Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti

Reklama publikuota: 2021-03-12
Dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas.
svg svg
Dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas.

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar galimų jų pasekmių, ką puikiai demonstruoja ir pastarojo laikotarpio įvykiai Lietuvoje. Todėl kibernetinio atsparumo ugdymas tampa vis labiau neatskiriama verslo dalimi.

Siekdama savo pagrindinio politikos tikslo – Europos Sąjungos valstybių narių tinkamo pasiruošimo vis besiplečiančiam skaitmenizavimui, ir atsižvelgdama į nuolat besikeičiančią technologinę aplinką bei kibernetinių grėsmių spektrą, Europos Komisija savo 2020 m. programoje paskelbė, kad iki metų pabaigos peržiūrės Europos kibernetinio saugumo strategiją ir teisinę bazę.  

2020 m. gruodžio 16 d. EK pristatė naują ES kibernetinio saugumo strategiją, į kurią buvo įtraukti pagrindinio kibernetinio saugumo teisės akto atnaujinimai, taip pat ir direktyvos dėl „aukšto bendro kibernetinio saugumo lygio visoje ES priemonių“ pasiūlymas – Tinklo ir informacinių sistemų saugumo (TIS) 2 direktyva, angliškai žinoma kaip NIS2.

TIS poveikio vertinimas

Kaip pažymi dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas, pirmoji TIS  direktyva prisidėjo prie rizikos valdymo kultūros plėtojimo įmonėse, nustatė už kibernetinį saugumą atsakingų institucijų atsakomybės ribas, įpareigojo valstybes identifikuoti kritinę informacinę infrastruktūrą bei sukurti kibernetinių incidentų valdymo tvarkas.  

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

„Pagrindiniai TIS taikymo subjektai – esmines paslaugas teikiančių? paslaugų operatoriai ir skaitmeniniu? paslaugu? tiekėjai. Vis dėlto, besikeičiantis kibernetinių grėsmių spektras bei tam tikri pirmosios TIS direktyvos taikymo ir įgyvendinimo trūkumai paskatino Komisiją atlikti išsamų TIS direktyvos poveikio vertinimą“, – paaiškina T. Jakštas.

2020 m. birželio 25 d. EK paskelbė bendrą TIS direktyvos pradinio poveikio vertinimą. Pagrindinėse išvadose skelbiama, jog TIS direktyvos taikymo sritis yra pernelyg ribota sektorių atžvilgiu, o tam didžiausią įtaką turi pastaraisiais metais suintensyvėjusi skaitmenizacija ir išaugę tarpusavio ryšiai tarp skirtingų sektorių; taip pat – TIS direktyvos taikymo sritis nebeatspindi ES skaitmeninės ekonominės plėtros aktualumo.

„Be to, vertinime padaryta išvada, kad direktyvoje nėra pakankamai aiškumo dėl ypatingos svarbos informacinės infrastruktūros taikymo srities kriterijų ar nacionalinės kompetencijos skaitmeninių paslaugų teikėjų atžvilgiu. Susidarė situacija, kad kai kuriuose valstybėse nebuvo nustatyti tam tikri ypatingos svarbos subjektai, kuriems turėtų būti taikomi TIS direktyvos reglamentai. Pavyzdžiui, kai kuriose valstybėse TIS direktyva nėra taikoma net didžiosioms ligoninėms, kai tuo tarpu kitose valstybėse narėse beveik kiekvienam sveikatos priežiūros paslaugų teikėjui galioja TIS reikalavimai“, – pavyzdį pateikia ekspertas.

TIS direktyva valstybėms narėms suteikė plačią veiksmų laisvę nustatant ypatingos svarbos sektorių saugumo reikalavimus ir pranešimų apie incidentus tvarkas. Komisijos atliktas poveikio vertinimas parodė, kad kai kuriais atvejais valstybės narės šiuos reikalavimus ir tvarkas įgyvendino labai skirtingai, sukurdamos papildomą naštą įmonėms, veikiančioms daugiau nei vienoje valstybėje narėje.

