2026. gada 20. janvārī Eiropas Komisija publicēja jaunu kiberdrošības reformu pakotni, lai būtiski stiprinātu Eiropas Savienības kiberdrošības noturību un operatīvās spējas, ņemot vērā straujo tehnoloģisko attīstību un pieaugošos kiberdrošības draudus. Pakotne ietver divus priekšlikumus: (i) jaunu regulu – Kiberdrošības aktu 2 (Cybersecurity Act 2 jeb CSA2), kas aizstās 2019. gadā pieņemto Kiberdrošības aktu jeb Regulu 2019/881, kā arī (ii) mērķtiecīgus grozījumus NIS2 direktīvā (Direktīva 2022/2555).
Daudzas ES dalībvalstis, tostarp Latvija, tikai nesen pabeigušas vai vēl turpina NIS2 direktīvas transponēšanu nacionālajos tiesību aktos. Tomēr, reaģējot uz strauji mainīgo ģeopolitisko situāciju un arvien nopietnākiem piegādes ķēžu drošības riskiem, Komisija turpina darbu pie kiberdrošības noturības stiprināšanas Savienībā.
Kiberdrošības pakotnes mērķis ir padarīt ES kiberdrošības ietvaru efektīvāku un elastīgāku, atvieglot atbilstības nodrošināšanu subjektiem un stiprināt tiesisko noteiktību. Vienlaikus priekšlikumi iezīmē strukturālu pavērsienu attiecībā uz kiberdrošības sertifikāciju, kas tiek nostiprināta kā atbilstības un risku pārvaldības instruments, un IKT piegādes ķēžu drošību, kas kļūst par obligātu horizontālu ES prasību. Būtiski tiek paplašināts arī ENISA (ES Kiberdrošības aģentūras) mandāts, aģentūrai ieņemot operatīvāku lomu ES kiberdrošības pārvaldībā.
Kiberdrošības pakotne papildina 2025. gada novembrī publicēto ES Digitālā omnibusa priekšlikumu, kas cita starpā paredz vienota incidentu ziņošanas punkta izveidi un NIS2 prasību saskaņošanu ar citiem ES digitālajiem tiesību aktiem.
Zemāk sniedzam kopsavilkumu par būtiskākajiem priekšlikumiem.
NIS2 direktīvas grozījumi: precizēts tvērums un jauni subjekti
Mērķtiecīgie grozījumi NIS2 direktīvā paredz ieviest samērīgus precizējumus subjektu lokā, lai mazinātu atbilstības slogu, vienlaikus saglabājot augstu kiberdrošības līmeni. Būtiskākie grozījumi:
| Precizēts tvērums | Priekšlikums precizē vairāku nozaru definīcijas, kas kopš NIS2 pieņemšanas radījušas neskaidrības un ieviešanas fragmentāciju dalībvalstīs, attiecībā uz:
• veselības aprūpes pakalpojumu sniedzējiem • elektroenerģētikas ražotājiem (ieviests 1 MW ģenerācijas jaudas slieksnis) • ķīmisko vielu ražotājiem • DNS pakalpojumu sniedzējiem (piemērojami standarta lieluma sliekšņi) |
| Jauni subjekti | NIS2 subjektu loks tiek paplašināts, iekļaujot:
• Eiropas digitālās identitātes maku pakalpojumu sniedzējus • Eiropas Biznesa maku nodrošinātājus • zemūdens datu pārraides infrastruktūras operatorus • stratēģiskās divējāda lietojuma infrastruktūras īpašniekus, pārvaldniekus un operatorus |
| Jauna uzņēmumu kategorija | Tiek ieviesta jauna kategorija “mazi vidēja kapitāla uzņēmumi” (small mid-cap), kas tiks klasificēti kā svarīgi (nevis būtiski) subjekti, tādējādi samazinot lielai daļai uzņēmumu uzraudzības intensitāti un atbilstības slogu. |
Tehnisko prasību harmonizācija: viens standarts visām dalībvalstīm
Lai gan NIS2 paliek minimālās harmonizācijas instruments, grozījumi ievieš būtisku jauninājumu: gadījumos, kad Komisija pieņem īstenošanas aktus, kas precizē tehniskās vai metodoloģiskās risku pārvaldības prasības, dalībvalstis vairs nedrīkstēs noteikt papildu nacionālās prasības attiecīgajos jautājumos. Tas faktiski rada vienotu kiberdrošības kontroles līmeni ES mērogā, izslēdzot atšķirīgās nacionālās interpretācijas.
