Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti

Reklama publikuota: 2021-03-12
Dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas.
svg svg
Dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas.

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar galimų jų pasekmių, ką puikiai demonstruoja ir pastarojo laikotarpio įvykiai Lietuvoje. Todėl kibernetinio atsparumo ugdymas tampa vis labiau neatskiriama verslo dalimi.

Siekdama savo pagrindinio politikos tikslo – Europos Sąjungos valstybių narių tinkamo pasiruošimo vis besiplečiančiam skaitmenizavimui, ir atsižvelgdama į nuolat besikeičiančią technologinę aplinką bei kibernetinių grėsmių spektrą, Europos Komisija savo 2020 m. programoje paskelbė, kad iki metų pabaigos peržiūrės Europos kibernetinio saugumo strategiją ir teisinę bazę.  

2020 m. gruodžio 16 d. EK pristatė naują ES kibernetinio saugumo strategiją, į kurią buvo įtraukti pagrindinio kibernetinio saugumo teisės akto atnaujinimai, taip pat ir direktyvos dėl „aukšto bendro kibernetinio saugumo lygio visoje ES priemonių“ pasiūlymas – Tinklo ir informacinių sistemų saugumo (TIS) 2 direktyva, angliškai žinoma kaip NIS2.

TIS poveikio vertinimas

Kaip pažymi dr. Tadas Jakštas, „NRD Cyber Security“ kibernetinio saugumo pajėgumų vystymo ekspertas, pirmoji TIS  direktyva prisidėjo prie rizikos valdymo kultūros plėtojimo įmonėse, nustatė už kibernetinį saugumą atsakingų institucijų atsakomybės ribas, įpareigojo valstybes identifikuoti kritinę informacinę infrastruktūrą bei sukurti kibernetinių incidentų valdymo tvarkas.  

„Pagrindiniai TIS taikymo subjektai – esmines paslaugas teikiančių? paslaugų operatoriai ir skaitmeniniu? paslaugu? tiekėjai. Vis dėlto, besikeičiantis kibernetinių grėsmių spektras bei tam tikri pirmosios TIS direktyvos taikymo ir įgyvendinimo trūkumai paskatino Komisiją atlikti išsamų TIS direktyvos poveikio vertinimą“, – paaiškina T. Jakštas.

2020 m. birželio 25 d. EK paskelbė bendrą TIS direktyvos pradinio poveikio vertinimą. Pagrindinėse išvadose skelbiama, jog TIS direktyvos taikymo sritis yra pernelyg ribota sektorių atžvilgiu, o tam didžiausią įtaką turi pastaraisiais metais suintensyvėjusi skaitmenizacija ir išaugę tarpusavio ryšiai tarp skirtingų sektorių; taip pat – TIS direktyvos taikymo sritis nebeatspindi ES skaitmeninės ekonominės plėtros aktualumo.

„Be to, vertinime padaryta išvada, kad direktyvoje nėra pakankamai aiškumo dėl ypatingos svarbos informacinės infrastruktūros taikymo srities kriterijų ar nacionalinės kompetencijos skaitmeninių paslaugų teikėjų atžvilgiu. Susidarė situacija, kad kai kuriuose valstybėse nebuvo nustatyti tam tikri ypatingos svarbos subjektai, kuriems turėtų būti taikomi TIS direktyvos reglamentai. Pavyzdžiui, kai kuriose valstybėse TIS direktyva nėra taikoma net didžiosioms ligoninėms, kai tuo tarpu kitose valstybėse narėse beveik kiekvienam sveikatos priežiūros paslaugų teikėjui galioja TIS reikalavimai“, – pavyzdį pateikia ekspertas.

TIS direktyva valstybėms narėms suteikė plačią veiksmų laisvę nustatant ypatingos svarbos sektorių saugumo reikalavimus ir pranešimų apie incidentus tvarkas. Komisijos atliktas poveikio vertinimas parodė, kad kai kuriais atvejais valstybės narės šiuos reikalavimus ir tvarkas įgyvendino labai skirtingai, sukurdamos papildomą naštą įmonėms, veikiančioms daugiau nei vienoje valstybėje narėje.

