2024 metais griežtės reikalavimai įmonių kibernetiniam saugumui – ką reikia žinoti verslui?

Europos Sąjunga (ES) šių metų pradžioje paskelbė sugriežtintą visoms ES valstybėms galiojančią Tinklų ir informacinių sistemų saugumo direktyvą (TIS2), numatančią, kad atsakomybę dėl kibernetinio saugumo spragų gali tekti prisiimti įmonių vadovams, o bendrovėms mokėti milijonines baudas. Pakeitimus valstybės į nacionalinę teisę privalo perkelti iki 2024 m. spalio 18 d., tačiau bendrovės „Telia Lietuva“ verslo klientų vadovas Daniel Karpovič sako, kad įmonėms jau dabar svarbu ruoštis pokyčiams.

Vienas svarbiausių TIS2 (angl. Network and Information Security (NIS)) principų bei tikslų – kibernetinių grėsmių akivaizdoje užtikrinti valstybei svarbiuose sektoriuose veikiančių įmonių veiklos tęstinumą. Pasak D. Karpovič, svarbu tai, kad pakeitimais praplečiamas sektorių, kurių įmonėms galioja direktyvos nuostatos, sąrašas.

Nepriklausomai nuo įmonės dydžio, TIS2 galios energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse veikiančioms kompanijoms.

TIS2 nuostatos taip pat aktualios informacinių ir ryšių technologijų paslaugų verslui, pašto ir kurjerių paslaugų, atliekų tvarkymo, cheminių medžiagų gamybos ir platinimo, skaitmeninių paslaugų, įskaitant e. prekybos, mokslinių tyrimų ir apibrėžtose gamybos srityse veikiančioms įmonėms, jei jose dirba 50 ir daugiau darbuotojų, o metinė apyvarta arba metinio balanso vertė siekia 10 mln. eurų ir daugiau.

„Šios įmonės privalės laikytis naujų reikalavimų tiekimo grandinės saugumo užtikrinimui, taikyti griežtai apibrėžtas įsipareigojimų įgyvendinimo užtikrinimo ir jų vykdymo patikrinimo priemones. Be to, šios įmonės bus įpareigotos per numatytus terminus (24-72 val.) apie kibernetinius incidentus pranešti atsakingai institucijai – Lietuvoje Nacionaliniam kibernetinio saugumo centrui (NKSC)“, – sako D. Karpovič.

Už direktyvos reikalavimų pažeidimą numatytos griežtos sankcijos – iki 10 mln. eurų arba iki 2 proc. įmonės metinės apyvartos siekiančios baudos – ir asmeninė kompanijos vadovo atsakomybė. Pagal iki šiol galiojusias nuostatas už įmonės kibernetinį saugumą vadovas atsakomybės nenešė. Taigi, pasak „Telia Lietuva“ verslo klientų vadovo, į direktyvos reikalavimus įmonės ir jų vadovai neturėtų žiūrėti pro pirštus.

„Be abejo, užtikrinti TIS2 reikalavimus ir šiandienos grėsmes atitinkantį kibernetinio saugumo lygį gali būti nemenkas iššūkis. Kaip bebūtų, kibernetinės grėsmės šiandien yra kompleksiškos, o nusikaltėliai ar nedraugiškų valstybių tarnybos geba išnaudoti bet kokius pažeidžiamumus. Tačiau tai tik dar labiau išryškina investicijų į įmonės kibernetinį saugumą poreikį“, – sako D. Karpovič.

Jis akcentuoja, kad būtini namų darbai apima esamos tinklo architektūros inventorizaciją ir saugios architektūros parengimą, kritinių veiklos sistemų sąrašo sudarymą, kruopštų toms sistemoms kylančių rizikų įvertinimą. Taip pat svarbu numatyti tinkamas priemones ir resursus incidentų prevencijai, atskleidimui ir nustatymui, reagavimui, veiklos atstatymui ir pasekmių šalinimui ar švelninimui.

„Be abejo, tam reikia tinkamų kompetencijų, laiko ir finansinių išteklių, kurios kiekviena įmonė siekia taupyti. Dėl to vis daugiau kompanijų renkasi visapusiškas kibernetinio saugumo, tinklų projektavimo ir sistemų administravimo paslaugas įsigyti iš išorinių tiekėjų. Ar būtų pasirinktas toks kelias, ar remiamasi vidiniais resursais – svarbu užtikrinti, kad įmonė būtų pasirengusi kibernetinėms grėsmėms ir atitiktų sugriežtintus TIS2 reikalavimus“, – sako D. Karpovič.