26 vasario, 2024
Telia

Klausimų daugiau, nei atsakymų: kaip įmonėms jau dabar pasiruošti spalį įsigaliosiančiai TIS2 direktyvai?

Nauja ES direktyva jau po aštuonių mėnesių įpareigos tūkstančius Lietuvos įmonių iš esmės sustiprinti savo kibernetinio saugumo lygį. Vis dėlto neretą verslą dar labiau, nei už pažeidimus gręsiančios milijoninės baudos, gąsdina naujosios tvarkos neapibrėžtumas. Kol kas direktyva ne tik nėra perkelta į Lietuvos teisinę sistemą, bet ir nenumato tikslių jos vykdymo priemonių. Tačiau „Telia“ ramina – ruoštis pokyčiams pradėti galima jau dabar, naudojant jau egzistuojantį informacijos saugos vadybos standartą. 

Praėjusių metų pradžioje ES priėmė sugriežtintą Tinklų ir informacinių sistemų saugumo direktyvą (TIS2, angl. NIS2 – Network and Information Security Directive), kuria siekiama užtikrinti valstybei svarbiuose sektoriuose veikiančių įmonių veiklos tęstinumą. Atnaujintas reguliavimas išplečia sąrašą sektorių, kuriuose dirbančioms įmonėms taikomi griežtesni kibernetinio saugumo reikalavimai, o už jų nesilaikymą didelės finansinės sankcijos ir netgi asmeninė bendrovės vadovo atsakomybė.

„Su TIS2 į susiję teisės aktai Lietuvoje privalo būti parengti iki šių metų spalio 17 d., o jų įsigaliojimas turėtų vykti jau kitą dieną – spalio 18 d. Kadangi kiekvienai įmonei teks priimti jos veiklai individualizuotas kibernetinio saugumo reformas, akivaizdu, kad per vieną naktį joms pasiruošti nėra įmanoma. Laimė, remdamiesi ilgamete patirtimi linkstame teigti, kad didžioji dalis reikalavimų bus sukurti pagal ISO 27001. Organizacijos, į minėtą standartą įsigilinusios jau dabar, numačiusios jame apibrėžtus resursus, identifikavusios rizikas ir paruošusios tinkamus dokumentus, TIS2 erą galės pasitikti ir su kur kas mažesnėmis išlaidomis, ir didesniu naujai sukurtų mechanizmų efektyvumu“, – įžvalgomis dalinasi „Telia“ verslo klientų vadovas Daniel Karpovič.

„Praslysti“ nepavyks

Valstybės institucijų duomenimis, Lietuvoje TIS2 reguliavimo laikytis turinčių įmonių skaičius gali siekti net 22 tūkstančius. Naujieji ES reikalavimai galios energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse veikiančioms kompanijoms. 

Vis dėlto po TIS2 stogu papuls dar daugiau bendrovių, jei jos atitiks du kriterijus: darbuotojų skaičius viršys 50, o įmonės apyvarta arba turtas – 10 mln. Eur . Griežtesnės kibernetinės drausmės tokiu atveju turės laikytis informacinių ir ryšių technologijų (IRT) paslaugų verslui, pašto ir kurjerių paslaugų, atliekų tvarkymo, cheminių medžiagų gamybos ir platinimo, skaitmeninių paslaugų, įskaitant e. prekybos, mokslinių tyrimų ir apibrėžtose gamybos srityse veikiančios kompanijos. 

„Didelė problema yra ne tik, kad nemaža dalis bendrovių apskritai nėra informuotos apie artėjantį TIS2 įvedimą, bet ir tai, jog žinančiosios apie reguliavimo pokyčius juos interpretuoja neteisingai. Dalis organizacijų mano, kad prieš pat direktyvos įsigaliojimą pakaks įsigyti kokį nors virtualų įrankį ar pasisamdyti specialistą. Deja, TIS2 nėra tik apie antivirusinių ar saugių slaptažodžių naudojimą. Direktyva įveda pareigą kompleksiškai saugotis nuo kibernetinių grėsmių, mokyti darbuotojus, paruošti veiksmų planą įvykus išpuoliui ir gebėti apie jį tinkamai informuoti valstybės institucijas. Daugeliu atvejų visam šiam pasiruošimui reikia mažiausiai kelių mėnesių“, – akcentuoja D. Karpovič.

Raktas į TIS2 – ISO27001 standartas

Nepaisant reformų masto, TIS2 nurodomos tik bendros gairės valstybėms narėms, o konkrečius reikalavimus ir reglamentavimą pavesta nustatyti norminiuose Lietuvos teisės aktuose. Tik kai pastarieji bus parengti, taps aišku, ką tiksliai turės atlikti ir atitikti kiekvienas TIS2 reguliavimo paliestas juridinis asmuo. Panašu, kad šie teisiniai dokumentai bus patvirtinti anksčiausiai iki vasaros pradžios, tad jų laukiantieji baiminasi „sudeginti“ nemažai pasiruošimui panaudoti galimo laiko. 

„Patirtis rodo, kad prireikus sukurti itin universalų reguliavimą ir dar per tokį ganėtinai trumpą laikotarpį, teisėkūros atstovai, užuot bandę „išradinėti dviratį“, linkę pasirinkti rinkoje plačiai taikomą standartą ir jį adaptuoti. Šiuo atveju TIS2 reikalavimų pagrindu Lietuvoje turėtų tapti ISO27001 standartas, kuris ekspertų skaičiavimu, tenkina apie 70 proc. naujosios ES direktyvos gairių. Kitaip tariant, organizacijoje įdiegus šį standartą, didžiajai daliai TIS2 reformų bus pasiruošta ir to nebereikės daryti paskubomis, kai bus įvesti atitinkami teisės aktai“, – aiškina „Telia“ padalinio vadovas.

Pašnekovo teigimu, ISO27001 atitinka TIS2 gaires dėl reikalavimų organizacijai įsivertinti informacijos saugumo riziką, identifikuoti jai kylančius pavojus bei silpnąsias grandis, per kurias ji gali būti atskleista. Pagal tai įmonė įpareigojama suprojektuoti ir įgyvendinti išsamias saugumo priemones. Įvykdžius šiuos punktus, kompanijai reikia atlikti atitikties vertinimą ir, nuolat peržiūrint taikomas priemones, būti pasiruošus auditams, kurie gali veikti kaip repeticija prieš valstybinių institucijų planuojamus TIS2 laikymosi patikrinimus.

Pradėti reikia nuo tinkamos politikos

Skubant į TIS2 traukinį, „Telia“ ekspertas dėmesį pataria sutelkti ne į vienas ar kitas saugumo priemones, o į tinkamos vidinės IT saugumo politikos patvirtinimą. Direktyvos kūrėjai supranta, jog net ir visas įmanomas apsaugos priemones įsidiegusi įstaiga nėra visiškai apsaugota nuo kibernetinių incidentų, todėl net labiau už konkrečius instrumentus akcentuoja įmonių gebėjimus anksti pastebėti įsilaužimą ir pasirengti kuo greitesniam veiklos atstatymui.

„Kompanijos turėtų pradėti nuo esamos kritinės infrastruktūros inventorizacijos, pasitvirtinti tvarką, kaip bus valdomi kibernetiniai incidentai bei kaip po jų bus tęsiama veikla. Taip pat labai svarbu pasiruošimo TIS2 direktyvai „nenuleisti“ vien tik ant IT skyriaus pečių, nes naujajame reguliavime įmonių vadovai privalės patvirtinti kibernetinio saugumo rizikų suvaldymo priemones bei reguliariai dalyvauti su kibernetiniu saugumu susijusiuose mokymuose, kartu pasirūpinant, kad reikiamas žinias įgytų ir jų darbuotojai“, – pataria D. Karpovič.

Spalį įsigaliosiantys teisės aktai taip pat numatys didesnę atsakomybę už savo IT tiekimo grandinę. Nauja ES saugumo direktyva šią problemą įpareigos spręsti nustatydama reikalavimus IT tiekėjams, todėl jau ruošiantis reglamentavimo pokyčiams skatintina pasirinkti tinkamus partnerius, kurių neteks atsisakyti eigoje.

Komentarai (0)

Parašykite komentarą

El. pašto adresas nebus skelbiamas.


Punios šilas. Kirtimai / Renato Jakaičio nuotr.
14 balandžio, 2024

2023 m. iškirsta Šveicarijos plotui prilygstanti atogrąžų miškų teritorija, praneša Pasaulio išteklių institutas. Mokslininkų teigimu, tokiu mastu kertant žemės plaučiais […]

14 balandžio, 2024

Vidaus reikalų ministerija (VRM) praneša, kad Ukrainos pareigūnai gegužės mėnesį Lietuvoje surengs civilinės saugos mokymus. „Turime mokytis iš ukrainiečių išmoktų […]

14 balandžio, 2024

Po vėlų šeštadienio vakarą Irano surengtos atakos prieš Izraelį, Užsienio reikalų ministerija (URM) Artimuosiuose Rytuose esančius lietuvius ragina sekti naujausias […]

