Šių metų pradžioje ES priėmė sugriežtintą Tinklų ir informacinių sistemų saugumo direktyvą (TIS2, angl. NIS2 – Network and Information Security Directive), kuria siekiama užtikrinti valstybei svarbiuose sektoriuose veikiančių įmonių veiklos tęstinumą. Atnaujintas reguliavimas išplečia sąrašą sektorių, kuriuose dirbančioms įmonėms taikomi griežtesni kibernetinio saugumo reikalavimai, o už jų nesilaikymą numatomos baudos ir asmeninė bendrovės vadovo atsakomybė. TIS2 į Lietuvos teisinę sistemą bus perkelta iki 2024 m. spalio 18 d.
„Naujas ES reguliavimas priimtas atsižvelgiant į pasikeitusią geopolitinę situaciją ir naujas grėsmes, galinčias destabilizuoti valstybės gyvenimą. Siekiant didinti šalių atsparumą kibernetinėms atakoms, TIS2 direktyva įmonėms įveda naujų prievolių, įskaitant kylančių rizikų įsivertinimą ar tinkamos IT saugumo politikos priėmimą. Vis dėlto į reikalavimus nederėtų žiūrėti tik kaip į prievolės atlikimą – direktyva verslui padės tapti atsparesniam kibernetinėms grėsmėms ir prisidės prie didesnio mūsų valstybės stabilumo“, – teigia „Telia“ Verslo klientų vadovas Daniel Karpovič.
22 tūkst. įmonių ir milijoninės baudos
Pasak D. Karpovič, TIS2 direktyva ypatinga taikymo mastu – valstybės įstaigos skaičiuoja, kad vien Lietuvoje jos laikytis privalės apie 22 tūkst. juridinių asmenų. Naujieji ES reikalavimai galios energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse veikiančioms kompanijoms.
Vis dėlto po TIS2 stogu papuls dar daugiau bendrovių, jei jos atitiks du kriterijus: darbuotojų skaičius viršys 50, o įmonės apyvarta arba turtas – 10 mln. Eur . Griežtesnės kibernetinės drausmės tokiu atveju turės laikytis informacinių ir ryšių technologijų (IRT) paslaugų verslui, pašto ir kurjerių paslaugų, atliekų tvarkymo, cheminių medžiagų gamybos ir platinimo, skaitmeninių paslaugų, įskaitant e. prekybos, mokslinių tyrimų ir apibrėžtose gamybos srityse veikiančios kompanijos.
Pokyčiams nepasiruošusios arba laiku apie incidentą nepranešusios įmonės sulauks baudų, kurios gali siekti ir iki 10 mln. Eur. Bausmės už šiuos pažeidimus gali laukti ir įmonių vadovų.
„Vienas esminių TIS2 tikslų yra įpareigoti verslą paruošti priemones, kurios leistų anksti pastebėti įsilaužimą ir pasirengti kuo greitesniam veiklos atstatymui. Svarbu suprasti, kad nusikaltėliai gali įsilaužti į įmonę net jei ji turi visas apsaugas – jie visada stengiasi būti žingsniu priekyje. Todėl verslas turi rūpintis ne tik technologinių sprendimų diegimu, bet ir pasiruošti veiksmų planą ištikus incidentui, įsidiegti veiklos atstatymo sprendimus bei apmokyti darbuotojus“, – paaiškina Daniel Karpovič.
Laikrodis jau tiksi
„Telia“ atstovas įspėja, jog direktyvoje numatyti įpareigojimai nėra tik formalumas, kurį pakaks sutvarkyti prieš pat įsigaliojant naujajam teisiniam reguliavimui. TIS2 reikalavimų turinčių laikytis įmonių vadovai privalės patvirtinti kibernetinio saugumo rizikų suvaldymo priemones bei reguliariai dalyvauti su kibernetiniu saugumu susijusiuose mokymuose, kartu pasirūpinant, kad reikiamas žinias įgytų ir jų darbuotojai.
„Verslai turėtų ne studentiškai laukti „paskutinės nakties“, o TIS2 reikalavimams ruoštis iš anksto. Organizacijoms rekomenduoju pradėti nuo kibernetinių pavojų nusimatymo ir atitinkamos IT sistemų saugumo politikos. Bendrovėms būtina pasidaryti esamos kritinės infrastruktūros inventorizaciją, pasitvirtinti tvarką, kaip bus valdomi kibernetiniai incidentai bei kaip po jų bus tęsiama veikla. Dokumentacijoje taip pat yra nemažai pareigų darbuotojų edukacijai, duomenų šifravimui, kibernetini higienai bei saugių ryšio priemonių naudojimui“, – vardina D. Karpovič.
Kita vertus, nuo kitų metų spalio įmonės privalės kur kas daugiau dėmesio skirti ir savo IT tiekimo grandinei. Lietuvos verslai dėl kaštų taupymo daugumą paslaugų užsako iš išorinių partnerių, perleisdami jiems atsakomybę už bendrovės tinkle vykstančius procesus bei nepasidomėdami jų veikla. Nauja ES saugumo direktyva šią problemą įpareigos spręsti nustatydama reikalavimus IT tiekėjams, todėl jau ruošiantis reglamentavimo pokyčiams skatintina pasirinkti tinkamus partnerius, kurių neteks atsisakyti eigoje.