Portugāles jaunais kiber vairogs: navigācija NIS2 transponēšanā un Dekrētlikumā 125/2025
Fiziskajā pasaulē mēs nekad neiedomātos atstāt sava biroja durvis plaši atvērtas uz nakti, tomēr digitālajā vidē daudzas organizācijas gadiem ilgi ir darbojušās ar virtuālu salauztas slēdzenes ekvivalentu. Mēs investējam smagos vārtos un apsardzē savām noliktavām, bet bieži vien nepamanām neredzamos pavedienus, kas savieno mūsu serverus ar duci dažādu trešo pušu piegādātāju. Stājoties spēkā Dekrētlikumam 125/2025, Portugāle oficiāli slēdz šos digitālos vārtus, transponējot Eiropas Savienības NIS2 direktīvu stingrā nacionālajā sistēmā, kas pieprasa fundamentālas izmaiņas tajā, kā mēs uztveram sistēmisko risku.
Kā žurnālists, kurš gadiem ilgi darbojies kā digitālais detektīvs — pētot ne tikai datu aizsardzības pārkāpumu būtību, bet arī to, "kā" un "kāpēc" tie notiek —, esmu klātienē redzējis, kā viena nepamanīta ievainojamība var izraisīt reputācijas "naftas noplūdi". Šis jaunais likums nav tikai kārtējais birokrātiskais šķērslis; tā ir nepieciešama evolūcija. Tas atzīst, ka mūsu savstarpēji saistītajā ekonomikā jūsu drošība ir tikai tik spēcīga, cik vājākais posms jūsu piegādes ķēdē.
Ārpus pamatiem: ko maina Dekrētlikums 125/2025
Saskaņā ar šo sistēmu kiberdrošības regulējuma joma Portugālē ievērojami paplašinās. Mēs attālināmies no sākotnējās NIS direktīvas ierobežotās darbības jomas uz daudz visaptverošāku režīmu. Likums tagad nošķir būtiskas un svarīgas struktūras. Kamēr pirmās ietver tādas nozares kā enerģētika, transports un veselība, otrās ietver pasta pakalpojumus, atkritumu apsaimniekošanu un pat noteiktas ražošanas nozares.
No atbilstības viedokļa visspilgtākā izmaiņa ir atbildības līmenis. Tas vairs nav uzdevums, ko var klusi deleģēt IT nodaļai un aizmirst. Likums uzliek atbildības nastu tieši uz vadības pleciem. Ja uzņēmums neievieš samērīgus riska pārvaldības pasākumus, vadību var saukt pie personīgās atbildības. Mana pieredze, auditējot korporatīvās privātuma politikas, rāda, ka visizturīgākās organizācijas ir tās, kurās augstākā vadība uzskata atbilstību par kompasu, nevis par slogu.
Piegādes ķēde: vairs nekādas slēpšanās aiz piegādātājiem
Viens no niansētākajiem jaunā likuma aspektiem ir koncentrēšanās uz piegādes ķēdes drošību. Interesanti, ka daudzi uzņēmumi joprojām izturas pret saviem piegādātājiem kā pret "melnajām kastēm", pieņemot, ka, ja par pakalpojumu ir samaksāts, tas pēc būtības ir drošs. Dekrētlikums 125/2025 sagrauj šo ilūziju. Uzņēmumiem tagad ir juridisks pienākums novērtēt savu piegādātāju drošības praksi.
Domājiet par savu organizāciju kā par māju. Jums var būt labākās slēdzenes uz priekšējām durvīm, bet, ja iedosiet atslēgu darbuzņēmējam, kurš atstāj vaļā savus logus, jūsu māja vairs nav droša. Integrētā privātuma (privacy by design) kā mājas pamata princips nozīmē nodrošināt, ka katrs ķieģelis — arī tie, ko piegādājušas trešās puses — ir ciets. Praksē tas nozīmē detalizētu uzticamības pārbaudi (due diligence). Jums jāzina, kā tiek apstrādāti jūsu dati, kur tie tiek glabāti un kas notiek, ja jūsu pakalpojumu sniedzējs cieš no drošības pārkāpuma. Būtībā likums spiež uzņēmumus pārtraukt būt pasīviem tehnoloģiju patērētājiem un kļūt par aktīviem savu digitālo ekosistēmu auditoriem.
24 stundu pulkstenis: jauna ēra ziņošanā par incidentiem
Ziņošanas prasības ir kļuvušas ievērojami stingrākas. Ja notiek būtisks incidents, laika atskaite sākas nekavējoties. Struktūrām 24 stundu laikā jāsniedz sākotnējais paziņojums Nacionālajam kiberdrošības centram (CNCS). Tam seko detalizētāks ziņojums 72 stundu laikā un galīgais ziņojums pēc viena mēneša.
| Prasība | Termiņš | Mērķis |
|---|---|---|
| Agrīnais brīdinājums | 24 stundas | Brīdināt CNCS par potenciālu sistēmisku apdraudējumu. |
| Paziņojums par incidentu | 72 stundas | Sniegt detalizētu pārkāpuma un tā ietekmes novērtējumu. |
| Galīgais ziņojums | 1 mēnesis | Dokumentēt pamatcēloni un ilgtermiņa novēršanas pasākumus. |
Gadu gaitā, analizējot drošības pārkāpumus, esmu pamanījis, ka uzņēmumi, kas izdzīvo ar neskartu reputāciju, ir tie, kas ir caurspīdīgi un ātri. Gaidīšana, lai "redzētu, cik slikti tas ir", pirms ziņošanas, ir stratēģija, kas bieži vien izgāžas, izraisot vēl uzmācīgāku regulatīvo uzraudzību. Šis likums efektīvi uzliek par pienākumu ievērot tādu digitālo higiēnu, par kuru esmu ilgi iestājies: precīzi zināt, kādi dati jums ir un kur tie atrodas, lai jūs varētu rīkoties brīdī, kad lietas noiet greizi.
Kiberdrošības speciālists: jaunais tulks
Katrai aptvertajai struktūrai tagad jāieceļ kiberdrošības speciālists. Šī loma ir daudzpusīga, darbojoties kā tilts starp serveru telpas tehniskajām realitātēm un valdes telpas juridiskajām prasībām. Es bieži domāju par šo personu kā par tulku — kādu, kurš var izskaidrot SQL injekciju izpilddirektoram un likumā noteikto prasību programmatūras inženierim.
Šis speciālists nav tikai formāla figūra. Viņš ir atbildīgs par ikgadējo kiberdrošības ziņojumu, kas jāiesniedz būtiskajām struktūrām. Šis ziņojums ir rīcībspējīgs dokuments, kas spiež katru gadu pašreflektēt par uzņēmuma stāvokli. Tas ir brīdis, kad jautāt: vai mūsu pasākumi joprojām ir samērīgi ar draudiem, ar kuriem saskaramies? Vai arī mūsu digitālais nospiedums ir audzis straujāk nekā mūsu aizsardzība?
Praktiski soļi atbilstības nodrošināšanai
Ja jūtaties apjukuši regulatīvajā vidē, kas šķiet kā noteikumu lupatu deķis, sāciet ar šiem fundamentālajiem soļiem:
- Veiciet darbības jomas auditu: Nosakiet, vai ietilpstat "Būtisko" vai "Svarīgo" kategorijā. Neminiet; Dekrētlikuma 125/2025 definīcijas ir specifiskas.
- Pārskatiet piegādātāju līgumus: Atjauniniet savus līgumus, iekļaujot obligātos drošības standartus un tiesības auditēt savus piegādātājus.
- Apmāciet savu vadību: Nodrošiniet, lai valdes locekļi saprastu savu personīgo atbildību saskaņā ar jauno likumu. Atbilstība sākas no augšas.
- Izveidojiet ziņošanas protokolu: Negaidiet krīzi, lai izlemtu, kurš zvanīs CNCS. Izveidojiet skaidru, pārbaudītu plānu 24 stundu un 72 stundu logiem.
Galu galā Dekrētlikums 125/2025 ir vērsts uz noturīgākas Portugāles veidošanu. Uzskatot kiberdrošību par fundamentālu atbildību, nevis tehnisku papildinājumu, mēs aizsargājam ne tikai savus datus, bet arī pašu mūsu modernās dzīves infrastruktūru. Informācija ir tikpat liela atbildība, cik tā ir aktīvs; ir pienācis laiks sākt izturēties pret to ar pelnīto cieņu.
Rīkojieties: Šonedēļ veiciet rūpīgu savu trešo pušu atkarību auditu. Identificējiet trīs svarīgākos piegādātājus un pieprasiet oficiālu atjauninājumu par viņu NIS2 atbilstības statusu. Neapmierinieties ar vispārīgu e-pastu "mums rūp drošība" — pieprasiet dokumentāciju.
Avoti:
- EU Directive 2022/2555 (NIS2 Directive)
- Portugal Decree-Law 125/2025
- Guidelines from the Gabinete Nacional de Segurança / Centro Nacional de Cibersegurança (CNCS)
Atruna: Šis raksts ir paredzēts tikai informatīviem un žurnālistikas mērķiem un nav uzskatāms par oficiālu juridisku konsultāciju. Konkrētām atbilstības prasībām attiecībā uz jūsu organizāciju, lūdzu, konsultējieties ar kvalificētu juridisko speciālistu.
Uz tikšanos otrā pusē.
Mūsu end-to-end šifrētais e-pasta un mākoņdatu glabāšanas risinājums nodrošina visefektīvākos līdzekļus drošai datu apmaiņai, garantējot jūsu datu drošību un konfidencialitāti.
/ Izveidot bezmaksas kontu
