Hüppa põhisisu juurde Hüppa navigatsiooni juurde Hüppa jaluse juurde
Piiratud aja jooksul: Disainipartneri programm — BUSINESS pakett eluaegselt

Tasuta allalaadimine · 24 lehekülge · A4 PDF

NIS2 direktiiv: ingliskeelne kokkuvõte CISO-dele ja vastavusjuhtidele

24-leheküljeline ingliskeelne kokkuvõte Directive (EU) 2022/2555. Katab kohaldamisala, kümme Article 21 meedet, 24h/72h/1-kuuse Article 23 teavitamistähtaega, Annex I ja Annex II sektoreid, haldustrahve ning 10-sammulist praktilist vastavuse teekaarti. Rediacci koostatud; ei ole ametlik tõlge.

Laadi PDF alla Ava brauseris

See dokument on mitteametlik kokkuvõte. Siduva tõlgenduse saamiseks konsulteerige ametliku tekstiga OJ L 333/80, 27.12.2022.

Mis on PDF-is

Üheksateist jaotist, struktureeritud töötavale CISO-le või vastavusjuhile, kes soovib direktiivi sisu ilma 73 lehekülge põhjendusi ja artikleid läbi uurimata.

  1. Juhtkonna kokkuvõte
  2. Eesmärk ja õiguslik alus
  3. NIS1-st NIS2-ni: miks uus määrus?
  4. Kohaldamisala ja välistatud valdkonnad
  5. Põhimõisted
  6. Üksuste kategooriad: olulised ja tähtsad üksused
  7. Kohaldamisalas olevad sektorid (Annex I ja Annex II)
  8. Liikmesriikide kohustused
  9. Küberturvalisuse riskijuhtimise meetmed (Article 21)
  10. Intsidentide teavitamise kohustused (Article 23)
  11. Tarneahela turvalisus
  12. Juhtorgani vastutus
  13. EL-tasandi koostööstruktuurid
  14. Järelevalve ja täitmine
  15. Haldustrahvid
  16. Rakendamise ajakava ja üleminek
  17. Mõju EL-i välistele ettevõtetele
  18. Praktiline vastavuse teekava (10 sammu)
  19. Järeldus ja hinnang

Kolm täiendavat juhendit

PDF kaardistab direktiivi. Täiendavad juhendid muudavad kohustused hankimis- ja operatiivseteks otsusteks, üks sihtrühm korraga.

Article 21(2)(d) on hankijapoolne küsimus

Miks kolmanda osapoole IKT-register kahaneb, kui andmetasand ei lahku kunagi sinu üürimisest. CISO-dele ja hankeekspertidele, kes 2026. aastal DPA-sid uuesti läbi räägivad.

Loe juhendit →

Pidev tõhusus ilma näitemänguta

Article 21(2)(e), (f) ja 23 koos loetud. Konstantse ajaga fork, mis muudab iganädalased harjutused realistlikuks, ja Article 23 teavitamistähtaeg, mida ei saa täita ilma kohtuekspertiisi-taseme artefaktideta. SRE ja ops-juhtidele.

Loe juhendit →

Mida ostjad meile esimeses NIS2 audititsüklis ütlesid

Viis tööriista vastavuspakk, mida keskturu olulised üksused vaikselt kokku panevad, mida ühendab isehostitav juhtimistasand, ja kuluread, mis jäävad sinu kanda mõlemal juhul. CFO-dele ja ostjatele, kes on suunas uuendusring.

Loe juhendit →

Korduvad küsimused

Kas see on direktiivi ametlik tõlge?

Ei. Tegemist on mitteametliku ingliskeelse kokkuvõttega, mille eesmärk on muuta direktiivi struktuur ja kohustused kättesaadavaks. Siduva tõlgenduse saamiseks konsulteerige ametliku tekstiga OJ L 333/80 (27. detsember 2022) või EUR-Lexi kaudu (CELEX 32022L2555). Liikmesriigi siseriiklikud ülevõtmisaktid võivad kehtestada rangemad või erinevas ulatuses kohustused kui direktiiv ise.

