Pasirengimas TIS2 (NIS2) direktyvai
TIS2 direktyva Lietuvoje įsigaliojo spalio 18 d., kai įsigaliojo Kibernetinio saugumo įstatymo pakeitimai – tai svarbus žingsnis stiprinant kibernetinį saugumą visoje ES. Jei pirmoji TIS direktyva, galiojusi nuo 2016 m., buvo skirta esminiams sektoriams – energetikai, transportui, finansams, sveikatos priežiūrai, viešajam administravimui, žiniasklaidai ir vandens tiekimui, – TIS2 gerokai išplėtė savo taikymo sritį. Dabar ji apima ir papildomus sektorius: skaitmenines paslaugas, pašto ir kurjerių paslaugas, atliekų tvarkymą, kosmosą, maisto gamybą, gamybos pramonę, chemijos pramonę ir mokslinius tyrimus.
Išplėsta taikymo sritis reiškia, kad TIS2 direktyva taikoma platesniam kibernetinio saugumo subjektų ratui. Tai lemia labai skirtingą organizacijų pasirengimo ir supratimo lygį.
Aptardamas šiuos iššūkius, S. Drazdauskas pastebi:
„Nors TIS2 direktyva jau įsigaliojo, daugelis organizacijų vis dar yra ankstyvose stadijose vertindamos, kaip šie pokyčiai paveiks jų veiklą. Pasirengimo lygis labai skiriasi priklausomai nuo įmonės dydžio ir sektoriaus. Anksčiau kibernetinio saugumo reikalavimų nepatyrusios įmonės dabar aktyviai nagrinėja, ar patenka į TIS2 direktyvos taikymo sritį ir kokių veiksmų turi imtis atitikčiai užtikrinti. Tuo tarpu didesnės ir geriau pasirengusios įmonės – pavyzdžiui, veikiančios kritinės infrastruktūros sektoriuose – jau pradėjo parengiamąjį darbą. Jos supranta, kad direktyvos laikymasis yra ne tik teisinė prievolė, bet ir būtina sąlyga verslo tęstinumui bei saugumui užtikrinti.“
Šis pasirengimo lygio skirtumas pabrėžia ankstyvų veiksmų svarbą. Organizacijos, atidėliojančios pasirengimą, gali susidurti su rimtais iššūkiais, kurie kels grėsmę tiek operaciniam atsparumui, tiek teisinei atitikčiai.
TIS2 (NIS2) direktyvos įgyvendinimo iššūkiai
TIS2 direktyva įpareigoja laikytis griežtesnių kibernetinio saugumo reikalavimų, apimančių rizikos valdymo priemones, techninius ir organizacinius apsaugos mechanizmus bei incidentų reagavimo ir atkūrimo planus. Pavyzdžiui, organizacijos privalo pranešti apie reikšmingus incidentus, galinčius sutrikdyti jų paslaugas: per 24 valandas pateikti pirminį įspėjimą standartizuotu formatu, per 72 valandas nuo pirminio pranešimo – išsamesnę ataskaitą, o ne vėliau kaip per 30 dienų – galutinę incidento analizę.
Nors TIS2 nustato bendrus standartus, atitikties procesas labai priklauso nuo organizacijos veiklos pobūdžio ir naudojamų skaitmeninių sprendimų.
Kalbėdamas apie galimus direktyvos reikalavimų įgyvendinimo iššūkius, Drazdauskas pažymi:
„TIS2 reikalavimai yra vienodi visiems sektoriams. Tačiau konkreti direktyvos taikymo forma labiau priklausys nuo įmonės veiklos specifikos ir naudojamų sistemų. Pavyzdžiui, gamybos ar energetikos objektus eksploatuojančios organizacijos, naudojančios automatizuotas valdymo sistemas, susidurs su kitokiais saugumo reikalavimais nei įmonės, tvarkančios didelius duomenų kiekius arba valdančios duomenų saugyklas.“
Teisės ekspertas išskiria ir viešąjį sektorių:
„Renginiuose dažnai girdime, kad viešasis sektorius susidurs su didžiausiais iššūkiais – ypač sveikatos priežiūros, švietimo, savivaldybių ir viešojo administravimo srityse. Daugelis žmonių vis dar prisimena kibernetinius incidentus Lietuvos savivaldybėse, atskleidusius šių sričių pažeidžiamumą. Viešojo sektoriaus organizacijos turės skirti nemažai išteklių ir atidžiai planuoti biudžetą siekdamos laikytis direktyvos reikalavimų.“
Nepaisant skirtingų iššūkių, visų sektorių organizacijos siekia to paties tikslo – ne tik įvykdyti direktyvos reikalavimus, bet ir ilgam laikui užtikrinti savo veiklos saugumą.