Detalizētākas ziņošanas prasības par izspiedējvīrusu (ransomware) uzbrukumiem
NIS2 grozījumi paredz vienotāku datu apkopošanu ES līmenī par izspiedējvīrusu uzbrukumiem. Subjektiem būs pienākums ziņot par izmantotajām uzbrukuma metodēm un mazināšanas pasākumiem. Pēc iestāžu pieprasījuma būs papildus jāatklāj, vai saņemts izpirkuma pieprasījums, vai maksājums veikts, tā apmērs un maksājuma veids. Uzņēmumiem būs attiecīgi jāpielāgo incidentu reaģēšanas procedūras un jāparedz detalizētākas ziņošanas prasības.
Pēckvantu kriptogrāfija (PQC)
NIS2 grozījumu priekšlikums paredz, ka dalībvalstīm savās kiberdrošības stratēģijās būs jāplāno pāreja uz pēckvantu kriptogrāfiju, orientējoties uz 2030. gadu kritiskajiem lietojumiem un 2035. gadu plašākai ieviešanai. Lai gan uzņēmumiem šobrīd netiek noteikts tiešs ieviešanas pienākums, tiem, kas apstrādā sensitīvus vai ilgtermiņā glabājamus šifrētus datus, būtu savlaicīgi jāizvērtē PQC integrēšana savās IT un kiberrisku pārvaldības stratēģijās.
IKT piegādes ķēžu drošība – jauns obligāts ES ietvars
Kiberdrošības Akts 2 paredz ieviest jaunu horizontālu ES līmeņa ietvaru informācijas un komunikāciju tehnoloģiju (IKT) piegādes ķēžu drošībai visās NIS2 nozarēs, īpaši fokusējoties uz riskiem, kuri nav tehniska rakstura (“ne-tehniski riski”). Tā ir būtiska atkāpšanās no līdzšinējās brīvprātīgās pieejas, kāda tika pieļauta 5G Kiberdrošības rīkkopas (5G Cybersecurity Toolbox) piemērošanas praksē. Šāds regulējums radīs būtisku ietekmi uzņēmumiem, kuri līdz šim ir iepirkuši IKT tehnoloģijas un komponentes no piegādātājiem augsta riska jurisdikcijās.
“Būtisko IKT aktīvu” noteikšana
Balstoties uz koordinētiem ES līmeņa risku izvērtējumiem, Komisija varēs ar īstenošanas aktiem noteikt, kuri IKT risinājumi vai komponentes ir uzskatāmi par “būtiskiem” NIS2 subjektiem. Par “būtisku IKT aktīvu” var tikt atzītas tādas komponentes, kas nodrošina kritiskas vai sensitīvas funkcijas, kuru ievainojamības izmantošana var radīt būtiskus piegādes ķēdes traucējumus vai datu noplūdi, kur pastāv pārmērīga atkarība no konkrēta piegādātāja, vai kur to pamato ES līmeņa risku novērtējumi.
“Augsta riska piegādātāju” identificēšana
Komisijai būs tiesības atzīt trešās valstis un to kontrolētus uzņēmumus par “augsta riska piegādātājiem”, ja konstatēti nopietni un sistemātiski ne-tehniski riski. Vērtējumā var tikt ņemti vērā, piemēram, attiecīgajā valstī spēkā esoši pienākumi ziņot par ievainojamībām valsts iestādēm, uzraudzības mehānismu trūkums vai ticamas pazīmes par ļaunprātīgām kiberdarbībām. Šādiem piegādātājiem var tikt liegta dalība ES standartizācijā, sertifikācijā, publiskajos iepirkumos vai ES finansētos projektos, kas saistīti ar būtiskiem IKT aktīviem.
Aizliegumi un risku mazināšana
Komisijai būs pilnvaras noteikt saistošus ierobežojumus, tostarp aizliegt konkrētiem NIS2 subjektiem izmantot augsta riska piegādātāju komponentes būtiskajos IKT aktīvos. Papildus var tikt noteikti saistoši risku mazināšanas pasākumi, piemēram, piegādātāju caurskatāmības nodrošināšana, datu plūsmas ierobežojumi uz trešajām valstīm, neatkarīgu auditu prasības, ārpakalpojumu ierobežojumi, personāla pārbaudes vai piegādes avotu diversifikācija.
Piegādātāju tiesības tikt uzklausītiem un izņēmumu procedūra
Identificētajiem augsta riska piegādātājiem tiek paredzētas procesuālās garantijas – Komisija dalīsies ar sākotnējiem secinājumiem un sniegs iespēju tikt uzklausītam pirms galīgā lēmuma. Sarakstā iekļautie piegādātāji varēs lūgt atkārtotu novērtējumu, iesniedzot pierādījumus par būtiskām izmaiņām savā struktūrā.
