EP atbalsta kiberdrošības noteikumus pamatpakalpojumu sniedzējiem

Uzņēmumiem, kas sniedz pamatpakalpojumus, piemēram, enerģētikas, transporta, banku un veselības jomā, vai arī digitālos pakalpojumus, kā meklētājprogrammas vai mākoņdatošana, būs jāuzlabo sava spēja pretoties kiberuzbrukumiem. To paredz pirmie ES mēroga kiberdrošības noteikumi, ko EP apstiprināja trešdien.

EP deputāti saka, ka dalībvalstis izveidojot kopīgus kiberdrošības standartus un pastiprinot sadarbību, palīdzēs uzņēmumiem pašiem sevi aizsargāt, kā arī novērst kiberuzbrukumus ES dalībvalstu  savstarpēji savienotajai infrastruktūrai.

“Kiberdrošības incidentiem bieži ir pārrobežu raksturs un tādējādi tie skar vairākas ES  dalībvalstis. Fragmentāra kiberdrošības aizsardzība padara mūs viegli ievainojamus un rada lielu drošības risku visai Eiropai. Ar šo direktīvu visās dalībvalstīs tiks izveidota vienlīdz augsta tīklu un informācijas sistēmu drošība, kā arī pastiprināta dalībvalstu sadarbība, lai turpmāk novērsu kiberuzbrukumus Eiropas svarīgajām savstarpēji savienotajām infrastruktūrām,” teica EP ziņotājs Andreass Švābs (EPP, Vācija).

ES tīklu un informācijas drošības (TID) direktīva “ir arī viens no pirmajiem  tiesiskajiem regulējumiem, ko piemēro informācijas apmaiņas videi. Saskaņā ar digitālā vienotā tirgus stratēģiju šī direktīva izveido saskaņotas prasības un nodrošina to, ka visā Eiropas Savienībā  tiek radīti  šīm prasībām atbilstīgi noteikumi. Šis ir liels panākums un pirmais solis ceļā uz visaptverošu tiesiska regulējuma sistēmu informācijas apmaiņās platformām Eiropas Savienībā,” viņš piebilda.

Dalībvalstīm būs jāveido pamatpakalpojumu sniedzēju saraksts

Jaunā ES  direktīva nosaka, ka pamatpakalpojumu sniedzējiem enerģētikas, transporta, banku, veselības un dzeramā ūdens apgādes jomā ir pienākums ievērot drošības prasības un ziņot par incidentiem. Katrai ES dalībvalstij būs jāizveido saraksts ar šādiem pamatpakalpojumu sniedzējiem, ievērojot noteiktus kritērijus, piemēram, vai sniegtais pakalpojums ir īpaši svarīgs sabiedrībai un ekonomikai un vai incidentam būtu būtiska traucējoša ietekme uz minētā pakalpojuma sniegšanu.

Arī dažiem digitālo pakalpojumu uzņēmumiem, piemēram, tiešsaistes tirdzniecības vietu, meklētājprogrammu un mākoņdatošanas pakalpojumu sniedzējiem būs jāveic pasākumi, lai nodrošinātu savu infrastruktūru drošību, un jāziņo pārvaldes iestādēm par būtiskiem incidentiem drošības jomā. Tomēr šo pakalpojumu sniedzējiem drošības un paziņošanas prasības ir atvieglotas. Šīs prasības nepiemēros mikrouzņēmumiem un mazajiem uzņēmumiem.

Eiropas mēroga sadarbības mehānismi

Jaunie noteikumi paredz izveidot stratēģisku sadarbības grupu, lai apmainītos ar informāciju un palīdzētu dalībvalstīm kiberdrošības spēju veidošanā. Katrai dalībvalstij būs jāpieņem savas valsts tīklu un informācijas drošības stratēģija.

Dalībvalstīm būs arī jāizveido Datordrošības incidentu reaģēšanas vienības (CSIRT), lai reaģētu uz incidentiem un riskiem, apspriestu pārrobežu drošības jautājumus un apzinātu saskaņotu reaģēšanu uz tiem. Eiropas Tīklu un informācijas sistēmu drošības aģentūrai (ENISA) būs svarīga nozīme šīs direktīvas īstenošanā īpaši attiecībā uz sadarbību. Visā direktīvas tekstā ir atkārtoti uzsvērta nepieciešamība ievērot datu aizsardzības noteikumus

Nākamie soļi

ES tīklu un informācijas drošības (TID) direktīvu drīz publicēs ES Oficiālajā Vēstnesī, un tā stāsies spēkā divdesmitajā dienā pēc publicēšanas. Dalībvalstīm vajadzēs transponēt direktīvu savos normatīvajos aktos 21 mēneša laikā un apzināt pamatpakalpojumu sniedzējus sešos papildu mēnešos.