EK vertinimas taip pat parodė, kad TIS direktyvos priežiūros ir vykdymo tvarka yra neveiksminga. Labai skiriasi valstybių turimi finansiniai ir žmogiškieji ištekliai, kuriuos jos skiria savo įsipareigojimams (pavyzdžiui, ypatingos informacinės infrastruktūros nustatymui ar priežiūrai) įgyvendinti.

TIS 2 direktyvos naujovės

Pernai gruodį EK paskelbtas TIS direktyvos atnaujinimo pasiūlymas panaikina 2016 m. liepos 6 d. priimtą direktyvą (ES) 2016/1148 dėl tinklu? ir informaciniu? sistemų? saugumo visoje ES (TIS direktyvą), kuri buvo pirmasis visoje Bendrijoje galiojantis kibernetinio saugumo teisės aktas.

Naujuoju EK pasiūlymu siekiama pašalinti ankstesnės TIS direktyvos trūkumus, atsižvelgiant į pastaraisiais metais padidėjusį vidaus rinkos skaitmenizavimą ir besikeičiančią kibernetinio saugumo grėsmių aplinką.

Kaip teigia T. Jakštas, pirmiausia buvo išplėsta direktyvos taikymo sritis: ji taikoma didesniam skaičiui ypatingos svarbos sektorių.

„Nauji sektoriai įtraukiami, atsižvelgiant į jų svarbą ekonomikai ir visuomenei. Be to, EK pasiūlyme nebėra išskiriami esmines paslaugas teikiantys operatoriai (angl. Operators of Essential Services) ir skaitmeninių paslaugų teikėjai (angl. Digital Service Providers). Komisijos pateiktame pasiūlyme subjektai yra klasifikuojami pagal jų svarbą ir skirstomi į ypatingas arba svarbias kategorijas,“ – dėsto ekspertas.

Naujosios direktyvos taikymo sritis apima tokius naujus sektorius kaip viešasis administravimas, kosmosas, skaitmeninė infrastruktūra ir kt.  

nuotrauka::1 nocrop

Griežtesni reikalavimai

EK pasiūlyme nustatytos griežtesnės priežiūros priemonės nacionalinėms valdžios institucijoms ir griežtesni vykdymo reikalavimai.

Pasiūlymu taip pat siekiama suderinti sankcijų režimus visose valstybėse narėse, todėl yra numatoma sudaryti administracinių sankcijų sąrašą, įskaitant baudas už kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo įsipareigojimų pažeidimą.

Trečiasis svarbus pakeitimas – siūloma taikyti griežtesnius saugumo reikalavimus įmonėms, nurodant tikslinių priemonių sąrašą, įskaitant reagavimą į įvykius ir krizių valdymą, pažeidžiamumų valdymą ir atskleidimą, pažeidžiamumų testavimą ir efektyvų šifravimo naudojimą.

Pasiūlyme taip pat kalbama apie pagrindinių informacinių ir ryšių technologijų tiekimo grandinių kibernetinio saugumo stiprinimą, nurodant, kad turėtų būti įvertinta ir atsižvelgta į bendrą tiekėjų ir paslaugų teikėjų produktų kokybę ir kibernetinio saugumo praktiką, įskaitant saugias produktų ir paslaugų kūrimo procedūras.

Be to, EK pasiūlymu siekiama nustatyti tiesioginę atsakomybę įmonės vadovybei už siūlomų rizikos valdymo priemonių nesilaikymą.

Dar vienas svarbus aspektas, kurį išskiria „NRD Cyber Security“ ekspertai – tai,  kad numatyta supaprastinta pranešimų apie incidentus tvarka, išskiriant tikslesnes nuostatas dėl pranešimo proceso, turinio ir laiko.

Glaudesnis vidaus bendradarbiavimas

Siekiant sustiprinti koordinuotą didelio masto kibernetinio saugumo incidentų ir krizių valdymą ES lygiu, EK savo pasiūlyme akcentuoja Europos kibernetinių krizių ryšių palaikymo organizacijų tinklo (EU-CyCLONe) sukūrimą. Prie pagrindinių šio tinklo veikimo tikslų priskiriama efektyvesnis dalijimasis informacija ir glaudesnis valstybių narių valdžios institucijų bendradarbiavimas.

