Tarpvalstybinės rizikos ir tiekimo grandinės pažeidžiamumai
TIS2 taikoma ne tik tiesiogiai patenkantiems subjektams – jos poveikis apima visą tiekimo grandinę. Į scope patenkančios organizacijos turi vertinti ir valdyti trečiųjų šalių rizikas, dažnai perduodamos tuos pačius saugumo reikalavimus savo tiekėjams per sutartis.
„Net jei jums TIS2 tiesiogiai netaikoma, vis tiek gali tekti atitikti panašius standartus, kad galėtumėte dirbti su tam tikrais klientais. Jau matome tiekėjus, kurie savanoriškai diegia priemones vien todėl, kad to reikalauja jų klientai“, – aiškina Andrijauskas.
Šis tarpusavio ryšys reiškia, kad Latvijos ar Estijos tiekėjas, neturintis formalių įpareigojimų, gali tapti silpnąja grandimi Lietuvos įmonei, kuri investavo į TIS2 atitiktį.
Skirtingos interpretacijos, panašūs tikslai
Nors pagrindiniai reikalavimai atitinka tarptautinius informacijos saugumo standartus, tokius kaip ISO/IEC 27001, nacionaliniai skirtumai egzistuoja. Pavyzdžiui, Estijos įstatymo projekte siūlomas privalomas ISO sertifikavimas sveikatos priežiūros įstaigoms. Lietuva įvedė iki dvejų metų pereinamuosius laikotarpius organizacijoms pilnai atitikti reikalavimus – pirmieji metai skirti organizaciniams reikalavimams, tokiems kaip politika, procedūros ir atsakomybių paskyrimas, o antrieji – techninių saugumo priemonių įgyvendinimui.
Estijoje ir Latvijoje šie terminai dar net neprasidėjo. Dvejų metų atitikties laikotarpis prasidės tik tuomet, kai TIS2 bus perkelta į nacionalinę teisę. Šie skirtumai svarbūs regioniniu mastu veikiančioms įmonėms. „Jei jūsų pagrindiniai klientai yra Lietuvoje, bet įmonė įsikūrusi Estijoje, nelaukite, kol nacionalinės taisyklės bus galutinai patvirtintos. Taikykite pripažintus tarptautinius standartus dabar – tai saugiausias būdas atitikti skirtingus reikalavimus ir sumažinti teisinę riziką“, – pataria Andrijauskas.
„Jei po incidento peržiūros paaiškėja, kad buvote nepasiruošę, trūko dokumentuotų procedūrų, įgyvendinimo įrašų ar techninių priemonių, pasekmės gali būti rimtos“, – pažymi jis. „Kalbame apie reikšmingas baudas ir kai kuriais atvejais – vadovų asmeninę atsakomybę“.
Šie skirtumai svarbūs regioniniu mastu veikiančioms įmonėms. „Jei jūsų pagrindiniai klientai yra Lietuvoje, bet įmonė įsikūrusi Estijoje, nelaukite, kol nacionalinės taisyklės bus galutinai patvirtintos. Taikykite pripažintus tarptautinius standartus dabar – tai saugiausias būdas atitikti skirtingus reikalavimus ir sumažinti teisinę riziką“, – pataria Andrijauskas.
Priežiūra ir atsakomybė
Šiuo metu Baltijos šalių priežiūros institucijos yra skirtinguose pasirengimo etapuose. Lietuvos Nacionalinis kibernetinio saugumo centras turi ilgametę patirtį, tačiau neseniai apribojo aktyvias dokumentų peržiūras. Latvijos institucija įkurta tik 2024 m. rugsėjį, o Estijoje kibernetinio saugumo padalinys dar formuojamas.
Todėl tikėtina, kad priežiūra daugiausia bus orientuota į post-incident tyrimus, o ne į įprastas patikras – bent jau pradžioje. Tai nesumažina rizikos: TIS2 direktyva numato reikšmingas baudas ir įmonių vadovų asmeninę atsakomybę. Europoje panašūs režimai jau lėmė tiek įmonių, tiek asmenines sankcijas.
TIS2 direktyvos taikymas MVĮ
TIS2 direktyva paprastai taikoma organizacijoms, kuriose dirba daugiau nei 50 darbuotojų arba kurių metinė apyvarta viršija 10 mln. eurų. Tačiau Raimondas Andrijauskas pažymi, kad taikymo apimtis nėra galutinai apibrėžta. Nacionalinės priežiūros institucijos, tokios kaip Lietuvos Nacionalinis kibernetinio saugumo centras, gali išplėsti TIS2 reikalavimus ir mažesnėms įmonėms, jei jos atlieka kritinį vaidmenį esminių paslaugų saugumui. Tai reiškia, kad net labai mažos įmonės – jei jos veikia jautriuose sektoriuose arba teikia svarbias paslaugas reguliuojamiems subjektams – gali būti įtrauktos į tą patį reguliavimo lauką.
„Čia kai kurios įmonės nustemba“, – sako Andrijauskas. „Galite manyti, kad esate per maži TIS2, bet jei esate svarbi tiekimo grandinės dalis, galite būti oficialiai įpareigoti laikytis reikalavimų“. Toks įpareigojimas nėra pasirinkimas – kartą jį gavus, organizacija privalo įgyvendinti visus reikalavimus, nuo saugumo pareigūno paskyrimo iki techninių ir organizacinių priemonių diegimo.
Svarbu tai, kad vien sąnaudų argumentas greičiausiai neatleis įmonių nuo reikalavimų, jei jos atitinka dydžio ar apyvartos kriterijus. TIS2 įsipareigojimai yra vienodi nepriklausomai nuo to, ar atitiktis pigi, ar reikalauja didelių investicijų. Kaip pažymi Andrijauskas: „Taip, reikalavimai yra brangūs, bet baudos už neatitiktį arba prarastas verslas po incidento gali būti kur kas skaudesni“. Turint pereinamuosius laikotarpius, jis pataria įmonėms – didelėms ar mažoms – pradėti ruoštis anksti, o ne bandyti suspėti paskutinę minutę.
Nedelskite su TIS2 įgyvendinimu
Netolygus TIS2 įgyvendinimo tempas Baltijos šalyse gali paskatinti kai kurias įmones atidėlioti pasiruošimą – tačiau tai rizikinga strategija. TIS2 direktyvos reikalavimai gali būti taikomi dar prieš galutinį nacionalinių įstatymų priėmimą, o klientų sutartiniai reikalavimai gali atsirasti dar anksčiau. „Pasiruošimo kaina yra reikšminga, bet neatitikties kaina – baudomis, prarastu verslu ir reputacine žala – gali būti kur kas didesnė“, – apibendrina Andrijauskas.
Ačiū už interviu, Raimondai!
