Confidential Kaip DORA ir TIS2 gali keisti verslo požiūrį į saugumą
Nors reikalavimai įsigaliojo neseniai, CGI jau daug metų padeda organizacijoms visame pasaulyje prisitaikyti prie naujų technologinių ir reguliacinių iššūkių. Apie tai, kodėl DORA ir TIS2 svarbūs ne tik atitikčiai, bet ir ilgalaikiam verslo augimui, kalbamės su CGI Lithuania ekspertais – kibernetinio saugumo konsultantu Michaelu von Glasow ir įmonės viceprezidentu bei verslo ir IT paslaugų vadovu Mindaugu Mockumi.
Nuo formalumo prie tikrojo atsparumo
Pasak Michaelo von Glasow, DORA ir TIS2 paskatino įmones iš naujo įvertinti požiūrį į saugumą. „Ilgą laiką įmonės į saugumo reikalavimus žvelgė kaip į formalumą – rengti dokumentus, ataskaitas, atlikti auditą. Dabar situacija pasikeitė: šie reikalavimai verčia įmones galvoti, kaip iš tikrųjų užtikrinti veiklos tęstinumą ir duomenų patikimumą net krizės metu“, – sako ekspertas.
DORA reglamentas taikomas finansų sektoriaus įmonėms: bankams, draudimo bendrovėms, investicijų valdymo įstaigoms bei jų IT paslaugų teikėjams. Reglamento tikslas – užtikrinti, kad finansinės paslaugos išliktų prieinamos net ekstremaliose situacijose.
Tuo tarpu TIS2 direktyva apima organizacijas, teikiančias svarbias ar esmines paslaugas, tokias kaip energetika, transportas, sveikatos priežiūra, tiekimo grandinės, skaitmeninė infrastruktūra ir kt. Direktyvos tikslas yra užtikrinti, kad kritinės paslaugos, nuo kurių priklauso visuomenės gerovė, išliktų saugios ir veiktų be sutrikimų.
Nors DORA labiau orientuota į finansinį sektorių, o TIS2 – į kritinę infrastruktūrą, abiejų esmė yra stiprinti organizacijų pasirengimą krizėms, o ne sukurti daugiau biurokratijos. „Tai ne „dar vienas reglamentas“, o visai naujas požiūris į saugumą, kaip į esminę verslo funkciją“, – pabrėžia M. von Glasow.
Kai saugumas tampa vadovų atsakomybe
Nors iki šiol kibernetinis saugumas dažnai buvo laikomas papildoma užduotimi IT skyriams ar išoriniams paslaugų teikėjams, naujieji reikalavimai keičia šį mąstymą. Tiek DORA, tiek TIS2 aiškiai apibrėžia atsakomybę: už saugumo priemonių įgyvendinimą atsako įmonės vadovybė.
„Tai reikšmingas pokytis. Vadovai dabar turi ne tik patvirtinti biudžetą, bet ir realiai suprasti galimas rizikas, planuoti veiksmus bei įtraukti saugumo klausimus į įmonės strategiją“, – sako Mindaugas Mockus.
Jis pripažįsta, kad procesas gali būti sudėtingesnis mažesnėms įmonėms: „Ne kiekviena turi savo saugumo padalinį ar pakankamai kompetencijų įvertinti, kur slypi didžiausios rizikos. Todėl svarbu pradėti nuo paprasto, bet būtino žingsnio – neatitikčių analizės. Ji padeda suprasti, ką jau yra įgyvendinusi įmonė ir kuriuos procesus dar reikia tobulinti.“
Pasak ekspertų, toks pasirengimas ilgainiui atsiperka – stipresnė saugumo kultūra mažina incidentų riziką, o kartu didina klientų ir partnerių pasitikėjimą.
DORA: nuo kibernetinio saugumo prie veiklos tęstinumo
DORA reglamentas išsiskiria tuo, kad atsižvelgia ne tik į apsaugą nuo atakų, bet ir į gebėjimą veikti po jų. Reglamento esmė – užtikrinti, kad įmonė sugebėtų tęsti veiklą net ir įvykus incidentui.
