar NIS2 direktīvu Latvijā, jaunie kiberdrošības noteikumi attiecas uz divām galvenajām uzņēmumu kategorijām:

1. Būtisko pakalpojumu sniedzēji (Essential Entities)
Šie uzņēmumi nodrošina kritiskus pakalpojumus, kuru darbības traucējumi var radīt nopietnas sekas sabiedrībai un ekonomikai.
Latvijā šajā kategorijā ietilpst:
Enerģētikas uzņēmumi (elektroapgāde, gāzes piegāde, centrālā apkure)
Transporta sektors (dzelzceļš, lidostas, loģistikas un kravu pārvadājumu uzņēmumi)
Finanšu sektors (bankas, apdrošināšanas kompānijas, maksājumu iestādes)
Veselības aprūpe (slimnīcas, farmācijas uzņēmumi, medicīnas pakalpojumu sniedzēji)
Dzeramā ūdens un notekūdeņu apstrādes uzņēmumi
Publiskā pārvalde un valsts iestādes

2. Nozīmīgie pakalpojumu sniedzēji (Important Entities)
Šajā kategorijā ietilpst vidēji un lieli uzņēmumi, kuru darbība ir svarīga ekonomikai, bet kuru darbības traucējumi nerada tiešus draudus sabiedrībai.
Šie uzņēmumi ietver:
Digitālos pakalpojumu sniedzējus (mākoņpakalpojumi, datu centri, programmatūras uzņēmumi)
IKT piegādes ķēdes uzņēmumus (IT infrastruktūras nodrošinātāji)
Pētniecības un ražošanas uzņēmumus (īpaši augsto tehnoloģiju nozarēs)
Uzņēmumiem abās kategorijās ir jāievieš kiberdrošības risinājumi, kas nodrošina drošu datu pārvaldību un sistēmu aizsardzību pret kiberuzbrukumiem.

Kādas ir galvenās prasības uzņēmumiem saskaņā ar NIS2?

Uzņēmumiem, kas ir pakļauti NIS2 direktīvai Latvijā, ir jāievēro šādas galvenās prasības:
Kiberdrošības pārvaldība un riska novērtēšana
Jāievieš skaidra kiberdrošības stratēģija un regulāri jānovērtē draudi.
Incidentu ziņošana
Jāziņo par nopietniem kiberdrošības incidentiem 24 stundu laikā, bet pilnīgs ziņojums jāiesniedz 72 stundu laikā.
Datu aizsardzība un sistēmu drošība
Jānodrošina regulāras datu rezerves kopijas, piekļuves kontrole un drošības atjauninājumi.
Darbinieku apmācība
Jāorganizē regulāras kiberdrošības apmācības darbiniekiem, lai novērstu draudus, piemēram, pikšķerēšanu un sociālo inženieriju.
Sankcijas par neatbilstību
Uzņēmumiem, kas neievēro direktīvas prasības, var tikt piemēroti bargie naudas sodi un citi ierobežojumi.

Kā uzņēmumi Latvijā var nodrošināt atbilstību NIS2?

Lai nodrošinātu NIS2 direktīvas prasību izpildi, uzņēmumiem ieteicams sadarboties ar kiberdrošības risinājumu pakalpojumu sniedzējiem, kas piedāvā:
Datu drošības auditus un ievainojamību testus
Drošības politikas izstrādi un ieviešanu
Tīkla un mākoņdrošības risinājumus
Incidentu atklāšanas un reaģēšanas rīkus (SOC, SIEM sistēmas)
Tehnoloģiju uzņēmumi, piemēram, Squalio, var palīdzēt uzņēmumiem Latvijā īstenot atbilstošus drošības pasākumus un nodrošināt pilnīgu atbilstību NIS2 direktīvai.

Secinājumi

NIS2 direktīva Latvijā ir būtisks solis kiberdrošības stiprināšanā, un daudzi uzņēmumi ir tieši pakļauti tās prasībām. Būtiskie un nozīmīgie pakalpojumu sniedzēji, tostarp enerģētikas, finanšu un IT nozares uzņēmumi, tagad ir atbildīgi par stingrāku kiberdrošības politiku ieviešanu.

Uzņēmumiem ir būtiski savlaicīgi sagatavoties NIS2 prasību izpildei, ieviešot modernus kiberdrošības risinājumus, lai aizsargātu savus datus un novērstu iespējamos kiberuzbrukumus.

Ja jūsu uzņēmums vēlas nodrošināt NIS2 atbilstību un stiprināt kiberdrošības risinājumus, sazinieties ar ekspertiem, kas palīdzēs izstrādāt pielāgotus drošības pasākumus un apmācīt darbiniekus, lai nodrošinātu drošu digitālo vidi.