EK vertinimas taip pat parodė, kad TIS direktyvos priežiūros ir vykdymo tvarka yra neveiksminga. Labai skiriasi valstybių turimi finansiniai ir žmogiškieji ištekliai, kuriuos jos skiria savo įsipareigojimams (pavyzdžiui, ypatingos informacinės infrastruktūros nustatymui ar priežiūrai) įgyvendinti.

TIS 2 direktyvos naujovės

Pernai gruodį EK paskelbtas TIS direktyvos atnaujinimo pasiūlymas panaikina 2016 m. liepos 6 d. priimtą direktyvą (ES) 2016/1148 dėl tinklu? ir informaciniu? sistemų? saugumo visoje ES (TIS direktyvą), kuri buvo pirmasis visoje Bendrijoje galiojantis kibernetinio saugumo teisės aktas.

Naujuoju EK pasiūlymu siekiama pašalinti ankstesnės TIS direktyvos trūkumus, atsižvelgiant į pastaraisiais metais padidėjusį vidaus rinkos skaitmenizavimą ir besikeičiančią kibernetinio saugumo grėsmių aplinką.

Kaip teigia T. Jakštas, pirmiausia buvo išplėsta direktyvos taikymo sritis: ji taikoma didesniam skaičiui ypatingos svarbos sektorių.

„Nauji sektoriai įtraukiami, atsižvelgiant į jų svarbą ekonomikai ir visuomenei. Be to, EK pasiūlyme nebėra išskiriami esmines paslaugas teikiantys operatoriai (angl. Operators of Essential Services) ir skaitmeninių paslaugų teikėjai (angl. Digital Service Providers). Komisijos pateiktame pasiūlyme subjektai yra klasifikuojami pagal jų svarbą ir skirstomi į ypatingas arba svarbias kategorijas,“ – dėsto ekspertas.

Naujosios direktyvos taikymo sritis apima tokius naujus sektorius kaip viešasis administravimas, kosmosas, skaitmeninė infrastruktūra ir kt.  

nuotrauka::1 nocrop

Griežtesni reikalavimai

EK pasiūlyme nustatytos griežtesnės priežiūros priemonės nacionalinėms valdžios institucijoms ir griežtesni vykdymo reikalavimai.

Pasiūlymu taip pat siekiama suderinti sankcijų režimus visose valstybėse narėse, todėl yra numatoma sudaryti administracinių sankcijų sąrašą, įskaitant baudas už kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo įsipareigojimų pažeidimą.

Trečiasis svarbus pakeitimas – siūloma taikyti griežtesnius saugumo reikalavimus įmonėms, nurodant tikslinių priemonių sąrašą, įskaitant reagavimą į įvykius ir krizių valdymą, pažeidžiamumų valdymą ir atskleidimą, pažeidžiamumų testavimą ir efektyvų šifravimo naudojimą.

Pasiūlyme taip pat kalbama apie pagrindinių informacinių ir ryšių technologijų tiekimo grandinių kibernetinio saugumo stiprinimą, nurodant, kad turėtų būti įvertinta ir atsižvelgta į bendrą tiekėjų ir paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant saugias produktų ir paslaugų kūrimo procedūras.

Be to, EK pasiūlymu siekiama nustatyti tiesioginę atsakomybę įmonės vadovybei už siūlomų rizikos valdymo priemonių nesilaikymą.

Dar vienas svarbus aspektas, kurį išskiria „NRD Cyber Security“ ekspertai – tai,  kad numatyta supaprastinta pranešimų apie incidentus tvarka, išskiriant tikslesnes nuostatas dėl pranešimo proceso, turinio ir laiko.

Glaudesnis vidaus bendradarbiavimas

Siekiant sustiprinti koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą ES lygiu, EK savo pasiūlyme akcentuoja Europos kibernetinių krizių ryšių palaikymo organizacijų tinklo (EU-CyCLONe) sukūrimą. Prie pagrindinių šio tinklo veikimo tikslų priskiriama efektyvesnis dalijimasis informacija ir glaudesnis valstybių narių valdžios institucijų bendradarbiavimas.