Pereinamasis laikotarpis po TIS2 įsigaliojimo
Įsigaliojus TIS2 direktyvai, svarbus vaidmuo Lietuvoje teks Nacionalinio kibernetinio saugumo centro (NKSC) registrui – jis identifikuos organizacijas, laikomas kibernetinio saugumo subjektais. Šis procesas siekia užtikrinti, kad visos į registrą įtrauktos įmonės laikytųsi TIS2 direktyvos reikalavimų.
Teisės ekspertas komentuoja:
„Į NKSC registrą įtrauktos organizacijos turės 12 mėnesių pereinamąjį laikotarpį, per kurį privalės visiškai įgyvendinti TIS2 direktyvos reikalavimus. Tai leis įmonėms pasirengti ir atlikti būtinus pakeitimus siekiant atitikti visus saugumo standartus. Šis laikotarpis taip pat suteikia organizacijoms galimybę įvertinti esamus saugumo procesus, diegti naujas technologijas ir mokyti darbuotojus direktyvos kibernetinio saugumo reikalavimams įgyvendinti. Tačiau, nors pereinamasis laikotarpis suteikia tam tikro lankstumo, organizacijos turėtų kuo anksčiau pradėti pasirengimą, kad išvengtų galimų teisinių ir operacinių sutrikimų ateityje.“
Drazdauskas taip pat atkreipia dėmesį į svarbų niuansą:
„NKSC planuoja organizacijas įtraukti į registrą etapais, kad išvengtų perkrovos. Tai reiškia, kad kai kurios įmonės pranešimus gaus anksčiau nei kitos, todėl pasirengimo laikas skirsis. Įsivaizduokite, jei visi keli tūkstančiai subjektų būtų įtraukti tuo pačiu metu, tarkime, balandį – NKSC būtų sunku valdyti tokį srautą. Tikėtina, kad kai kurios organizacijos apie savo įtraukimą sužinos anksčiau.“
Termino klausimas yra kritinis – svarbu išvengti skuboto ir chaotiško pokyčių diegimo. Organizacijos, laukiančios registracijos proceso pabaigos, rizikuoja būti nepasiruošusios.
Tiekimo grandinės rizikos ir niuansai
TIS2 direktyva reikalauja ne tik stiprinti vidinius organizacijos procesus, bet ir užtikrinti tvirtą bendradarbiavimą su išorės partneriais. Kibernetinis saugumas tapo dvikrypčiu procesu, reikalaujančiu suderintų pastangų tiek organizacijos viduje, tiek visoje tiekimo grandinėje (angl. supply chain).
Aptardamas su kibernetinio saugumo subjektais ir jų tiekimo grandinėmis susijusias rizikas, teisės ekspertas S. Drazdauskas aiškina:
„Jei klientas yra kibernetinio saugumo subjektas, jis privalės reikalauti, kad jo tiekėjai laikytųsi griežtų saugumo standartų, saugodami jo duomenis ir sistemas. Tiekėjai, dar nepradėję diegti TIS2 direktyvos reikalavimų, patirs didelį spaudimą prisitaikyti prie aukštesnių standartų. Priešingai, tiekėjai, jau atitinkantys TIS2 reikalavimus, gali tuo pasinaudoti kaip konkurenciniu pranašumu. Atitiktis didina jų patikimumą ir kreditingumą rinkoje, tuo pačiu padedant užmegzti ilgalaikius, saugius santykius su klientais, kuriems kibernetinis saugumas yra prioritetas.“
Drazdauskas taip pat pabrėžia nuolatinės tiekimo grandinės stebėsenos svarbą:
„Organizacijos privalės peržiūrėti tiekimo grandinės valdymo procesus įgyvendindamos TIS2 direktyvą – siekdamos užtikrinti, kad visi išorės tiekėjai ir paslaugų teikėjai laikytųsi griežtų kibernetinio saugumo reikalavimų. Tai apims sutarčių peržiūrą ir atnaujinimus, įtvirtinant tiekėjų atsakomybę diegti saugumo priemones.“
S. Drazdauskas tęsia:
„Be to, organizacijos turės sukurti aiškias politikos gaires ir procedūras, užtikrinančias, kad tiekimo grandinės nariai visada laikytųsi reikalavimų. Tai bus svarbus žingsnis saugant organizacijos informacinius išteklius ir užkardant galimas grėsmes, kylančias dėl skirtingo paslaugų teikėjų saugumo praktikos lygio.“
Tai nėra vienkartinis procesas. Kibernetinis saugumas reikalauja nuolatinės stebėsenos, prisitaikymo ir nuolatinio naujų rizikų vertinimo. TIS2 direktyva žymi naują etapą kibernetinio saugumo srityje – ji įpareigoja organizacijas laikytis aukštesnių standartų ir iš naujo apgalvoti savo veiklos modelį. Direktyvos reikalavimų laikymasis yra ne tik formalus reikalavimas, bet ir investicija į ilgalaikį verslo tęstinumą bei konkurencinį pranašumą.
Ačiū už įžvalgas, Stasy!
