NIS2 direktyva: laukti nereikia ruoštis – kur dėsime kablelį?
Naujoji Europos Komisijos Tinklo ir informacinių sistemų saugumo (angl. Network and Information Systems, NIS2) direktyva Lietuvoje įsigalios jau šių metų spalio 17 d. Joje apibrėžtus kibernetinio saugumo reikalavimus pirminiais duomenimis privalės taikyti apie 16 tūkstančių Lietuvos organizacijų – tiek iš viešojo, tiek iš privataus sektoriaus. Be to, reikalavimais turės vadovautis ir šių organizacijų tiekėjai, tad direktyvos poveikio mastas – labai platus. Nors organizacijos laukia vasarą pasirodysiančių detalių reikalavimų, tačiau didžiausios IT sprendimų ir paslaugų teikėjos Baltijos šalyse „Atea“ ekspertai ragina ruoštis jau dabar – esminiai principai yra aiškūs.
„Direktyvą įgyvendinančio įstatymo projektas viešai konsultacijai bus paskelbtas kovo pabaigoje, o detalius organizacinius ir techninius kibernetinio saugumo reikalavimus Vyriausybė turėtų patvirtinti iki metų vidurio. Pastebime, kad daugelis organizacijų lūkuriuoja šių reikalavimų ir aktyviai ruoštis vis dar delsia. Vis dėlto netikėtumų čia neturėtų būti – jau dabar žinoma, kad reikalavimai bus grįsti tarptautiniu standartu ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. Tai puikus orientyras, sufleruojantis apie pirmuosius namų darbus“, – sako Evaldas Valūnas, „Atea“ Saugumo sprendimų kompetencijų centro vadovas.
Anot E. Valūno, ką pirmiausia turėtų padaryti organizacijos, tai įsivertinti, kokios kibernetinio saugumo grėsmės gali kilti organizacijai. Tuomet svarbu atlikti rizikų analizę, t.y. nustatyti, kokia tikimybė, kad įvardintos grėsmės išsipildys. Tolimesnis žingsnis – galimos žalos įvertinimas ir galiausiai – kibernetinį saugumą užtikrinančių priemonių nustatymas.
„Organizacijoms reiktų atlikti rizikų analizę ir, atsižvelgus į gautus rezultatus, susidėlioti rizikų valdymo politiką: nusimatyti organizacines ir technines priemones, kuriomis tos rizikos bus valdomos. Be to, organizacijoms svarbu pasirengti arba atnaujinti kelis esminius dokumentus, tokius kaip informacinių sistemų saugos politiką, veiklos tęstinumo planą ir incidentų valdymo planą“, – tvirtina „Atea“ saugumo sprendimų ekspertas.
„Atea“ primena, koks turėtų būti minėtų dokumentų turinys. Informacinių sistemų saugumo politika nustato pagrindinius informacinių sistemų saugumo principus organizacijoje. Tai yra visų konkrečių techninių ir organizacinių priemonių įgyvendinimo pagrindas. Veiklos tęstinumo planas turi numatyti konkrečias priemones, kaip organizacija tęs veiklą neveikiant jos IT sistemoms, kaip bus užtikrinama vidinė komunikacija, kokie ištekliai bus pasitelkti siekiant greičiau atkurti veiklą. Galiausiai incidentų valdymo plane turi atsispindėti darbuotojų vaidmuo ir atsakomybės įvykus kibernetiniam incidentui, veiksmai su laikomais duomenimis ir IT sistemomis, komunikaciniai veiksmai.
Nors apie NIS2 direktyvą paskelbta jau daugiau nei prieš metus, tačiau dar ne visos organizacijos suvokia, kad šie reikalavimai gali būti taikomi ir joms. „Didžiosios energijos, transporto, bankininkystės ir finansų, sveikatos, vandens tiekimo, skaitmeninės infrastruktūros ir IT paslaugų, viešojo administravimo ir kitų sektorių organizacijos jau žino apie naujuosius kibernetinio saugumo reikalavimus, tačiau nemaža dalis organizacijų vis dar yra pilkojoje zonoje. Iki kitų metų balandžio mėnesio ši zona turėtų kiek prasisklaidyti, nes paaiškės, kokiems konkrečiai subjektams bus taikoma NIS2,” – pastebi E. Valūnas.
Į NIS2 reikalavimus turėtų atkreipti dėmesį ir didesnių bei reikšmingesnių organizacijų tiekėjai – jiems taip pat bus taikomi kibernetinio saugumo reikalavimai. Pavyzdžiui, bus reikalaujama sutartyse numatyti, kad rangovai laikytųsi perkančiosios organizacijos nustatytų informacijos saugumo bei kibernetinio saugumo reikalavimų visą sutarties vykdymo laikotarpį, teiktų būtiną informaciją priežiūros institucijai dėl įvykusių kibernetinių incidentų ir pan.
„NIS2 reikalavimai vienaip ar kitaip palies daugelį sektorių ir daugelį organizacijų. Labai svarbu suvokti, kad šie reikalavimai nėra šiaip sau – tik tam, kad formaliai susidėliotume varneles. Juos reiks įgyvendinti dėl to, kad galėtume funkcionuoti kaip visuomenė: veiktų infrastruktūra, paslaugos ir pan. Tai naujas standartas ir nauja kartelė, kurią organizacijos turės užtikrinti, siekiant apsaugoti save ir visuomenę“, – apibendrina „Atea“ ekspertas.