Dar viena svarbi naujovė – Komisijos pasiūlyme numatytas suderintas pažeidžiamumų (angl. responsible disclosure) atskleidimas ES lygiu ir Europos pažeidžiamumo registro sukūrimas.

nuotrauka::2 right

Tarpusavyje susiję reglamentai

Naujoji politika privalės būti derinama su kitais teisiniais reglamentais finansų ir kitose srityse, pabrėžia Modestas Sadauskas, „NRD Cyber Security“ informacijos ir kibernetinio saugumo ekspertas.

„Peržiūrint TIS direktyvą, pirmiausia bus atsižvelgiama į tris EK iniciatyvas. Pirmoji – ypatingos svarbos subjektų atsparumo direktyvos peržiūra. Ji susijusi su energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos, skaitmeninės infrastruktūros ir kitais sektoriais. Taip pat dėmesys atkreipiamas į ES reglamentą dėl skaitmeninės veiklos atsparumo finansų sektoriuje (DORA) ir į ES elektros tinklo kodekso iniciatyvą dėl kibernetinio saugumo reikalavimų“, – vardija M. Sadauskas.

DORA reglamentas, kuris tebėra derinamas, finansų sektoriui suteiktų teisinį aiškumą dėl kibernetinio saugumo nuostatų taikymo tarpvalstybiniams finansiniams subjektams ir panaikintų valstybių narių poreikį individualiai tobulinti veiklos atsparumo taisykles bei standartus.

Tikėtini rezultatai ir tolimesni žingsniai

Visi minimi atnaujinimai  prisideda prie reikšmingo Europos kibernetinio saugumo sistemos stiprinimo, teigia T. Jakštas.

Jo teigimu, numatomi teisiniai pokyčiai turėtų sustiprinti pasitikėjimą skaitmenine ekonomika.

Be to, aukštesnis suderinimo lygis gali sumažinti reguliavimo išlaidas toms įmonėms, kurios dirba skirtingose teisinėse jurisdikcijose.

Dar vienas svarbus aspektas yra tas, kad EK pasiūlymas galimai pareikalaus dar didesnių investicijų į personalą ir išteklius (ypač tų įmonių, kurios laikomos esminiais ir svarbiais subjektais).

„Tikėtina, kad nauji saugumo reglamentai atskiruose sektoriuose, pavyzdžiui, finansų ar energetikos, padės susisteminti ir komunikuoti sektoriaus specifines kibernetinio saugumo žinias, informacijos sklaidą, pritaikyti konkrečiam sektoriui skirtus incidentų reagavimo procesus ir technologijas, atsižvelgiant į sektorinių grėsmių spektro vystymąsi“, – prognozuoja „NRD Cyber Security“ ekspertas.

Komisijos pasiūlymai dėl TIS atnaujinimo bus perduoti Europos Sąjungos Tarybai ir Europos Parlamentui tolesnėms diskusijoms. Susitarus dėl TIS atnaujinimo, valstybės narės turės 18 mėnesių perkelti TIS  direktyvą į savo nacionalinę teisę.

Daugiau apie nacionalinės kibernetinio saugumo strategijos kūrimą ir teisinės bazės analizę bei ir vystymą.

Daugiau apie ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Karantino gelbėjimo planas darbuotojams: edukacija apie savijautą ir pozityvios patirtys Verslo tribūna 1

Pasirūpinti savo darbuotojų psichologine sveikata – viena iš itin išryškėjusių darbdavių užduočių per...

2021.03.31
Naujoje realybėje „Dezifog“ tapo būtinybe Verslo tribūna 1

Praėjusiais metais užklupusi pandemija įmonių organizacijos kultūrą papildė dar viena dedamąja: darbuotojų ir...

2021.03.24
Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti Verslo tribūna

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar...

2021.03.12
Neišnaudoto e-komercijos veiklos efektyvumo potencialo – apstu Verslo tribūna 2

Pandemija ir pirmasis karantinas pralaužė ledus įstrigusioje internetinėje prekyboje maisto produktais.

2021.03.09
„Dezifog“– naujas standartas Verslo tribūna

Kauno bendrovė „Efektyvūs saugos sprendimai“ kovoje su tebesitęsiančiu koronavirusu siūlo pasitelkti jų...