14 balandžio, 2024

Iranas šeštadienio vakare paleido į Izraelį daugiau nei 200 bepiločių orlaivių ir raketų, pranešė Izraelio kariuomenė, smarkiai eskaluodamas jau ilgus […]

Arvydas Avulis. Karolinos Gudžiūnienės (ELTA) nuotr.
12 balandžio, 2024

Po ketvirtadienį paskelbtų Viešųjų pirkimų tarnybos (VPT) išvadų visuomenėje vėl kilus diskusijoms dėl Nacionalinio stadiono likimo, nekilnojamojo turto plėtros kompanijos […]

12 balandžio, 2024

Atlikus patikrinimą Šiaulių „Jovaro“ progimnazijoje, Valstybinė maisto ir veterinarijos tarnyba (VMVT) įtaria, kad darbuotojai dalį produktų pasisavindavo. „Prie pastato įėjimo, […]

Gabrieliaus Jauniškio nuotr.
12 balandžio, 2024

Balandžio 11 dieną Lietuvoje pirmą kartą vyko Trijų jūrų iniciatyvos verslo forumas, į kurį susirinko daugiau nei 900 svečių iš […]

11 balandžio, 2024

Trijų jūrų iniciatyvos viršūnių plenarinei sesijai Vilniuje pirmininkaujantis Lietuvos Respublikos Prezidentas Gitanas Nausėda dalyvavo šio susitikimo proga vykstančio tarptautinio verslo […]

Agnė Bilotaitė, Rustamas Liubajevas. ELTA / Dainius Labutis
11 balandžio, 2024

Didžiulė neteisėtų migrantų grupė iš Baltarusijos agresyviomis priemonėmis bandė patekti į Lenkijos teritoriją, pranešė vidaus reikalų ministrė Agnė Bilotaitė. Anot […]

11 balandžio, 2024

Viešųjų pirkimų tarnyba (VPT) praneša, kad Nacionalinio stadiono koncesinės sutarties projekto pakeitimuose trūksta kainos apskaičiavimo pagrįstumo, todėl Vilniaus savivaldybė ir […]

11 balandžio, 2024

2023 m. vasarį Kėdainių laisvojoje ekonominėje zonoje (LEZ) pradėtos gerai žinomos pasaulyje dviračių gamintojos „Pon.Bike“ gamyklos statybos pasiekė finišo tiesiąją. […]

11 balandžio, 2024

Telekomunikacijų bendrovė „Telia“ remia pečius su Lietuvos autizmo asociacija „Lietaus vaikai“ ir padės skleisti žinią apie visame pasaulyje vis labiau […]

11 balandžio, 2024

Ukmergės rajono mero Dariaus Varno teigimu, savivaldybė labiausiai siekia investuoti į miesto infrastruktūros vystymą. Vis dėlto, pasak mero, daugiau nei […]

10 balandžio, 2024

Balandžio 9 dieną, Mažeikių muziejuje vyko ypatingas renginys. Čia, Mažeikių verslininkų asociacijos (MVA), Lietuvos pramonininkų konfederacijos (LPK), Europos skaitmeninių inovacijų […]

10 balandžio, 2024

Lietuvos Respublikos Prezidentas Gitanas Nausėda trečiadienį Trakuose pasveikino Tarptautinio transporto forumo (ITF), kuriam šiuo metu pirmininkauja Lietuva, aukšto lygio susitikimo […]

10 balandžio, 2024

Trečiadienį aštuonių aplink Baltijos jūrą esančių šalių ir Belgijos ministrai, atsakingi už energetiką, Vilniuje aptars jūrinio vėjo vystymo perspektyvas bei […]

10 balandžio, 2024

Įvairios apklausos bei tyrimai rodo, jog darbuotojai dažniau nei bet kada anksčiau svarsto pakeisti darbą. Per artimiausius kelerius metus tai […]

10 balandžio, 2024

Socialinės apsaugos ir darbo viceministro Martyno Šiurkaus teigimu, Vyriausybė siūlo griežčiau vertinti skiriamą paramą už pirmąjį būstą žiedinėse savivaldybėse. Pasak […]

Elena Leontjeva
10 balandžio, 2024

4 dienų darbo savaitės idėja toliau užkariauja širdis ir protus, nepaisant – mažėjančio Lietuvos ekonomikos konkurencingumo ir nerimą keliančios geopolitinės […]

9 balandžio, 2024

Vilniaus miesto inovacijų pramonės parke (VCIIP) prasidėjo Technologijų vystymo centro statybos, balandžio 9 dieną statybvietėje įkasta simbolinė laiko kapsulė. VCIIP […]