Subjekti, kas reģistrēti vai kontrolēti augsta riska trešajā valstī, var iesniegt Komisijai motivētu izņēmuma lūgumu, pierādot efektīvu risku mazināšanas pasākumu ieviešanu. Izņēmumi var būt terminēti un pakļauti nosacījumiem, tostarp regulāriem auditiem un ziņošanas pienākumiem. Visi lēmumi tiek reģistrēti publiski pieejamā reģistrā.
Uzraudzība un sankcijas
Atbilstības kontrole tiks organizēta līdzīgi kā NIS2 ietvarā – galvenokārt tajā dalībvalstī, kur uzņēmums ir reģistrēts, ar īpašiem noteikumiem pārrobežu digitālajiem pakalpojumu sniedzējiem un ārpus ES reģistrētām struktūrām. Par noteikto aizliegumu vai mazināšanas pasākumu neievērošanu varēs piemērot sankcijas līdz pat 7% no globālā gada apgrozījuma smagāko pārkāpumu gadījumā.
Elektronisko sakaru tīkli: obligāta augsta riska komponentu izņemšana
Kiberdrošības Akts 2 ievieš īpaši stingru režīmu mobilajiem, fiksētajiem un satelītu elektronisko sakaru tīkliem. Akta pielikumā tiks noteikti “būtiskie IKT aktīvi”, un attiecībā uz tiem paredzēts pienākums pakāpeniski izņemt no ekspluatācijas augsta riska piegādātāju komponentes. Mobilajiem tīkliem pārejas periods nedrīkstēs pārsniegt 36 mēnešus no attiecīgā saraksta publicēšanas, bet pārējiem tīkliem termiņus noteiks Komisija.
Operatoriem tiek noteikts tiešs aizliegums izmantot vai integrēt augsta riska piegādātāju komponentes būtisko IKT aktīvu darbībā. Uzraudzība tiks īstenota ciešā sadarbībā starp kompetentajām iestādēm, kas nozīmē būtisku ietekmi uz infrastruktūras plānošanu, iepirkumiem un kapitālieguldījumiem.
Kiberdrošības sertifikācija un ENISA mandāta paplašināšana
Kiberdrošības Akts 2 būtiski pārveido Eiropas kiberdrošības sertifikācijas sistēmu. Sertifikācijas tvērums tiek paplašināts, iekļaujot ne tikai IKT produktus un pakalpojumus, bet arī subjekta vispārējo kiberdrošības gatavību (cyber posture). Organizācijas varēs iegūt ES atzītus sertifikātus, kas apliecina to vispārējo kibernoturību. Ja subjektam ir derīgs šāds sertifikāts, kompetentās iestādes nevarēs to pakļaut papildu drošības auditiem jomās, ko sertifikāts jau aptver. Nacionālās sertifikācijas shēmas zaudēs spēku, ja ES shēma aptver to pašu jomu.
ENISA mandāts tiek būtiski paplašināts, aģentūras budžetu palielinot par vairāk nekā 75%. ENISA ieņems operatīvāku lomu, tostarp koordinējot ES līmeņa risku novērtējumus, uzturot Eiropas ievainojamību datubāzi, pārvaldot ES Kiberdrošības rezervi, vadot izspiedējprogrammatūras palīdzības dienestu sadarbībā ar Eiropolu un darbojoties kā centrālā incidentu ziņošanas platforma.
Nākamie soļi
Kiberdrošības pakotne šobrīd atrodas ES likumdošanas procesa sākumposmā, un sarunu gaitā tās saturs vēl var tikt būtiski precizēts. Priekšlikumi skar stratēģiski jutīgus jautājumus par tehnoloģiju drošību un ES autonomiju. Tos ir plānots pieņemt ne agrāk kā 2026. gada beigās vai 2027. gada sākumā. Kiberdrošības akts 2 kā regula būs tieši piemērojams visās dalībvalstīs, savukārt NIS2 grozījumi būs jāievieš dalībvalstu nacionālajos tiesību aktos viena gada laikā.
Šī iniciatīva iekļaujas plašākā ES kursā uz tehnoloģiju suverenitāti un vienlaikus regulējuma racionalizāciju, tostarp Digitālā Omnibusa un citu vienkāršošanas pasākumu kontekstā. Uzņēmumiem būtu savlaicīgi jāizvērtē iespējamā ietekme un jāseko līdzi turpmākajām diskusijām, lai laikus ieviestu nepieciešamās izmaiņas un atbilstības procesus.