Kellele NIS2 kohaldub?

Üksustele, mis tegutsevad Annex I (kõrge kriitilisusega) või Annex II (muud kriitilised) loetletud sektorites ja vastavad keskmise suurusega ettevõtte lävele (50+ töötajat või 10 miljonit eurot+ käive, vastavalt soovitusele 2003/361/EÜ). Mõned üksused on kohaldamisalas suurusest sõltumata, sealhulgas TLD-registrid, DNS-teenusepakkujad, usaldusteenuste osutajad ja kesksed avaliku halduse asutused. PDF-i jaotised 4, 6 ja 7 käsitlevad kohaldamisala üksikasjalikult.

Millal NIS2 jõustus ja mis on ülevõtmistähtaeg?

Direktiiv jõustus 16. jaanuaril 2023. Liikmesriikidel oli kuni 17. oktoobrini 2024 aega see siseriiklikku õigusesse üle võtta; kohaldamine algas 18. oktoobril 2024 (samal kuupäeval tunnistati NIS1 kehtetuks). Täielik ajakava, sealhulgas üksuste-nimekirja Komisjonile esitamise tähtaeg (17. aprill 2025) ja perioodilise läbivaatamise ajakava, on jaotises 16.

Millised on maksimaalsed trahvid?

Oluliste üksuste puhul: 10 000 000 eurot või 2% ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem. Tähtsate üksuste puhul: 7 000 000 eurot või 1,4% ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem. Direktiiv lubab ka mitterahalisi sanktsioone, sealhulgas ajutist juhtkonnakeeldu oluliste üksuste tippjuhtide suhtes (viimase abinõuna). Jaotis 15 käsitleb trahvi suuruse määramise tegureid.

Kas NIS2 kohaldub EL-i välistele ettevõtetele?

Jah, kahel viisil. Otseselt: EL-i välised DNS-, pilveteenuse-, andmekeskuste-, CDN-, MSP/MSSP-, veebituruplatsi-, otsingu- ja sotsiaalvõrgustikupakkujad, kes pakuvad teenuseid EL-is, peavad määrama EL-i esindaja ja täitma nõudeid. Kaudselt: iga EL-i väline tarnija, kes pakub tooteid või teenuseid EL-i olulistele või tähtsatele üksustele, allub tarneahela turvalisuse lepingulistele nõuetele, mille nende EL-i kliendid kehtestasid Article 21(2)(d) alusel. Jaotis 17 käsitleb mõlemat.

Kuidas toimib Article 23 intsidentidest teavitamine?

Kolm tähtaega, kõik käivituvad hetkest, mil märgatakse olulist intsidenti: 24 tundi varajase hoiatuse jaoks, 72 tundi täieliku intsidenditeate jaoks ning üks kuu lõpparuande jaoks. Teenusekasutajaid tuleb samuti põhjendamatu viivituseta teavitada, kui oluline küberturvaoht on tõenäoline. Jaotis 10 sisaldab täielikku teavitamismaatriksit.

Selle kokkuvõtte kohta

Rediacc on isehostitav infrastruktuuri platvorm, mis on registreeritud Eestis (OÜ 17363830, KM EE102920091). Selle kokkuvõtte koostas Rediacc oma NIS2 sisuprogrammi raames. Ülaltoodud täiendavad juhendid kirjeldavad, kuidas Rediacc käsitleb direktiivi konkreetseid artikleid, sealhulgas lüngad, kus Rediacc ei ole lahendus (sertifikaadid puuduvad; GRC kiht puudub; Article 23 aruandlust ei haldata; ainult portaali kaudu MFA). Avaliku võimekuse kaardistuse jaoks vaata dokumentatsioonis NIS2 and DORA.

Saada meile oma hankijate küsimustik või eelmise aasta eelarve kolm suurimat turvalisuserida. Vastame juurutatud instantsi põhjal kirjalikult, sealhulgas lünkadega. Või laadi PDF alla ja edasta see kolleegile.

Laadi PDF alla