Kas yra NIS2 — vienu sakiniu

NIS2 — tai Europos Sąjungos direktyva (ES) 2022/2555, kuri įpareigoja tam tikrų sektorių įmones rimtai, sistemingai ir įrodomu būdu valdyti savo kibernetinį saugumą — o už nevykdymą numato realią atsakomybę, įskaitant asmeninę vadovų atsakomybę.

Lietuvoje direktyva perkelta per naują Kibernetinio saugumo įstatymo redakciją. Priežiūrą vykdo Nacionalinis kibernetinio saugumo centras (NKSC) — jis identifikuoja subjektus, priima pranešimus apie incidentus ir skelbia metodinę medžiagą.

Ar NIS2 taikoma mano įmonei?

Direktyva apima gerokai daugiau sektorių, nei įprasta manyti. Tarp jų:

  • Energetika — elektros gamyba (įskaitant saulės elektrines), tiekimas, šiluma, dujos;
  • Transportas — kelių, geležinkelių, oro, vandens;
  • Sveikatos priežiūra ir vaistų gamyba;
  • Geriamasis vanduo ir nuotekos;
  • Skaitmeninė infrastruktūra ir IT paslaugos;
  • Gamyba — maisto, chemijos, elektronikos, mašinų ir įrangos;
  • Paštas ir atliekų tvarkymas.

Antra sąlyga — įmonės dydis: reikalavimai pirmiausia taikomi vidutinėms ir didesnėms įmonėms pagal ES dydžio kriterijus, tačiau kai kurioms veikloms — nepriklausomai nuo dydžio. Svarbu ir tai, kad reikalavimai netiesiogiai pasiekia ir mažesnes įmones: jei esate NIS2 subjekto tiekėjas, jūsų klientas privalo vertinti savo tiekimo grandinės saugumą — įskaitant jus.

Kaip pasitikrinti tiksliai: NKSC skelbia informaciją apie kibernetinio saugumo subjektų identifikavimą ir taikymo kriterijus — žr. šaltinius straipsnio pabaigoje. Jei abejojate, šį vertinimą atliekame audito metu.

Ko NIS2 realiai reikalauja?

Atmetus teisinę kalbą, reikalavimai susiveda į kelias grupes:

1. Vadovybės atsakomybė

Kibernetinis saugumas nebegali būti „IT skyriaus reikalas". Vadovybė privalo tvirtinti rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir pati dalyvauti mokymuose. Už pažeidimus numatyta ir asmeninė vadovų atsakomybė.

2. Rizikos valdymo priemonės

Įmonė turi turėti ir gebėti įrodyti: incidentų valdymo tvarką, veiklos tęstinumo ir atsarginių kopijų strategiją (žr. taisyklę 3-2-1), tiekimo grandinės saugumo vertinimą, prieigų kontrolę ir šifravimą, kelių faktorių autentifikaciją, darbuotojų mokymus ir elementarią kibernetinę higieną.

3. Incidentų pranešimas

Apie reikšmingus incidentus NKSC pranešama keliais etapais: ankstyvasis pranešimas — per 24 valandas nuo sužinojimo, išsamesnis pranešimas — per 72 valandas, o galutinė ataskaita — ne vėliau kaip per mėnesį nuo pranešimo. Tam reikia iš anksto žinoti, kas įmonėje atsakingas ir kaip incidentas atpažįstamas — improvizuoti incidento dieną nepavyks.

Nuo ko pradėti — sveika seka

  1. Nustatykite, ar patenkate į taikymo sritį. Sektorius + dydis + vaidmuo tiekimo grandinėje. Tai užtrunka trumpai, bet atsako į klausimą „ar man apskritai reikia rūpintis".
  2. Atlikite GAP analizę. Palyginkite, ko reikalauja įstatymas, su tuo, ką realiai turite. Rezultatas — spragų sąrašas su prioritetais, o ne baimė.
  3. Sutvarkykite pagrindus. Didžioji dalis reikalavimų sutampa su elementaria IT higiena: MFA, atnaujinimai, prieigų ribos, tikrinamos kopijos, mokymai. Tai verta padaryti nepriklausomai nuo NIS2.
  4. Dokumentuokite ir palaikykite. Atitiktis — ne vienkartinis projektas, o veikiantis procesas: tvarkos turi būti gyvos, o ne segtuve.

Dažna klaida: pradėti nuo brangios įrangos pirkimo. NIS2 atitiktis prasideda nuo suprastos rizikos ir veikiančių procesų — technologijos yra priemonė, ne tikslas.

Kur mes galime padėti

Mūsų sritis — techninis lygmuo ir organizacinės brandos kėlimas: taikymo srities vertinimas, GAP analizė, techninių priemonių įgyvendinimas, darbuotojų mokymai ir saugumo vadovo (vCISO) funkcija. Plačiau — kibernetinio saugumo paslaugos puslapyje. Jei valdote saulės elektrinę, energetikos sektoriaus auditams turime specializuotą svetainę sauleselektrinesauditas.lt.

Oficialūs šaltiniai

  • Direktyva (ES) 2022/2555 (NIS2) — EUR-Lex
  • Lietuvos Respublikos kibernetinio saugumo įstatymas — e-tar.lt
  • Nacionalinis kibernetinio saugumo centras — nksc.lt