Klausimų daugiau, nei atsakymų: kaip įmonėms jau dabar pasiruošti spalį įsigaliosiančiai TIS2 direktyvai?

Nauja ES direktyva jau po aštuonių mėnesių įpareigos tūkstančius Lietuvos įmonių iš esmės sustiprinti savo kibernetinio saugumo lygį. Vis dėlto neretą verslą dar labiau, nei už pažeidimus gręsiančios milijoninės baudos, gąsdina naujosios tvarkos neapibrėžtumas. Kol kas direktyva ne tik nėra perkelta į Lietuvos teisinę sistemą, bet ir nenumato tikslių jos vykdymo priemonių. Tačiau „Telia“ ramina – ruoštis pokyčiams pradėti galima jau dabar, naudojant jau egzistuojantį informacijos saugos vadybos standartą. 

Praėjusių metų pradžioje ES priėmė sugriežtintą Tinklų ir informacinių sistemų saugumo direktyvą (TIS2, angl. NIS2 – Network and Information Security Directive), kuria siekiama užtikrinti valstybei svarbiuose sektoriuose veikiančių įmonių veiklos tęstinumą. Atnaujintas reguliavimas išplečia sąrašą sektorių, kuriuose dirbančioms įmonėms taikomi griežtesni kibernetinio saugumo reikalavimai, o už jų nesilaikymą didelės finansinės sankcijos ir netgi asmeninė bendrovės vadovo atsakomybė.

„Su TIS2 į susiję teisės aktai Lietuvoje privalo būti parengti iki šių metų spalio 17 d., o jų įsigaliojimas turėtų vykti jau kitą dieną – spalio 18 d. Kadangi kiekvienai įmonei teks priimti jos veiklai individualizuotas kibernetinio saugumo reformas, akivaizdu, kad per vieną naktį joms pasiruošti nėra įmanoma. Laimė, remdamiesi ilgamete patirtimi linkstame teigti, kad didžioji dalis reikalavimų bus sukurti pagal ISO 27001. Organizacijos, į minėtą standartą įsigilinusios jau dabar, numačiusios jame apibrėžtus resursus, identifikavusios rizikas ir paruošusios tinkamus dokumentus, TIS2 erą galės pasitikti ir su kur kas mažesnėmis išlaidomis, ir didesniu naujai sukurtų mechanizmų efektyvumu“, – įžvalgomis dalinasi „Telia“ verslo klientų vadovas Daniel Karpovič.

„Praslysti“ nepavyks

Valstybės institucijų duomenimis, Lietuvoje TIS2 reguliavimo laikytis turinčių įmonių skaičius gali siekti net 22 tūkstančius. Naujieji ES reikalavimai galios energetikos, transporto, bankininkystės, finansų rinkos infrastruktūros, sveikatos priežiūros, geriamo vandens tiekimo, nuotekų tvarkymo, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso, maisto produktų gamybos, perdirbimo ir platinimo srityse veikiančioms kompanijoms. 

Vis dėlto po TIS2 stogu papuls dar daugiau bendrovių, jei jos atitiks du kriterijus: darbuotojų skaičius viršys 50, o įmonės apyvarta arba turtas – 10 mln. Eur . Griežtesnės kibernetinės drausmės tokiu atveju turės laikytis informacinių ir ryšių technologijų (IRT) paslaugų verslui, pašto ir kurjerių paslaugų, atliekų tvarkymo, cheminių medžiagų gamybos ir platinimo, skaitmeninių paslaugų, įskaitant e. prekybos, mokslinių tyrimų ir apibrėžtose gamybos srityse veikiančios kompanijos. 

