Įgyvendinti NIS2 direktyvos reikalavimai kurs saugesnę kibernetinę erdvę

Naujoji Europos Komisijos Tinklo ir informacinių sistemų saugumo (angl. Network and Information Systems, NIS2) direktyva sukėlė didelį organizacijų susidomėjimą ir paskatino jų atstovus rimčiau įvertinti nuolat kintančius kibernetinio saugumo iššūkius. Nors ši direktyva dar tik ruošiama integruoti į Lietuvos teisės aktus, jos poveikis ir svarba jau aiškūs. Todėl ir verslui, ir valstybinėms organizacijoms svarbu jau dabar imtis proaktyvių veiksmų ir pasiruošti artėjantiems pokyčiams.

Evaldas Valūnas, UAB „Atea“ kibernetinės saugos produktų ir paslaugų vadovas bei sertifikuotas kibernetinės saugos specialistas, primena, kad NIS2 ES įsigaliojo nuo š. m. sausio ir ji pakeis nuo 2018 m. galiojančią direktyvą NIS. Į Lietuvos teisės aktus NIS2 direktyvą numatyta perkelti iki 2024 m. spalio 17 d. ir ji nuo tų pačių metų spalio 18 d. jau bus taikoma Lietuvos organizacijoms.

Esminis NIS2 tikslas – padidinti ES veikiančių įmonių bendrą kibernetinio atsparumo lygį ir sumažinti atsparumo nenuoseklumą, skirtumus ES rinkoje, sektoriuose, kuriems jau taikoma direktyva.

NIS2 direktyva taikoma platesniam organizacijų ratui

„Vienas iš svarbiausių NIS2 direktyvos aspektų yra tas, kad kibernetinio saugumo reikalavimai bus taikomi daugiau sektorių ir apims žymiai daugiau organizacijų nei ankstesnėje NIS direktyvoje. NIS2 direktyva turės reikšmingą poveikį įvairioms sritims. Į jos taikymo sritį patenka energijos, transporto, bankininkystės ir finansų, sveikatos, vandens tiekimo, skaitmeninės infrastruktūros ir IT paslaugų, viešojo administravimo ir kitos veiklos. Toks taikymo srities išplėtimas pabrėžia būtinybę platesniam organizacijų ratui turėti išsamų ir nuoseklų požiūrį į kibernetinį saugumą ir akcentuoja proaktyvų rizikos valdymą“, – pažymi E. Valūnas.

Energetika, transportas, bankininkystė ir finansai yra esminės visuomenės ir ekonomikos veikimo sferos, todėl jos yra ypač patrauklūs kibernetinių atakų taikiniai. Sveikatos organizacijos tvarko jautrią pacientų informaciją, o skaitmeninės infrastruktūros ir IT paslaugų tiekėjai yra tiesiogiai atsakingi už kritinių sistemų ir paslaugų saugumą. Į NIS2 įtraukti viešojo administravimo, vandens tiekimo, kosmoso, atliekų tvarkymo, chemijos produktų, maisto gaminimo, skaitmeninio tiekimo ir tyrimų sektoriai taip pat susiduria su kibernetinio saugumo iššūkiais. Direktyva siekiama spręsti šiuos iššūkius ir skatinti aukštą kibernetinio saugumo lygį visose pramonės šakose. Svarbu paminėti, kad kai kurioms sritims direktyva bus taikoma ir priklausomai nuo subjekto dydžio: mažų ir labai mažų įmonių NIS2 direktyva gali ir neapimti, net jeigu jos pagal veiklą patenka į direktyvos taikymo sritį.

NIS2 direktyvoje numatytos ir griežtesnės priežiūros priemonės tam, kad reikalavimai būtų vykdomi. NIS2 numato, kad esminių paslaugų tiekėjams, pvz., energetikos, transporto, bankininkystės, už direktyvos pažeidimus taikomos 10 mln. Eur arba 2% nuo apyvartos (priklausomai, kuris dydis didesnis) baudos, o svarbių paslaugų, pvz., pašto ir kurjerių paslaugų, atliekų tvarkymo, maisto gamybos, – 7 mln. Eur arba 1,4% nuo apyvartos.

IBM sprendimai – direktyvos reikalavimams atitikti

„Nors direktyva Lietuvoje dar nėra įtraukta į teisės aktus, svarbu kuo anksčiau imtis veiksmų, siekiant pasiruošti artėjantiems pokyčiams. Pirmiausia įmonės turėtų atlikti išsamius kibernetinio saugumo rizikų vertinimus, nustatyti pažeidžiamumus ir įgyvendinti tvirtus incidentų reagavimo planus. Jeigu organizacijai trūksta savų specialistų, gali padėti išorinis partneris, IT paslaugų įmonė, turinti sertifikuotų ir patyrusių saugos specialistų komandą, pasiruošusią susidoroti su kibernetinės saugos iššūkiais. Tyrimai rodo, kad šiuo metu galiojančią NIS direktyvą savo jėgomis įsidiegė pusė įmonių, o kita pusė samdė trečiąsias šalis. Saugos paslaugų ir sprendimų partnerio ieškoti dabar yra pats metas, – teigia „Atea“ kibernetinės saugos produktų ir paslaugų vadovas. – Įvairius kibernetinio saugumo sprendimus jau siūlo ir gamintojai. Pavyzdžiui, IBM gali suteikti būtinus įrankius ir žinias, reikalingas siekiant išspręsti kintančius kibernetinius iššūkius ir atitikti NIS2 direktyvos reikalavimus.“

NIS2 direktyva numato sąrašą priemonių, kurias turi įgyvendinti organizacijos, siekdamos užtikrinti kibernetinį saugumą. Šios priemonės apima kibernetinės rizikos analizę ir patikimą valdymą, pažeidžiamumo testavimus, incidentų reagavimo planavimą ir išsamius incidentų tyrimus, žmogiškųjų išteklių saugumą, prieigos kontrolės politiką ir turto valdymą. Ir visas šias kibernetinio saugumo rizikos valdymo priemones įmanoma visiškai įgyvendinti su IBM siūlomais sprendimais.

NIS2 iššūkiai šiandien – saugesnis ir tvaresnis verslas rytoj

ES kibernetinio saugumo agentūros ENISA 2020 m. tyrimas rodo, kad, pvz., tarp didesnius saugumo incidentus išgyvenusių įmonių daugiau kaip 25% patyrė 250.000–500.000 Eur nuostolius, o beveik 13% – 500.000–750.000 Eur nuostolius. Priėmus naująją direktyvą ir įdiegus jos nuostatas, prognozuojama, kad incidentų sukeliami nuostoliai ES sumažės kelis kartus.

Pasak E. Valūno, šiandien didelė dalis organizacijų jau reaguoja į augančias kibernetinio saugumo grėsmes ir aktyviai ieško sprendimų. NIS2 direktyva skatina verslą prioretizuoti kibernetinio saugumo klausimą tam, kad būtų užtikrintas verslo tęstinumas bei apsisaugota nuo grėsmių ir praradimų.

„Taigi nors NIS2 įgyvendinimas kelia organizacijoms papildomų rūpesčių, tačiau šiandien priimti šios direktyvos iššūkiai ateityje atvers kelią saugesnei ir patvaresnei verslo aplinkai, kuri susiduria su kintančiomis kibernetinėmis grėsmėmis“, – konstatuoja „Atea“ kibernetinės saugos produktų ir paslaugų vadovas.