2021.02.25
Pakuočių atliekų tvarkymo viešieji konkursai savivaldybėse įsibėgėja Verslo tribūna

Kelerius metus trukusios Lietuvos gamintojų ir importuotojų organizacijų ir Vilniaus miesto savivaldybės...

2021.02.25
Nutikus nelaimei, verslui svarbiausia kuo greičiau grįžt į vėžes Verslo tribūna

Gaisras, dėl kurio visiškai sustojo įmonės veikla, o jai atnaujinti reikalingos elektros nėra ir greitu metu...

2021.02.22
Mokėjimų rinkos naujovės palengvins SVV dalią Verslo tribūna

Daugelį smulkiojo ir vidutinio verslo įmonių pandemija privertė spausti stabdį ar bent jau jungti neutralių...

2021.02.17
Koordinuodamos kibernetinių spragų atskleidimą įmonės mato naudą Verslo tribūna

Kibernetinio saugumo spragas norinčios pašalinti įmonės ir įstaigos vis dažniau naudojasi pagalba iš šalies –...

2021.02.01
Vilniaus „Grinda“ lietaus nuotekoms tvarkyti pasitelkė tvarios vandentvarkos principus Verslo tribūna

Baigusi judrios sostinės T. Narbuto gatvės lietaus nuotekų kolektoriaus rekonstrukciją, Vilniaus miesto...

2021.01.21
Inovatyvi paslaugų teikimo platforma sprendžia integralumo problemas ir leidžia įstaigoms savarankiškai teikti e. paslaugas Verslo tribūna

Įsismarkavusi pandemija privertė Lietuvą, kaip ir kitas pasaulio valstybes, atsisukti į skaitmeninius...

2020.12.03
Saugumo operacijų centrai – koncentruota gynyba prieš kibernetines atakas Verslo tribūna

Šiemet pandemija ne tik išmušė iš po kojų patikimas verslo strategijas, bet ir tapo padažnėjusių atakų...

2020.11.26
„Planas A“: kaip išlikti naujoje realybėje Verslo tribūna

Prie Šiaulių banko pagalbos projekto „Planas A“, kurio tikslas – sunkmečiu padėti smulkiajam verslui,...

2020.11.26
Tarp svarbiausių darbuotojų savybių – gebėjimas „kalbėti duomenimis“ Verslo tribūna

Nuolat augantis mus pasiekiančios informacijos srautas ir riboti laiko ištekliai daro įtaką kasdien priimamų...

2020.11.19
„Kelių priežiūra“: darbuotojų ugdymas augina konkurencingumą Verslo tribūna

AB „Kelių priežiūra“ įkurta 2017 m., sujungus 11 regioninių kelių priežiūros įmonių. Pora metų vėliau prie...

2020.11.16
Naujoji verslo realybė: kaip likti prie „Plano A“ Verslo tribūna

Šiaulių bankas iniciavo smulkiesiems verslams skirtą pagalbos projektą „Planas A“. Vienas iš jo tikslų –...

2020.11.04
Ypatingos svarbos infrastruktūros apsauga nuo kibernetinių grėsmių: ką turime žinoti Verslo tribūna 2

Ypatingos svarbos infrastruktūros teikiamų paslaugų, tokių kaip elektros energijos, vandens, transporto,...

2020.10.29
Skirtingi autentifikavimo būdai – kas laimėtų saugumo lenktynes? Verslo tribūna

Ilgą laiką buvęs mūsų atpažinimo karaliumi, slaptažodis sulaukia vis daugiau kritikos. Neretai slaptažodžiai...

2020.10.15
„Planas A“ – gelbėjimo ratas Lietuvos smulkiajam verslui Verslo tribūna 2

Smulkusis verslas dažnai vadinamas Europos stuburu, žemyno konkurenciniu pranašumu, šalies ekonomikos...

2020.09.24
Sėkmingos partnerystės formulė– bendradarbiavimas  Verslo tribūna

Viena pagrindinių verslo ar projektų sėkmės sudedamųjų dalių yra patikima partnerystė. Svarbu turėti puikią...

2020.08.13

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku