26 vasario, 2024
Telia

Klausimų daugiau, nei atsakymų: kaip įmonėms jau dabar pasiruošti spalį įsigaliosiančiai TIS2 direktyvai?

Nauja ES direktyva jau po aštuonių mėnesių įpareigos tūkstančius Lietuvos įmonių iš esmės sustiprinti savo kibernetinio saugumo lygį. Vis dėlto neretą verslą dar labiau, nei už pažeidimus gręsiančios milijoninės baudos, gąsdina naujosios tvarkos neapibrėžtumas. Kol kas direktyva ne tik nėra perkelta į Lietuvos teisinę sistemą, bet ir nenumato tikslių jos vykdymo priemonių. Tačiau „Telia“ ramina – ruoštis pokyčiams pradėti galima jau dabar, naudojant jau egzistuojantį informacijos saugos vadybos standartą. 

Praėjusių metų pradžioje ES priėmė sugriežtintą Tinklų ir informacinių sistemų saugumo direktyvą (TIS2, angl. NIS2 – Network and Information Security Directive), kuria siekiama užtikrinti valstybei svarbiuose sektoriuose veikiančių įmonių veiklos tęstinumą. Atnaujintas reguliavimas išplečia sąrašą sektorių, kuriuose dirbančioms įmonėms taikomi griežtesni kibernetinio saugumo reikalavimai, o už jų nesilaikymą didelės finansinės sankcijos ir netgi asmeninė bendrovės vadovo atsakomybė.

„Su TIS2 į susiję teisės aktai Lietuvoje privalo būti parengti iki šių metų spalio 17 d., o jų įsigaliojimas turėtų vykti jau kitą dieną – spalio 18 d. Kadangi kiekvienai įmonei teks priimti jos veiklai individualizuotas kibernetinio saugumo reformas, akivaizdu, kad per vieną naktį joms pasiruošti nėra įmanoma. Laimė, remdamiesi ilgamete patirtimi linkstame teigti, kad didžioji dalis reikalavimų bus sukurti pagal ISO 27001. Organizacijos, į minėtą standartą įsigilinusios jau dabar, numačiusios jame apibrėžtus resursus, identifikavusios rizikas ir paruošusios tinkamus dokumentus, TIS2 erą galės pasitikti ir su kur kas mažesnėmis išlaidomis, ir didesniu naujai sukurtų mechanizmų efektyvumu“, – įžvalgomis dalinasi „Telia“ verslo klientų vadovas Daniel Karpovič.

„Praslysti“ nepavyks

Valstybės institucijų duomenimis, Lietuvoje TIS2 reguliavimo laikytis turinčių įmonių skaičius gali siekti net 22 tūkstančius. Naujieji ES reikalavimai galios energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse veikiančioms kompanijoms. 

Vis dėlto po TIS2 stogu papuls dar daugiau bendrovių, jei jos atitiks du kriterijus: darbuotojų skaičius viršys 50, o įmonės apyvarta arba turtas – 10 mln. Eur . Griežtesnės kibernetinės drausmės tokiu atveju turės laikytis informacinių ir ryšių technologijų (IRT) paslaugų verslui, pašto ir kurjerių paslaugų, atliekų tvarkymo, cheminių medžiagų gamybos ir platinimo, skaitmeninių paslaugų, įskaitant e. prekybos, mokslinių tyrimų ir apibrėžtose gamybos srityse veikiančios kompanijos. 

„Didelė problema yra ne tik, kad nemaža dalis bendrovių apskritai nėra informuotos apie artėjantį TIS2 įvedimą, bet ir tai, jog žinančiosios apie reguliavimo pokyčius juos interpretuoja neteisingai. Dalis organizacijų mano, kad prieš pat direktyvos įsigaliojimą pakaks įsigyti kokį nors virtualų įrankį ar pasisamdyti specialistą. Deja, TIS2 nėra tik apie antivirusinių ar saugių slaptažodžių naudojimą. Direktyva įveda pareigą kompleksiškai saugotis nuo kibernetinių grėsmių, mokyti darbuotojus, paruošti veiksmų planą įvykus išpuoliui ir gebėti apie jį tinkamai informuoti valstybės institucijas. Daugeliu atvejų visam šiam pasiruošimui reikia mažiausiai kelių mėnesių“, – akcentuoja D. Karpovič.

