Kibernetinis saugumas – ne gaisrų gesinimas: kokie pokyčiai laukia įmonių įsigaliojus Europos Sąjungos kibernetinio saugumo teisės aktų pakeitimams ir naujai direktyvai?

2023-01-25

Nors didžioji dalis verslų šiandieniniame pasaulyje vienaip ar kitaip vykdo veiklą pasitelkiant skaitmenines priemones bei internetą, kibernetinio saugumo tema vis dar neretai linksniuojama tik įvykus kibernetinei atakai. Vis dėlto, stebint ne tik vis didėjančią skaitmenizaciją, bet ir dažnėjančius kibernetinius nusikaltimus, tampa aišku – nei viena organizacija ar įmonė nėra apsaugota nei nuo tokių nusikaltimų, nei nuo jų pasekmių. 

Atsižvelgiant į besiplečiantį kibernetinių grėsmių spektrą bei nuolatinę skaitmenizaciją, 2020 m. pabaigoje Europos Komisija pristatė Europos Sąjungos kibernetinio saugumo strategiją, į kurią buvo įtraukti pagrindinio kibernetinio saugumo teisės akto atnaujinimai, tarp kurių ir Tinklo ir informacinių sistemų saugumo (TIS) 2 direktyva, angliškai žinoma kaip NIS2. 2022 gruodžio 27 d. direktyva buvo patvirtinta Europos Parlamente – tai davė startą jos įgyvendinimo laikotarpiui, kurio metu visos ES narės turi įgyvendinti direktyvoje numatytus pakeitimus, kurie turi būti įvykdyti iki 2024 m. spalio mėnesio. 

„NIS 2 – tai jau antras bandymas pasiekti aukštą kibernetinio saugumo lygį visose ES narėse. Pirmoji direktyva padidino kibernetinio saugumo pajėgumus, tačiau jos reikalavimai buvo sunkiai įgyvendinami, tad rinka susiskaldė. Atsižvelgiant į pirmosios direktyvos trūkumus, ir tuo pačiu reaguojant į išaugusias grėsmes, buvo priimtas sprendimas parengti antrą direktyvą, kurioje ne tik įtraukiama saugiau sektorių, kuriems ši direktyva galios, bet ir sugriežtinant sankcijas,“ dalijasi Edita Pulkauninkė, SQUALIO Lietuva pardavimų komandos vadovė.

Kam aktuali ši direktyva? 

Ji taikoma įvairiems sektoriams – komunikacijos paslaugų tiekėjams, skaitmeninių paslaugų operatoriams, valstybinėms institucijoms, atliekų tvarkymo organizacijoms, viešojo administravimo sektoriui ir pan. Be to, direktyva taikoma vidutinėms ir didelėms organizacijoms, t.y. įmonėms, turinčioms daugiau nei 50 darbuotojų bei toms, kurių metinė apyvarta viršija 10 milijonų eurų. Siekiant užtikrinti kibernetinį saugumą, direktyvoje sugriežtinti reikalavimai įmonėms bei nurodytos tikslinės priemonės, pavyzdžiui, privalomas kibernetinio saugumo auditas, efektyvaus šifravimo naudojimas, reagavimo į kibernetines atakas ir valdymo plano parengimas, pranešimų apie kibernetinius nusikaltimus gairės ir pan. 

Kokius žingsnius turėtų žengti organizacijos siekdamos vykdyti direktyvos nuostatas? 

Pasak Editos, pagrindinis ir pirmasis žingsnis yra Zero-Trust įvertinimas. „Zero-Trust įvertinimas - atspirties taškas kompanijoms, norinčioms suprasti, kokia šiandieninė jų kibernetinė padėtis ir kokią padėtį jie norėtų pasiekti po pusmečio, metų, ir pan. Be to, įvertinimas leidžia pateikti rekomendacijas organizacijai, kokius sprendimus ji turėtų įgyvendinti ir ką turėtų pasiruošti, o taip pat ir įžvalgas apie tai, ko tai organizacijai nereiktų diegti vien tik dėl to, kad rinkoje yra populiaru. Mes padedame klientams sudėlioti procesą ir planą, nurodantį, kur link jie turėtų judėti ir kodėl, nes aiškiai pateikiame rizikas. Suprantame, kad, pvz. medicinos paslaugas teikiančiai įmonei rizikos bus visai kitokios nei fintech įmonei, tad skiriame dėmesį ne šabloniniams, bet pagal kiekvienos organizacijos individualius poreikius adaptuotiems planams.“