Jauni kiberdrošības regulējumi uzņēmumiem no 2024. gada oktobra
12/03/2024
2022. gada 10. novembrī Eiropas Parlaments pieņēma jaunu NIS2 direktīvu, kas paredz Eiropas Savienības (ES) mēroga kiberdrošības noteikumu ievērošanu svarīgo nozaru organizācijām. Jaunajā direktīvā noteiktās izmaiņas attiecas uz tīklu un informācijas sistēmu drošību, un to mērķis ir nodrošināt augstu kiberdrošības līmeni visā ES. Prasības attieksies uz vairākām nozarēm, un tām jābūt izpildītām ne vēlāk kā 2024. gada oktobrī.
NIS2 prasības ietver gan atbilstošu drošības pasākumu ieviešanu uzņēmumos un valsts iestādēs, gan darbinieku apmācību, regulāras drošības pārbaudes un auditus, pastāvīgu sistēmu uzraudzību un novērošanu, kā arī atbilstošas dokumentācijas izstrādi un ziņojumu sagatavošanu, to iesniegšanu uzraudzības iestādei.
Saskaņā ar jauno regulu visām ES dalībvalstīm jāizstrādā nacionālā kiberdrošības stratēģija, jāievieš kiberdrošības noteikumi un jāziņo par kiberdrošības incidentiem 24 stundu laikā. Nacionālais kiberdrošības likums, kas Latvijā pašlaik ir likumprojekta statusā, ietver specifiskas prasības kiberdrošības uzlabošanai, tostarp attiecībā uz būtisko pakalpojumu sniedzēju uzraudzību un rīcībpolitiku kiberdrošības jomā.
Jaunais likums attieksies uz valsts iestādēm, pašvaldībām, IT kritiskās infrastruktūras īpašniekiem, dažādu nozaru lieliem un vidējiem uzņēmumiem, kuri tiek uzskatīti par būtisku vai svarīgu pakalpojumu sniedzējiem. Tikmēr būtiski minēt, ka šajā likumā tiks noteikts vēl plašāks nozaru skaits, piemēram, pasta un kurjerpasta pakalpojumi, atkritumu pārstrāde, ķīmiskās vielas, pārtikas piegāde, rūpniecība (tehnoloģijas un inženierzinātnes), digitālie pakalpojumi (sociālie pakalpojumi, meklēšana, tirgi).
Paredzēts, ka Aizsardzības ministrijai būs tiesības noteikt sankcijas uzņēmumiem, kuri šīs prasības neizpildīs. Ja organizācijas kiberdrošības pasākumi neatbildīs jaunajām prasībām, tās var saņemt naudas sodus līdz 10 miljoniem eiro vai 2% apmērā no kopējā gada apgrozījuma. Turklāt šādu uzņēmumu vadībai var tikt piemēroti pagaidu aizliegumi strādāt vadošos amatos. Lai nodrošinātu nepieciešamo prasību ieviešanu, organizācijās var iecelt uzraudzības amatpersonu.
Ar NIS2 direktīvu pilnā apjomā var iepazīties šeit.
V1: 48% iedzīvotāju nav droši par savu datu drošību uzņēmumu mājaslapās un interneta veikalos
V2: 48% iedzīvotāju nav pārliecināti par savu datu drošību uzņēmuma mājaslapās un interneta veikalos
48% iedzīvotāji uzskata, ka šobrīd uzņēmumu veiktie drošības pasākumi digitālajā vidē nav pietiekoši, lai pasargātu viņu personīgos datus, kad tie ir jāievada uzņēmuma mājaslapā vai interneta veikalā.
Kopumā 33% aptaujāto atbildēja, ka uzņēmumu veiktie drošības pasākumi digitālajā vidē drīzāk nav pietiekoši, tikmēr 15% atbildēja pārliecinoši nē. Savukārt 27% aptaujāto uzskata, ka uzņēmumu veiktie drošības pasākumi digitālajā vidē drīzāk ir pietiekoši un tikai 2% aptaujāto norādīja pārliecinošu jā. 15% aptaujāto atzina, ka nav domājuši, vai uzņēmumu pienākums ir rūpēties par cilvēka datu drošību digitālajā vidē. Tikmēr 9% aptaujāto atklāja, ka nezina atbildi vai kopumā nav domājuši par šo jautājumu.
Attīstoties tehnoloģijām un digitālajai videi, ir auguši arī tajā sastopamie riski, kas kļūst arvien nopietnāki, sarežģītāk identificējami un novēršami, īpaši tad, ja uzņēmumi par to nedomā jau preventīvi. Jaunās direktīvas prasības būs ne vien uzņēmumu pienākums, bet arī iespēja rūpēties par saviem klientiem vēl vairāk, piedāvājot drošu pieredzi mājaslapās, e-veikalos u.c. digitālajās platformās.
NIS2 prasības ietver gan atbilstošu drošības pasākumu ieviešanu uzņēmumos un valsts iestādēs, gan darbinieku apmācību, regulāras drošības pārbaudes un auditus, pastāvīgu sistēmu uzraudzību un novērošanu, kā arī atbilstošas dokumentācijas izstrādi un ziņojumu sagatavošanu, to iesniegšanu uzraudzības iestādei.
Saskaņā ar jauno regulu visām ES dalībvalstīm jāizstrādā nacionālā kiberdrošības stratēģija, jāievieš kiberdrošības noteikumi un jāziņo par kiberdrošības incidentiem 24 stundu laikā. Nacionālais kiberdrošības likums, kas Latvijā pašlaik ir likumprojekta statusā, ietver specifiskas prasības kiberdrošības uzlabošanai, tostarp attiecībā uz būtisko pakalpojumu sniedzēju uzraudzību un rīcībpolitiku kiberdrošības jomā.
Jaunais likums attieksies uz valsts iestādēm, pašvaldībām, IT kritiskās infrastruktūras īpašniekiem, dažādu nozaru lieliem un vidējiem uzņēmumiem, kuri tiek uzskatīti par būtisku vai svarīgu pakalpojumu sniedzējiem. Tikmēr būtiski minēt, ka šajā likumā tiks noteikts vēl plašāks nozaru skaits, piemēram, pasta un kurjerpasta pakalpojumi, atkritumu pārstrāde, ķīmiskās vielas, pārtikas piegāde, rūpniecība (tehnoloģijas un inženierzinātnes), digitālie pakalpojumi (sociālie pakalpojumi, meklēšana, tirgi).
Paredzēts, ka Aizsardzības ministrijai būs tiesības noteikt sankcijas uzņēmumiem, kuri šīs prasības neizpildīs. Ja organizācijas kiberdrošības pasākumi neatbildīs jaunajām prasībām, tās var saņemt naudas sodus līdz 10 miljoniem eiro vai 2% apmērā no kopējā gada apgrozījuma. Turklāt šādu uzņēmumu vadībai var tikt piemēroti pagaidu aizliegumi strādāt vadošos amatos. Lai nodrošinātu nepieciešamo prasību ieviešanu, organizācijās var iecelt uzraudzības amatpersonu.
Ar NIS2 direktīvu pilnā apjomā var iepazīties šeit.
V1: 48% iedzīvotāju nav droši par savu datu drošību uzņēmumu mājaslapās un interneta veikalos
V2: 48% iedzīvotāju nav pārliecināti par savu datu drošību uzņēmuma mājaslapās un interneta veikalos
48% iedzīvotāji uzskata, ka šobrīd uzņēmumu veiktie drošības pasākumi digitālajā vidē nav pietiekoši, lai pasargātu viņu personīgos datus, kad tie ir jāievada uzņēmuma mājaslapā vai interneta veikalā.
Kopumā 33% aptaujāto atbildēja, ka uzņēmumu veiktie drošības pasākumi digitālajā vidē drīzāk nav pietiekoši, tikmēr 15% atbildēja pārliecinoši nē. Savukārt 27% aptaujāto uzskata, ka uzņēmumu veiktie drošības pasākumi digitālajā vidē drīzāk ir pietiekoši un tikai 2% aptaujāto norādīja pārliecinošu jā. 15% aptaujāto atzina, ka nav domājuši, vai uzņēmumu pienākums ir rūpēties par cilvēka datu drošību digitālajā vidē. Tikmēr 9% aptaujāto atklāja, ka nezina atbildi vai kopumā nav domājuši par šo jautājumu.
Attīstoties tehnoloģijām un digitālajai videi, ir auguši arī tajā sastopamie riski, kas kļūst arvien nopietnāki, sarežģītāk identificējami un novēršami, īpaši tad, ja uzņēmumi par to nedomā jau preventīvi. Jaunās direktīvas prasības būs ne vien uzņēmumu pienākums, bet arī iespēja rūpēties par saviem klientiem vēl vairāk, piedāvājot drošu pieredzi mājaslapās, e-veikalos u.c. digitālajās platformās.
