Mēs jau iepriekš esam pieminējuši "pienākumu rūpēties", bet ko tieši tas nozīmē? Saskaņā ar iepriekšējo Tīklu un informācijas drošības direktīvu uz pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem attiecas divkāršs pienākums: pienākums ziņot un pienākums rūpēties. Šajā emuārā mēs pievērsīsim uzmanību otrajam. Saskaņā ar iepriekšējo direktīvu - pienākums ievērot piesardzības pasākumus attiecas gan uz būtisko pakalpojumu sniedzējiem, gan digitālo pakalpojumu sniedzējiem. Tas ietver atbilstošu un samērīgu tehnisku un organizatorisku pasākumu īstenošanu, lai pārvaldītu tīklu un informācijas sistēmu drošības riskus.
Jaunajā NIS2 direktīvā ir paredzēta cita klasifikācija: būtisks un svarīgs subjekts, kas atspoguļo to, cik lielā mērā tie ir kritiski svarīgi attiecībā uz savu nozari vai pakalpojumu veidu, ko tie sniedz, kā arī to lielumu. Abu tipu subjektiem būs jāievēro pienākums rūpēties. Dalībvalstu ziņā ir izveidot būtisku un svarīgu subjektu sarakstu, pamatojoties uz vispiemērotākajiem valsts mehānismiem, ļaujot subjektiem pašiem reģistrēties. Uz subjektiem attieksies kiberdrošības riska pārvaldības pasākumi, ja tie būs reģistrēti vienā no divām kategorijām. Šiem pasākumiem nepieciešams būt proporcionāliem ar būtiskas vai svarīgas subjektu pakļautības pakāpi riskiem un ar sabiedrības un ekonomisko ietekmi, ko varētu radīt incidents. Ir obligāti arī jāņem vērā subjekta kritiskumu, lielumu un incidentu rašanās iespējamību.
Šajā kontekstā drošība attiecas uz tīkla un informācijas sistēmu spēju izturēt darbības, kas apdraud pieejamību, autentiskumu, integritāti un konfidencialitāti. Komisijas Īstenošanas regulā (Regula (ES) 2018/151) sīkāk precizēti drošības elementi, kas jāievēro: sistēmu un iekārtu drošība, incidentu risināšana, darbības nepārtrauktības pārvaldība, uzraudzība, kontrole un testēšana, kā arī starptautiskie standarti.
Minimālie pasākumi, kas ir jāievēro
NIS2 direktīvā ir definēts minimālais pasākumu skaits, tostarp riska analīzes veikšana un informācijas sistēmu drošības, incidentu novēršanas, darbības nepārtrauktības un krīzes pārvaldības, piegādes ķēdes drošības, kā arī tīkla un informācijas sistēmu iepirkumu, izstrādes un uzturēšanas drošības politikas ieviešana. Tāpat ir iekļautas politikas un procedūras, lai novērtētu riska pārvaldības pasākumu efektivitāti un kriptogrāfijas un šifrēšanas izmantošanu.
Būtiskām un svarīgām struktūrām būtu arī jāievieš plaša spektra kiberhigiēnas pamatprakse, piemēram, nulles uzticamības principi, programmatūras atjauninājumi, ierīču konfigurācija, tīkla segmentācija, identitātes un piekļuves pārvaldība vai lietotāju informētība, jāorganizē darbinieku apmācība un jāsniedz informācija par kiberapdraudējumiem, pikšķerēšanas vai sociālās inženierijas metodēm. Turklāt šīm struktūrām būtu jāpārvērtē savas kiberdrošības spējas, un vajadzības gadījumā integrēt kiberdrošību uzlabojošas tehnoloģijas, piemēram, mākslīgā intelekta vai mašīnmācīšanās sistēmas, lai uzlabotu savas spējas un tīkla un informācijas sistēmu drošību.
Turklāt, lai pierādītu atbilstību šiem pasākumiem, dalībvalstis var pieprasīt, lai būtiski un svarīgi subjekti izmantotu konkrētus IKT produktus, pakalpojumus vai procesus, kas tiks sertificēti saskaņā ar Eiropas kiberdrošības sertifikācijas shēmām, kuras pieņemtas saskaņā ar Kiberdrošības aktu (Regula (ES) 2019/881).
Turklāt Eiropas Komisija ir pilnvarota pieņemt īstenošanas un deleģētos aktus, lai vēl precīzāk noteiktu riska pārvaldības pasākumus. Tādējādi pienākumi tiks definēti konkrētāk, ņemot vērā jaunus kiberdraudus, tehnoloģiju attīstību vai nozares specifiku.
Uzraudzība un izpilde
Dalībvalstīm jānodrošina, ka tās veic efektīvu uzraudzību ar mērķi nodrošināt atbilstību direktīvas prasībām. Attiecībā uz būtiskiem subjektiem tas nozīmē proaktīvu uzraudzību. Turpretī attiecībā uz svarīgiem subjektiem tas nozīmē reaģējošu uzraudzību, ko var uzsākt, ja ir pierādījumi, norādes vai informācija, ka subjekts, iespējams, neatbilst direktīvai. Pēdējā minētajā gadījumā būtu jārīkojas tikai tad, ja dalībvalstij šķiet, ka svarīgs subjekts neievēro direktīvā noteiktos pienākumus. Šim nolūkam uzraudzības iestāžu rīcībā ir plašs uzraudzības pilnvaru un izpildes instrumentu kopums. NIS2 direktīvā atbildība ir attiecināta arī uz fiziskām personām, kuras var saukt pie atbildības par šo pienākuma pārkāpšanu. Tādējādi papildus juridiskajai personai atbildība var tikt piemērota arī organizācijas direktoram.