Raktas į TIS2 – ISO27001 standartas

Nepaisant reformų masto, TIS2 nurodomos tik bendros gairės valstybėms narėms, o konkrečius reikalavimus ir reglamentavimą pavesta nustatyti norminiuose Lietuvos teisės aktuose. Tik kai pastarieji bus parengti, taps aišku, ką tiksliai turės atlikti ir atitikti kiekvienas TIS2 reguliavimo paliestas juridinis asmuo. Panašu, kad šie teisiniai dokumentai bus patvirtinti anksčiausiai iki vasaros pradžios, tad jų laukiantieji baiminasi „sudeginti“ nemažai pasiruošimui panaudoti galimo laiko. 

„Patirtis rodo, kad prireikus sukurti itin universalų reguliavimą ir dar per tokį ganėtinai trumpą laikotarpį, teisėkūros atstovai, užuot bandę „išradinėti dviratį“, linkę pasirinkti rinkoje plačiai taikomą standartą ir jį adaptuoti. Šiuo atveju TIS2 reikalavimų pagrindu Lietuvoje turėtų tapti ISO27001 standartas, kuris ekspertų skaičiavimu, tenkina apie 70 proc. naujosios ES direktyvos gairių. Kitaip tariant, organizacijoje įdiegus šį standartą, didžiajai daliai TIS2 reformų bus pasiruošta ir to nebereikės daryti paskubomis, kai bus įvesti atitinkami teisės aktai“, – aiškina „Telia“ padalinio vadovas.

Pašnekovo teigimu, ISO27001 atitinka TIS2 gaires dėl reikalavimų organizacijai įsivertinti informacijos saugumo riziką, identifikuoti jai kylančius pavojus bei silpnąsias grandis, per kurias ji gali būti atskleista. Pagal tai įmonė įpareigojama suprojektuoti ir įgyvendinti išsamias saugumo priemones. Įvykdžius šiuos punktus, kompanijai reikia atlikti atitikties vertinimą ir, nuolat peržiūrint taikomas priemones, būti pasiruošus auditams, kurie gali veikti kaip repeticija prieš valstybinių institucijų planuojamus TIS2 laikymosi patikrinimus.

Pradėti reikia nuo tinkamos politikos

Skubant į TIS2 traukinį, „Telia“ ekspertas dėmesį pataria sutelkti ne į vienas ar kitas saugumo priemones, o į tinkamos vidinės IT saugumo politikos patvirtinimą. Direktyvos kūrėjai supranta, jog net ir visas įmanomas apsaugos priemones įsidiegusi įstaiga nėra visiškai apsaugota nuo kibernetinių incidentų, todėl net labiau už konkrečius instrumentus akcentuoja įmonių gebėjimus anksti pastebėti įsilaužimą ir pasirengti kuo greitesniam veiklos atstatymui.

„Kompanijos turėtų pradėti nuo esamos kritinės infrastruktūros inventorizacijos, pasitvirtinti tvarką, kaip bus valdomi kibernetiniai incidentai bei kaip po jų bus tęsiama veikla. Taip pat labai svarbu pasiruošimo TIS2 direktyvai „nenuleisti“ vien tik ant IT skyriaus pečių, nes naujajame reguliavime įmonių vadovai privalės patvirtinti kibernetinio saugumo rizikų suvaldymo priemones bei reguliariai dalyvauti su kibernetiniu saugumu susijusiuose mokymuose, kartu pasirūpinant, kad reikiamas žinias įgytų ir jų darbuotojai“, – pataria D. Karpovič.

Spalį įsigaliosiantys teisės aktai taip pat numatys didesnę atsakomybę už savo IT tiekimo grandinę. Nauja ES saugumo direktyva šią problemą įpareigos spręsti nustatydama reikalavimus IT tiekėjams, todėl jau ruošiantis reglamentavimo pokyčiams skatintina pasirinkti tinkamus partnerius, kurių neteks atsisakyti eigoje.


12 gruodžio, 2024

Dar 2017 metais Senovės baltų religinės bendrijos „Romuva“ pradėtą kelią link valstybės pripažinimo vainikavo sėkmė. Ketvirtadienį Seimas oficialiai suteikė šiai […]

12 gruodžio, 2024

Visagine įsikūrusi vokiško kapitalo siuvimo bendrovė „Visatex“ atleidžia visus 320 darbuotojų, praneša Užimtumo tarnyba. „Įspėta 320 darbuotojų, iš jų – daugiausiai […]

12 gruodžio, 2024

Ketvirtadienį Seimas patvirtino socialdemokrato Gintauto Palucko Vyriausybės programą. Jai pritarus, naujasis Ministrų kabinetas prisieks ir, įgijęs įgaliojimus, oficialiai pradės darbus. […]