Dar viena svarbi naujovė – Komisijos pasiūlyme numatytas suderintas pažeidžiamumų (angl. responsible disclosure) atskleidimas ES lygiu ir Europos pažeidžiamumo registro sukūrimas.

nuotrauka::2 right

Tarpusavyje susiję reglamentai

Naujoji politika privalės būti derinama su kitais teisiniais reglamentais finansų ir kitose srityse, pabrėžia Modestas Sadauskas, „NRD Cyber Security“ informacijos ir kibernetinio saugumo ekspertas.

„Peržiūrint TIS direktyvą, pirmiausia bus atsižvelgiama į tris EK iniciatyvas. Pirmoji – ypatingos svarbos subjektų atsparumo direktyvos peržiūra. Ji susijusi su energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos, skaitmeninės infrastruktūros ir kitais sektoriais. Taip pat dėmesys atkreipiamas į ES reglamentą dėl skaitmeninės veiklos atsparumo finansų sektoriuje (DORA) ir į ES elektros tinklo kodekso iniciatyvą dėl kibernetinio saugumo reikalavimų“, – vardija M. Sadauskas.

DORA reglamentas, kuris tebėra derinamas, finansų sektoriui suteiktų teisinį aiškumą dėl kibernetinio saugumo nuostatų taikymo tarpvalstybiniams finansiniams subjektams ir panaikintų valstybių narių poreikį individualiai tobulinti veiklos atsparumo taisykles bei standartus.

Tikėtini rezultatai ir tolimesni žingsniai

Visi minimi atnaujinimai  prisideda prie reikšmingo Europos kibernetinio saugumo sistemos stiprinimo, teigia T. Jakštas.

Jo teigimu, numatomi teisiniai pokyčiai turėtų sustiprinti pasitikėjimą skaitmenine ekonomika.

Be to, aukštesnis suderinimo lygis gali sumažinti reguliavimo išlaidas toms įmonėms, kurios dirba skirtingose teisinėse jurisdikcijose.

Dar vienas svarbus aspektas yra tas, kad EK pasiūlymas galimai pareikalaus dar didesnių investicijų į personalą ir išteklius (ypač tų įmonių, kurios laikomos esminiais ir svarbiais subjektais).

„Tikėtina, kad nauji saugumo reglamentai atskiruose sektoriuose, pavyzdžiui, finansų ar energetikos, padės susisteminti ir komunikuoti sektoriaus specifines kibernetinio saugumo žinias, informacijos sklaidą, pritaikyti konkrečiam sektoriui skirtus incidentų reagavimo procesus ir technologijas, atsižvelgiant į sektorinių grėsmių spektro vystymąsi“, – prognozuoja „NRD Cyber Security“ ekspertas.

Komisijos pasiūlymai dėl TIS atnaujinimo bus perduoti Europos Sąjungos Tarybai ir Europos Parlamentui tolesnėms diskusijoms. Susitarus dėl TIS atnaujinimo, valstybės narės turės 18 mėnesių perkelti TIS  direktyvą į savo nacionalinę teisę.

Daugiau apie nacionalinės kibernetinio saugumo strategijos kūrimą ir teisinės bazės analizę bei ir vystymą.

Daugiau apie ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti? Verslo tribūna

Siekiant efektyviausiai užtikrinti organizacijos kibernetinį saugumą, vien technologijos nėra visagalės –...

2022.06.08
Šiaulių banko eksperimentas – kada dirbti iš namų darbuotojai sprendžia patys Verslo tribūna 3

Pandemija parodė, kad dirbti iš namų įmanoma, o daliai darbuotojų tai yra net labiau priimtina. Kita vertus,...

2022.06.02
Abipusės naudos beieškant – ar įmanoma valstybės investicijų ir privačių finansuotojų sinergija? Verslo tribūna

Per 20 metų vien UAB „Investicijų ir verslo garantijos“ (INVEGA) į Lietuvos verslą įlieti daugiau nei 2 mlrd.

2022.05.31
Vilniaus kolegija parduoda sostinės centre esantį pastatą Verslo tribūna

Vilniaus kolegija (VIKO) parduoda nuosavybės teise valdomą pastatą, įsikūrusį Vilniuje Naugarduko gatvėje 5.

Statyba ir NT
2022.05.27
„NRD Cyber Security“ kviečia į kasmetinę „CyberSOC“ virtualią konferenciją Verslo tribūna

Gegužės 25 d. vyks jau ketvirtoji metinė konferencija, joje bus kalbama apie saugumo operacijų centrus (SOC),...

2022.05.18
Skaitmeninė revoliucija apskaitos darbų valdyme Verslo tribūna

Iš pirmo žvilgsnio gali atrodyti, kad apskaitoje daug vietos inovacijoms nėra, nes visi darbai persikėlė į...

2022.05.06
Patiriantiems finansinius sunkumus: namų darbai, kurie pravers kalbant su kreditoriais Verslo tribūna

Finansiniai sunkumai – nepriklausomai nuo to, ar jie sukelti vidinių, ar išorės veiksnių – neišvengiama...

2022.05.05
Kibernetinio saugumo specialistams IT žinios – privalumas, bet ne būtinybė Verslo tribūna

Kibernetinio saugumo specialistų poreikis auga ne tik Lietuvoje, bet ir visame skaitmenizacijos keliu...

2022.04.28
INVEGA: verslas turi būti finansuojamas atsakingai Verslo tribūna

Verslai skundžiasi, jog sulaukti finansavimo iš INVEGOS labai sudėtinga, esą keliami griežti reikalavimai,...

2022.04.26
Šiaulių banko patirtis: kodėl pardavimai ir rinkodara turi dirbti išvien Verslo tribūna

Sklandus skirtingų sričių kolegų darbas yra viena iš būtinų sąlygų verslo augimui. Bet realybėje skirtingi...

2022.04.07
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
INVEGA primena, kokiomis finansavimo priemonėmis verslas gali pasinaudoti krizių kontekste Verslo tribūna

Rusijai įsiveržus į Ukrainą verslai susiduria su naujais iššūkiais. INVEGA savo ruožtu keičia kai kurias jau...

2022.03.23
INVEGOS veikla prisideda prie kasmetinio beveik 2% šalies BVP sukūrimo Verslo tribūna

INVEGA ateina ten, kur numato valstybės strateginiai tikslai ir ten, kur verslui trūksta finansavimo, nes...

2022.02.17
Pandemijos įtaka verslui: santykis su darbuotojais keičiasi negrįžtamai Verslo tribūna

Besibaigiant antriems pandemijos metams, vis dar sunku tiksliai įvardyti, kiek neigiamos ir kiek teigiamos...

2022.01.19
Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas? Verslo tribūna 2

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš...

2021.12.22
Tyrimas: dovanas iš smulkiųjų vietos gamintojų perka kas penktas lietuvis Verslo tribūna

Perkant dovanas iš vietinių gamintojų, galima įsigyti išskirtinį daiktą ar paslaugą, o kartu ir paremti...

2021.12.21
Kalėdinės įmonių dovanos – kodėl ne lietuviškos? Verslo tribūna

Dalis smulkiųjų lietuviškų įmonių per šventinį laikotarpį pasiekia nuo 20% iki 50% visų metų apyvartos. Prie...

2021.12.08
Kibernetinį saugumą užtikrina ir technologijos, ir žmonės: ko svarbu nepraleisti pro akis Verslo tribūna

Jau pusantrų metų siaučianti pandemija paveikė ir kibernetinį saugumą – visame pasaulyje ženkliai padaugėjo...

2021.11.19
„Grinda“: prieš naują transformacijos etapą – įvertinti, kas padaryta Verslo tribūna 1

„Kas veža, tam krauna“. Nors Vilniaus „Grinda“ tarp Lietuvos savivaldybių valdomų įmonių neabejotinai...

2021.11.18
Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui Verslo tribūna

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti...

2021.11.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku