Tęsiame mūsų pokalbių seriją su CGI Lithuania kibernetinio saugumo ekspertu Michaelu Von Glasow. Šį kartą – apie NIS2 direktyvą ir jos įgyvendinimą. Interviu sužinosite, kas yra NIS2 ir TIS2, kaip tinkamai pasiruošti jų reikalavimams bei kodėl įmonėms itin svarbu į tai atkreipti dėmesį jau dabar.
Kas yra Europos Sąjungos direktyva NIS2?
NIS2 (arba lietuviškai – TIS2) yra Europos Sąjungos (ES) informacinio saugumo direktyva. 2022-aisiais ji pakeitė ankstesnę NIS direktyvą, o ją įgyvenantis kibernetinio saugumo įstatymas buvo atnaujintas 2024-aisias. NIS2 taikoma įmonėms ir organizacijoms, kurių veikla yra svarbi visuomenės ir valstybės funkcionavimui.
Kuo skiriasi TIS2 ir NIS2?
TIS2 yra lietuviškas direktyvos pavadinimas, vartojamas nacionaliniuose teisės aktuose, o NIS2 – tarptautinis, angliškas pavadinimas. Abu terminai reiškia tą pačią ES direktyvą.
Kuo NIS2 skiriasi nuo ankstesnės NIS1 versijos?
NIS2 išplėtė taikymo sritį - prie reguliuojamų subjektų buvo priskirtos papildomos organizacijos, kurios anksčiau nepateko į reguliavimo lauką. Taip pat padidėjo reikalavimų apimtis. Lietuvoje į šią direktyvą žiūrima itin rimtai yra parengtas išsamus ir detaliai apibrėžtas reikalavimų katalogas.
Kuo Lietuva išsiskiria įgyvendinant NIS2?
Lietuva išsiskiria tuo, kad yra viena iš vos penkių valstybių narių, kurios laiku priėmė nacionalinius teisės aktus, įgyvendinančius NIS2 direktyvą. Be to, Lietuvoje parengtas vienas detaliausių reikalavimų katalogų. Skirtingai nei DORA, kuri yra reglamentas ir taikomas tiesiogiai visose ES valstybėse, NIS2 yra direktyva – tai reiškia, kad kiekviena šalis narė turi ją įgyvendinti savo teisės sistemoje, todėl praktinis taikymas gali skirtis tarp valstybių.
Kokius sektorius paliečia NIS2?
NIS2 direktyva apima įvairius sektorius, tokius kaip transportas, energetika, sveikatos apsauga ir kt. Lietuvoje įmonėms lengva sužinoti ar jos patenka į reguliavimo sritį, nes Nacionalinis kibernetinio saugumo centras (NKSC) aktyviai informuoja organizacijas, jeigu jos yra įtrauktos į nacionalinio saugumo subjektų sąrašą ir turi pareigą įgyvendinti nustatytas saugumo priemones.
Taigi NKSC prižiūri NIS2 įgyvendinimą Lietuvoje?
Taip, NIS2 įgyvendinimą Lietuvoje prižiūri Nacionalinis kibernetinio saugumo centras (NKSC). Įmonės, kurios patenka į reguliuojamų subjektų sąrašą, gauna oficialų pranešimą ir nuo registracijos momento turi 24 mėnesius įgyvendinti visus reikalavimus. Kai kurios priemonės turi būti įgyvendintos greičiau -per 12 mėnesių.
Kokios pasekmės už reikalavimų neįgyvendinimą?
Už TIS2 reikalavimų nesilaikymą gali būti taikomos griežtos sankcijos. Šiurkščių pažeidimų atvejais yra didelės piniginės baudos. Taip pat atsakingi vadovai gali būti nušalinti nuo pareigų ir jiems gali būti uždrausta tam tikrą laiką eiti vadovaujamas pozicijas.
Ką vadovams svarbu žinoti?
Svarbiausia vadovams atsiminti, kad galutinė atsakomybė yra jų. Jie atsako už visų priemonių įgyvendinimą ir už galimas pasekmes, jei saugumo reikalavimai nebus įvykdyti.
Kaip įmonės gali pasiruošti NIS2?
Paprastai įmonėms nereikia pradėti nuo visiško nulio – ypač jei jos jau yra įdiegusios informacinio saugumo valdymo sistemą (ISVS). Tokios organizacijos turi ženklų pranašumą. Pirmasis žingsnis turėtų būti neatitikčių analizė (angl. gap analysis), kurios metu įvertinama, kas jau yra įgyvendinta, ir nustatomos pagrindinės spragos bei rizikos sritys.
Ar yra skirtumų tarp taikomų reikalavimų didelėms ir mažoms įmonėms?
Taip, skirtumų yra. Organizacijos skirstomos į esminius ir svarbius subjektus. Kai kurie reikalavimai taikomi tik esminiams subjektams, o svarbiems - ne. Be to, taikomas proporcingumo principas, kuris reiškia, kad reikalavimai priklauso nuo įmonės dydžio, veiklos pobūdžio, rizikos profilio, finansinių galimybių bei nuo to, kiek saugumo priemonės galėtų paveikti įmonės veiklą.
Kaip turėtų atrodyti gera saugumo valdymo sistema pagal NIS2?
Tinkama saugumo valdymo sistema turėtų apimti informacinių sistemų saugumo politiką bei rizikų analizės politiką, taip pat incidentų valdymo procedūras ir veiklos tęstinumo planą. Reikėtų atkreipti dėmesį į tiekimo grandinės saugumą, sistemų įsigijimo, kūrimo ir priežiūros saugą. Taip pat būtinos priemonės ir procedūros vertinti taikomų saugumo sprendimų veiksmingumą.
Svarbus ir bazinis kibernetinės higienos lygis – darbuotojai turi būti mokomi naudotis saugiais slaptažodžiais, atpažinti kenkėjiškus laiškus (phishing), suvokti socialinės inžinerijos grėsmes. Jei reikia, turi būti parengta kriptografijos politika, užtikrintas žmogiškųjų išteklių saugumas, aiški prieigos kontrolė, turto valdymas, kelių veiksnių autentifikavimas ir saugaus ryšio sprendimai. Visa tai sudaro tai, ką neretai vadiname „dešimčia įsakymų“ kibernetinio saugumo srityje.
Kokie didžiausi praktiniai iššūkiai kyla organizacijoms?
Didžiausi sunkumai dažnai kyla tarptautinėms įmonėms, nes kiekviena ES valstybė direktyvą įgyvendina šiek tiek skirtingai. Dėl to organizacijos turi iš anksto apgalvoti, kaip atitikti kelių šalių nacionalinius reikalavimus. Be to, kai kurios įmonės gali patekti ne tik į NIS2/TIS2 taikymo sritį, bet ir į DORA reglamento ribas. Tokiu atveju reikia suderinti ir įgyvendinti abiejų teisinių režimų keliamus reikalavimus.
Kaip CGI Lithuania gali padėti organizacijoms?
CGI Lithuania gali padėti visose pasiruošimo ir įgyvendinimo fazėse. Pradedant nuo neatitikties analizės, toliau galime padėti parengti reikiamas politikas, procedūras ir planus, taip pat įgyvendinti praktines priemones, vystyti techninius sprendimus, diegti sistemas ir užtikrinti jų palaikymą. Esame pasiruošę prisidėti tiek strateginiu, tiek operaciniu lygmeniu – nuo planavimo iki nuolatinės priežiūros.
About this author
Michael Von Glasow
Senior Consultant
Certified cybersecurity expert. Working for CGI since 2013. Specialties: Cybersecurity, financial sector, public sector, multinational environments.