12 gruodžio, 2024

Vilniaus universiteto Tarptautinių santykių ir politikos instituto (VU TSPMI) direktorė Margarita Šešelgytė sako, kad sunku nuspėti, kaip po Basharo al […]

12 gruodžio, 2024

Kiekvienas transporto priemonių savininkas žino, kokia svarbi yra krovinio apsauga nuo nepalankių oro sąlygų. Tentai priekaboms ir sunkvežimiams ne tik […]

AB „Šiaulių energija“ nuotr.
12 gruodžio, 2024

AB „Šiaulių energija“ investuoja į projektus, prisidedančius prie tvarios energetikos plėtros, didinančius atsinaujinančių energijos išteklių panaudojimą. Šios investicijos padeda mažinti […]

Seimo narys Andrius Bagdonas
11 gruodžio, 2024

Generalinė prokurorė Nida Grunskienė trečiadienį pasirašė ir išsiuntė kreipimąsi Seimui dėl Seimo nario, Liberalų sąjūdžio atstovo Andriaus Bagdono teisinės neliečiamybės panaikinimo – […]

11 gruodžio, 2024

Ekonomikos ir inovacijų ministerija su kompanija UAB „Narbutas International“ pasirašė stambaus investicinio projekto sutartį, pagal kurią planuojama pastatyti naują baldų […]

11 gruodžio, 2024

Gruodžio 4-5 d. Birštone įvyko miestų vietos veiklos grupių bendradarbiavimui skirtas renginys. Dar vasarą Vidaus reikalų ministerija (VRM) buvo patvirtinusi […]

10 gruodžio, 2024

Vilniuje, šalia nacionalinės Martyno Mažvydo bibliotekos, antradienį įvyko antroji kartvelų palaikymo akcija. Šį kartą į iniciatyvą „Kartu dainoje, kartu Europoje” […]

10 gruodžio, 2024

JAV antradienį paskelbė, kad išmokėjo Ukrainai skirtą 20 mlrd. dolerių (19 mlrd. eurų) paskolą, finansuojamą palūkanomis, gautomis už įšaldytą Rusijos […]

10 gruodžio, 2024

Seimas linkęs suteikti valstybės pripažinimą Senovės baltų religinei bendrijai „Romuva“. Antradienį už tai numatantį nutarimo projektą po svarstymo balsavo 71 […]

10 gruodžio, 2024

Valstybinė darbo inspekcija (VDI) bene dažniausiai sulaukia darbuotojų klausimų apie atostogas, darbo sutarties nutraukimą ir atsiskaitymo tvarką. Šie klausimai itin […]

9 gruodžio, 2024

Lietuvoje netylant aistroms dėl to, ar naujasis žemės ūkio ministras bus pajėgus skaidriai įgyvendinti taršaus ir į grūdų eksportą orientuoto […]

9 gruodžio, 2024

Lietuvos antstolių rūmų iniciatyva pirmą kartą sudarytas skolų žemėlapis parodė, kad įsiskolinimo lygis atskirose savivaldybėse skiriasi kelis kartus. Iš žemėlapio […]

9 gruodžio, 2024

Visi nori laimėti loterijoje. Tačiau ar žinote, kad ją laimėjus, dar gali tekti nuo prizo susimokėti mokesčius? Štai JAV, valstybei […]

9 gruodžio, 2024

Ruošiantis remontui, paprastai suka galvą įvairūs rūpesčiai. Reikia ieškoti patikimo meistro, kokybiškų medžiagų ir gerų kainų, kas dažnai nebūna taip […]

8 gruodžio, 2024

Nuverstasis Sirijos prezidentas Basharas al-Assadas su šeima atvyko į Maskvą, Rusijos naujienų agentūroms pranešė Kremliaus šaltinis, praėjus kelioms valandoms po […]

Prezidento patarėjas Kęstutis Budrys. ELTA / Dainius Labutis
8 gruodžio, 2024

Paskirtasis užsienio reikalų ministras Kęstutis Budrys mano, kad Basharo al Assado režimo nuvertimas Sirijoje negarantuoja stabilumo šalyje. Kita vertus, anot […]

8 gruodžio, 2024

Sirijos valstybinė televizija sekmadienį transliavo pranešimą, kuriame paskelbė apie Sirijos sukilimo „pergalę“ ir „nusikalstamo“ Basharo al Assado režimo žlugimą sukilėliams […]