Ar esate pasiruošę atitikti TIS2 direktyvą: atsakymą pateikia naujas įrankis rinkoje

Miglė Petkevičienė, advokatų kontoros „Ellex Valiunas“ partnerė, detalizuoja, kad įmonėms ir organizacijoms įsigaliojusi TIS2 direktyva svarbi dėl kelių priežasčių: padidėja atsakomybė už kibernetinio saugumo incidentus, reikia vykdyti papildomus kibernetinio saugumo rizikos vertinimus ir apsaugos priemones, gresia didesnės baudos už neatitiktį, didėja reikalavimai pranešti apie kibernetinio saugumo incidentus.

Dr. Dovilė Kėrienė, IT sprendimų ir kibernetinių grėsmių prevencijos UAB „Santa Monica Networks“ Saugos operacijų centro vadovė, papildo, kad TIS2 direktyva siekiama kelių tikslų: ES mastu padidinti organizacijų, kurios įvairiuose sektoriuose atlieka itin svarbias funkcijas, kibernetinio atsparumo lygį, sumažinti kibernetinio atsparumo neatitikimus tarp sektorių ir sektoriuose, kuriems taikoma TIS2 direktyva, pagerinti informacijos mainus ir kolektyvinius gebėjimus pasirengti ir reaguoti į incidentus. Anot jos, įmonėms svarbūs pagrindiniai 4 dalykai: incidentų valdymas, rizikų valdymas, tiekimo grandinės valdymas, reikalavimai ataskaitoms (t. y. kaip įmonės privalės teikti informaciją apie incidentus Nacionaliniam kibernetiniam saugumo centrui).

Mažas, bet nori dirbti su svarbiomis įmonėmis, – atitik TIS2

TIS2 direktyva taikoma plačiam įmonių ir organizacijų spektrui, ypač toms, kurios vykdo kritiškai svarbias funkcijas. Ji išplečia subjektų ratą, palyginti su ankstesne TIS direktyva.

TIS2 taikoma kritinės infrastruktūros sektoriams, pvz., energetikos, transporto, bankininkystės, sveikatos priežiūros, vandens tiekimo ir nuotekų valymo, skaitmeninėms paslaugoms, pvz., debesų kompiuterijos, interneto prieglobos paslaugų tiekėjams ir skaitmeninėms rinkoms (platformoms), o taip pat kitų svarbių sektorių įmonės, kurios gali daryti didelę įtaką viešajam ir nacionaliniam saugumui, pvz., informacinių technologijų infrastruktūros tiekėjams. Atkreipiamas dėmesys, kad TIS2 direktyva įpareigoja ne tik dideles, bet ir vidutines įmones veikti pagal jos nuostatas ir, atitinkamai, kibernetinės saugos reikalavimus laikyti vienu iš esminių tinkamos organizacijos veiklos garantų.

„Kritinės infrastruktūros ir itin didelės svarbos įmonėms ši direktyva yra privaloma, o kitoms – rekomenduojama. Tačiau daug kitų įmonių, kurioms tiesiogiai ši direktyva nėra privaloma, vis tiek sieks atitikti jos reikalavimus dėl tiekimo grandinės saugumo užtikrinimo reikalavimo. Mat jei nesi labai svarbus, bet nori dirbti su svarbiomis įmonėmis, privalai būti atitinkamai kibernetiškai saugus“, – atkreipia dėmesį „Santa Monica Networks“ Saugos operacijų centro vadovė.

TIS2 reikšmė organizacijoms

M. Petkevičienė teigia, kad įgyvendinta TIS2 direktyva turi didelę reikšmę organizacijų atsparumui kibernetinėms rizikoms ir grėsmėms. Mat ją įgyvendinus, reikalaujant efektyvesnių valdymo ir apsaugos priemonių, skirtų tinklų ir informacinių sistemų apsaugai, padidėja organizacijų kibernetinio saugumo branda. Ji stiprina incidentų valdymą nustatant griežtesnes taisykles dėl pranešimų apie kibernetinius incidentus terminų ir jų turinio. Organizacijos privalo pranešti apie kibernetinius incidentus per 24 val. nuo jų aptikimo.

Pagal TIS2 būtina valdyti rizikas ir jas vertinti: reikalaujama, kad įmonės atliktų kibernetinio saugumo rizikos vertinimus ir įdiegtų rizikos mažinimo priemones. O skatindama keistis informacija apie kibernetines grėsmes ir incidentus tiek nacionaliniu, tiek ES lygmeniu, direktyva pagerina sektoriaus bendradarbiavimą. Taip siekiama sukurti vieningą kibernetinio saugumo standartą ES, kuris didintų atsparumą nuo įvairių kibernetinių atakų, įskaitant „ransomware“ (duomenų užrakinimo išpirkos reikalavimus) ir kitus pavojus.

„Ne tik technologijos darosi išmanesnės, kasmet tobulėja ir kibernetinės grėsmės, plečiasi jų tikslai, apimtys, priežastys, atsiranda naujų būdų pakenkti žmogui, įmonei, valstybei. To priežastis, be abejo, yra karai, pandemijos, finansinės krizės, – pasakoja D. Kėrienė. – Keičiasi ir grėsmių sukėlėjų tikslai: nuo finansinės naudos link ideologinių paskatų. Deja, dėka besivystančių technologijų plečiasi ir piktavalių galimybės. Tas pats dirbtinis intelektas gali ir tarnauti, ir kenkti. Tad galima sakyti, kad direktyva iš principo privers įmones susitvarkyti bent jau kibernetinės higienos reikalus ir taip prisidėti prie bendro mūsų šalies kibernetinio saugumo.“

Atsakomybė už direktyvos pažeidimus

TIS2 direktyva nustato griežtą atsakomybę organizacijoms ir jų vadovams. Organizacijos vadovybė yra įpareigota užtikrinti, kad būtų įdiegta tinkama kibernetinio saugumo sistema, ir turi imtis atsakomybės už neatitiktis. Baudos už TIS2 direktyvos nesilaikymą yra žymiai didesnės nei ankstesnėje TIS direktyvoje ir numatytos taikyti ne tik organizacijoms, bet ir konkrečiai jų vadovams.

„Vadovai privalo užtikrinti, kad būtų laikomasi kibernetinio saugumo valdymo reikalavimų, organizacijos privalo parengti ir vykdyti kibernetinio saugumo politiką bei procedūras, apie kibernetinio saugumo incidentus privaloma pranešti per nustatytą laiką“, – pagrindines atsakomybes vardina advokatų kontoros „Ellex Valiunas“ partnerė.

Ji atkreipia dėmesį, kokios baudos ir sankcijos gresia už TIS2 pažeidimus. Finansinės baudos gali siekti iki 10 mln. Eur arba 2% metinių bendrųjų pajamų (jeigu šis skaičius yra didesnis). Be baudų organizacijai gali būti skirta papildoma atsakomybė ir įsakymai sustiprinti kibernetinio saugumo priemones, pvz., veiklos sustabdymas, vadovų nušalinimas nuo pareigų ir draudimas eiti pareigas tam tikrą laiką, įpareigojimas imtis tam tikrų veiksmų ar pan. Kyla ir didžiulė reputacinė rizika.

„Dar pasitaiko įmonių, kurios mano, kad pigiau patirti kibernetinį incidentą, nei investuoti į apsisaugojimą nuo jo. Manau, baisiausios bus baudos vadovams, nes jie privalo patys žinoti, daryti ir atsakyti bei įmonės viduje skatinti ir palaikyti kibernetinio saugumo kultūrą“, – teigia D. Kėrienė.

Kiek mano įmonė atitinka TIS2 direktyvą?

„Santa Monica Networks“ Saugos operacijų centro vadovė teigia, kad daug įmonių teiraujasi, ką joms reikia daryti dėl TIS2 atitikimo, nežino, kurioje atitikties vietoje jos yra, ką privalo gerinti ir pan.

„Atsakymus į daugelį klausimų, kiek organizacijos atitinka TIS2 direktyvą ir ką pirmiausia reikia daryti siekiant ją įgyvendinti, galima rasti pasinaudojus „Ellex Valiunas“ ir „Santa Monica Networks“ specialistų bendromis jėgomis sukurtu įrankiu „Kas yra NIS2?“. Tai patogus elektroninis klausimynas, kuris gali padėti organizacijoms pačioms įsivertinti savo atitikties TIS2 direktyvai lygį bei didinti jų kibernetinio saugumo brandą“, – akcentuoja D. Kėrienė.

„Sukaupėme didelę patirtį padėdami įmonėms ruoštis reguliaciniams iššūkiams, pvz., Bendrajam duomenų apsaugos reglamentui ( BDAR), ir žinome, kiek daug galvos skausmo gali suteikti iš pažiūros paprastas pratimas – auditas, – pasakoja M. Petkevičienė. – Matę, kiek įmonėms kyla problemų susiinventorizuoti turimas sistemas, procesus ir išteklius, sukūrėme įrankį, kuris organizacijoms padeda susiprasti, ką jos turi iš to, ko reikalauja TIS2 direktyva, padeda atlikti pradinį įsivertinimą ir išsiaiškinti silpniausios vietos. Turėdamos šią informaciją įmonės gali nuspręsti, ar gebės susitvarkyti pačios, ar reikia kreiptis pagalbos į išorinius konsultantus ir specialistus.“

Įsivertinkite atitikties lygį ir raskite praktinius sprendimus

Anot M. Petkevičienės, kuriant įrankį „Kas yra NIS2?“ „Ellex Valiūnas“ ir „Santa Monica Networks“ bendradarbiavimą lėmė ilgamečiai bendri klientai, nes „žinome vieni kitų požiūrį į paslaugų kokybę ir prioritetą kliento poreikiams“.

„Ellex Valiunas“ yra pirmaujanti advokatų kontora Lietuvoje, esame sukaupę ilgametę patirtį įvairiose teisinėse srityse, o tarp plataus spektro paslaugų klientams siūlome ir aukščiausio lygio konsultacijas kibernetinio saugumo srityje, įskaitant ir pagalbą siekiant TIS2 atitikties, – teigia M. Petkevičienė. – „Santa Monica Networks“ yra rinkos lyderė, teikianti plataus spektro IT infrastruktūros ir tinklų sprendimų paslaugas. Bendradarbiaudami galime padėti įmonėms ne tik įsivertinti kibernetinio saugumo lygį, bet ir pasiūlyti praktinius sprendimus TIS2 atitikčiai. Ji reikalauja ne tik įsigilinti į teisės akto nuostatas, bet ir tinkamai užtikrinti reikalavimų laikymąsi praktikoje. Būtent todėl sutelkėme savo jėgas siekdami bendro tikslo – padėti įmonėms įsivertinti savo atitikties lygį, pastebėti spragas ir kuo greičiau rasti ne tik teorinius, bet ir praktinius sprendimus.“

Anot D. Kėrienės, šios užduoties negali atskirai padaryti nei vien teisininkai, nei vien IT specialistai. Direktyva siekia atitikimo tiek procedūriniame, tiek technologiniame lygmenyje. Ir abiejuose reikia gana gilaus išmanymo. Todėl „Ellex Valiunas“ ir „Santa Monica Networks“ bendradarbiavimas bei kompetencijos padeda sukurti kokybišką rezultatą.

Įrankis atsako: kiek pasirengę TIS2 atitikčiai, ką daryti

Įrankis „Kas yra NIS2?“ turi du pasirinkimus: Bazinį klausimyną (rekomenduojama pildyti vadovams bei CISO) ir Išplėstinį klausimyną (rekomenduojame pildyti kartu su IT ir kibernetinio saugumo specialistais). Abu klausimynai yra parengti vadovaujantis TIS2 nuostatomis, Lietuvos kibernetinio saugumo įstatymo bei Lietuvos Vyriausybės tvirtinamo rizikos valdymo priemonių sąrašo naujausiomis redakcijomis.

Bazinis klausimynas skirtas pradedančioms savo kibernetinės saugos kelionę įmonėms, kurios nori bendrai susiinventorizuoti kryptis, kuriomis reikia dirbti siekiant TIS2 reikalavimų laikymosi, pristatyti poreikius vadovybei ir pan. O Išplėstinis klausimynas yra kur kas detalesnis, išsamesnis ir detalių žinių reikalaujantis klausimų paketas, kuris įmonės specialistams suteiks informacijoms, ko trūksta, kad atitiktų TIS2 reikalavimams.

„Pagal pateiktus atsakymus įrankis „Kas yra NIS2?“ leidžia identifikuoti, kurie organizacijos procesai pasižymi didesne kibernetinio saugumo branda, o kuriuose procesuose atsparumą galima didinti. Kartu su procentiniais įverčiais pateikiamos ir pradinės rekomendacijos organizacinėms, techninėms bei kitoms priemonėms, kurios galėtų padidinti jūsų organizacijos atitiktį TIS2, – aiškina M. Petkevičienė. – Toliau įrankis padės susipažinti su detalesniais įverčiais ir pradinėmis rekomendacijomis atitikties užtikrinimui per visus išskirtus klausimyno pjūvius. O mūsų ekspertų komanda jums galės padėti visuose kibernetinės brandos augimo etapuose. Atlikę jūsų organizacijos auditą ar spręsdami jums individualius klausimus, pasiūlysime strateginius teisinius, organizacinius ir techninius sprendimus kibernetiniam atsparumui didinti. Kasdienis incidentų stebėjimas ir valdymas, pranešimas apie juos atsakingoms institucijoms, tiekėjų grandinės teisinis valdymas, techninės priemonės incidentų prevencijai ir kasdienė kibernetinio saugumo higiena – tai tik dalis klausimų, kuriuos galime padėti atsakyti ir kartu tapti jūsų strateginiais ilgalaikiais partneriais, padedančiais ne tik atitikti reguliavimo reikalavimus, bet ir kurti atsparias, ateities poreikius atitinkančias kibernetinio saugumo sistemas.“

D. Kėrienė kviečia pasinaudoti nemokamu įrankiu „Kas yra NIS2?“ir išsiaiškinti, kiek jūsų organizacija atitinka TIS2 reikalavimus. Įrankis taip pat nerenka pildančiojo asmens duomenų.

„Jei organizacijų atstovai atsakę į klausimus matys, kad mūsų kompetencijos būtų vertingos, jie gali kreiptis pagalbos“, – teigia „Santa Monica Networks“ Saugos operacijų centro vadovė.