„DORA reikalauja, kad organizacijos reguliariai testuotų savo atsparumą – nuo techninių sprendimų iki verslo procesų. Tai reiškia, kad turi būti planai, kaip reaguoti į sutrikimus, kaip atkurti veiklą, kaip išlaikyti duomenų patikimumą,“ – aiškina M. von Glasow.
DORA reglamento principai – duomenų vientisumas, konfidencialumas, prieinamumas bei autentiškumas. Tai ne tik informacijos apsauga nuo praradimo ar nutekėjimo, bet ir garantija, kad duomenys išliks tikslūs ir patikimi.
DORA taip pat įpareigoja įmones valdyti trečiųjų šalių rizikas: peržiūrėti paslaugų teikėjų sutartis ir įtraukti atsakomybę už saugumą ir veiklos tęstinumą. „Finansinis sektorius (kaip ir dauguma kitų sektorių) priklausomas nuo išorinių IT paslaugų teikėjų, todėl šis reikalavimas užtikrina, kad atsakomybė nenutrūktų ties paslaugos riba,“ – pažymi kibernetinio saugumo ekspertas.
TIS2: kai tiekimo grandinės saugumas tampa konkurenciniu veiksniu
TIS2 direktyva ypač pabrėžia tiekimo grandinės saugumą: įmonės privalo užtikrinti ne tik savo, bet ir partnerių atsparumą. „Tiekimo grandinė yra sudėtingas tinklas, o silpniausia grandis dažnai lemia visos sistemos saugumą. Direktyva įpareigoja užtikrinti, kad tinkamų saugumo standartų laikytųsi ir partneriai,“ – sako M. Mockus.
Toks požiūris keičia ir rinkos taisykles. Savo saugumo brandą įrodyti galinčios įmonės tampa patikimesniais partneriais, o kai kuriais atvejais – vieninteliais partneriais, su kuriais apskritai leidžiama dirbti. „Saugumo brandumas tampa konkurenciniu pranašumu. TIS2 keičia tiekėjų atrankos kriterijus – saugumas jau vertinamas taip pat rimtai kaip kaina ar paslaugų kokybė,“ – teigia ekspertas.
Tokiu būdu TIS2 ne tik stiprina bendrą atsparumą, bet ir formuoja naują verslo kultūrą, kurioje saugumas tampa vienu pagrindinių pasitikėjimo veiksnių.
Lietuvos pozicija Europos kontekste
Nors DORA ir TIS2 reikalavimai taikomi visoje Europos Sąjungoje, įgyvendinimo tempai ES šalyse skiriasi. Lietuva čia išsiskiria kaip viena iš lyderių. „Turite vieną detaliausių reikalavimų sąrašų visoje ES, ir tai – privalumas. Aiškūs reikalavimai padeda įmonėms veikti tikslingai, o ne spėlioti, ko iš jų bus pareikalauta,“ – sako M. von Glasow.
Jo teigimu, toks požiūris kuria brandesnę rinką: organizacijos Lietuvoje turi aiškesnes gaires, kaip siekti atitikties ir kartu stiprinti veiklos tęstinumą. „Matome, kad įmonės Lietuvoje gana aktyviai ruošiasi, nors dar yra kur tobulėti mažesnių tiekėjų grandinėje,“ – priduria M. Mockus.
VERSLO TRIBŪNA
SAP debesijos sprendimai, padedantys automatizuoti procesus ir priimti duomenimis grįstus sprendimus, Lietuvos verslui – tikrai ne naujiena. Vis dėlto, lyginant su kitomis Europos šalimis, akivaizdu, kad mūsų tempas pereinant nuo lokalių (on-premise) prie debesijos sprendimų vis dar gerokai lėtesnis. Kodėl taip yra ir kokias galimybes atveria skaitmeninei verslo transformacijai skirtas SAP Cloud ERP? Įžvalgomis dalijasi kompleksines IT paslaugas ir modernius sprendimus valstybinėms bei privačioms įmonėms teikiančios UAB „InnoForce“ debesijos produktų vadovas Dovidas Nekrašas.
Lietuvos įmonės žengia į naują etapą – nuo šių metų pradžios joms tenka prisitaikyti prie dviejų Europos Sąjungos saugumo reikalavimų: DORA (skaitmeninės veiklos atsparumo reglamentas) ir TIS2 (tinklų ir informacinių sistemų direktyva). Iš pirmo žvilgsnio gali pasirodyti, kad tai tik dar viena biurokratinė prievolė, tačiau iš tiesų šie reikalavimai skatina į saugumą žvelgti plačiau – kaip į verslo tęstinumo ir pasitikėjimo pagrindą.
Direktyva išplečia reikalavimų taikymo sritį, didina į organizacijų ratą patenkančių subjektų skaičių ir numato griežtesnius kibernetinio saugumo reikalavimus. Baltijos šalių esminėms ir svarbioms įstaigoms (angl. entities) privaloma:
Klaipėdos Simono Dacho progimnazijoje pasirašytas pirmasis Lietuvoje mokyklų praktinio ekonominio, finansinio raštingumo, antreprenerystės ir karjeros ugdymo tinklo memorandumas, prie kurio prisijungė penkios šalies mokyklos. Iniciatyva kilo iš pačių mokyklų, o Lietuvos Junior Achievement (LJA) tampa strateginiu partneriu, padedančiu integruoti pasaulinius praktinio ugdymo standartus ir metodikas.
Kaip pasiruošti protingai
Tiek DORA, tiek TIS2 įpareigoja įmones turėti aiškias rizikų valdymo, incidentų pranešimo ir tęstinumo užtikrinimo procedūras. Pasak CGI Lithuania ekspertų, svarbiausia – sistemingumas ir nuoseklumas.
„Pirmiausia įmonė turėtų atlikti išsamią neatitikčių analizę, įvertinti esamą brandą, suplanuoti veiksmų planą ir tik tada imtis techninių priemonių. Dažna klaida – bandyti viską spręsti iškart. Tuo tarpu nuoseklus procesas leidžia išvengti perteklinių išlaidų ir geriau suvaldyti rizikas,“ – sako M. Mockus.
Abiejų reikalavimų principai glaudžiai susiję, todėl CGI Lithuania rekomenduoja juos vertinti kartu. Integruotas pasirengimas leidžia efektyviau naudoti resursus ir išlaikyti vieningą požiūrį į saugumą.
CGI Lithuania vaidmuo: nuo analizės iki įgyvendinimo
CGI Lithuania dirba su įvairaus dydžio organizacijomis, padėdama pereiti visą pasiruošimo kelią, nuo analizės iki praktinio įgyvendinimo. „Esame dirbę su įmonėmis, kurios norėjo ne tik atitikti reikalavimus, bet ir patobulinti savo procesus. Vieniems tai – veiklos tęstinumo planų kūrimas, kitiems – paslaugų teikėjų rizikos valdymo priemonių diegimas. Tokie projektai rodo, kad pasiruošimas atsiperka – ne tik mažinant rizikas, bet ir didinant pasitikėjimą rinkoje,“ – pasakoja M. Mockus.
Šios patirtys, pasak ekspertų, rodo bendrą tendenciją – saugumo brandą įmonės vis dažniau vertina kaip verslo vertę, o ne papildomą sąnaudą.
DORA ir TIS2 – brandesnio verslo ženklas
DORA ir TIS2 nėra tik teisiniai dokumentai. Jie žymi Europos pokytį, kai saugumas tampa verslo brandos, reputacijos ir partnerių pasitikėjimo matu. „Šiuos reglamentus galima vertinti dvejopai – kaip pareigą arba kaip galimybę. Tie, kurie pasirenka antrąjį kelią, įgyja pranašumą ir ramybę,“ – sako M. von Glasow.
Tiems, kurie dar tik pradeda, ekspertai primena: svarbiausia – ne laukti, o pradėti nuo įsivertinimo ir pirmųjų žingsnių. Saugumo reikalavimai šiandien reiškia daugiau nei atitiktį – tai patikimo, atsparaus ir brandžiai veikiančio verslo pagrindas.