„Didelė problema yra ne tik, kad nemaža dalis bendrovių apskritai nėra informuotos apie artėjantį TIS2 įvedimą, bet ir tai, jog žinančiosios apie reguliavimo pokyčius juos interpretuoja neteisingai. Dalis organizacijų mano, kad prieš pat direktyvos įsigaliojimą pakaks įsigyti kokį nors virtualų įrankį ar pasisamdyti specialistą. Deja, TIS2 nėra tik apie antivirusinių ar saugių slaptažodžių naudojimą. Direktyva įveda pareigą kompleksiškai saugotis nuo kibernetinių grėsmių, mokyti darbuotojus, paruošti veiksmų planą įvykus išpuoliui ir gebėti apie jį tinkamai informuoti valstybės institucijas. Daugeliu atvejų visam šiam pasiruošimui reikia mažiausiai kelių mėnesių“, – akcentuoja D. Karpovič.

Raktas į TIS2 – ISO27001 standartas

Nepaisant reformų masto, TIS2 nurodomos tik bendros gairės valstybėms narėms, o konkrečius reikalavimus ir reglamentavimą pavesta nustatyti norminiuose Lietuvos teisės aktuose. Tik kai pastarieji bus parengti, taps aišku, ką tiksliai turės atlikti ir atitikti kiekvienas TIS2 reguliavimo paliestas juridinis asmuo. Panašu, kad šie teisiniai dokumentai bus patvirtinti anksčiausiai iki vasaros pradžios, tad jų laukiantieji baiminasi „sudeginti“ nemažai pasiruošimui panaudoti galimo laiko. 

„Patirtis rodo, kad prireikus sukurti itin universalų reguliavimą ir dar per tokį ganėtinai trumpą laikotarpį, teisėkūros atstovai, užuot bandę „išradinėti dviratį“, linkę pasirinkti rinkoje plačiai taikomą standartą ir jį adaptuoti. Šiuo atveju TIS2 reikalavimų pagrindu Lietuvoje turėtų tapti ISO27001 standartas, kuris ekspertų skaičiavimu, tenkina apie 70 proc. naujosios ES direktyvos gairių. Kitaip tariant, organizacijoje įdiegus šį standartą, didžiajai daliai TIS2 reformų bus pasiruošta ir to nebereikės daryti paskubomis, kai bus įvesti atitinkami teisės aktai“, – aiškina „Telia“ padalinio vadovas.

Pašnekovo teigimu, ISO27001 atitinka TIS2 gaires dėl reikalavimų organizacijai įsivertinti informacijos saugumo riziką, identifikuoti jai kylančius pavojus bei silpnąsias grandis, per kurias ji gali būti atskleista. Pagal tai įmonė įpareigojama suprojektuoti ir įgyvendinti išsamias saugumo priemones. Įvykdžius šiuos punktus, kompanijai reikia atlikti atitikties vertinimą ir, nuolat peržiūrint taikomas priemones, būti pasiruošus auditams, kurie gali veikti kaip repeticija prieš valstybinių institucijų planuojamus TIS2 laikymosi patikrinimus.

Pradėti reikia nuo tinkamos politikos

Skubant į TIS2 traukinį, „Telia“ ekspertas dėmesį pataria sutelkti ne į vienas ar kitas saugumo priemones, o į tinkamos vidinės IT saugumo politikos patvirtinimą. Direktyvos kūrėjai supranta, jog net ir visas įmanomas apsaugos priemones įsidiegusi įstaiga nėra visiškai apsaugota nuo kibernetinių incidentų, todėl net labiau už konkrečius instrumentus akcentuoja įmonių gebėjimus anksti pastebėti įsilaužimą ir pasirengti kuo greitesniam veiklos atstatymui.

„Kompanijos turėtų pradėti nuo esamos kritinės infrastruktūros inventorizacijos, pasitvirtinti tvarką, kaip bus valdomi kibernetiniai incidentai bei kaip po jų bus tęsiama veikla. Taip pat labai svarbu pasiruošimo TIS2 direktyvai „nenuleisti“ vien tik ant IT skyriaus pečių, nes naujajame reguliavime įmonių vadovai privalės patvirtinti kibernetinio saugumo rizikų suvaldymo priemones bei reguliariai dalyvauti su kibernetiniu saugumu susijusiuose mokymuose, kartu pasirūpinant, kad reikiamas žinias įgytų ir jų darbuotojai“, – pataria D. Karpovič.

Spalį įsigaliosiantys teisės aktai taip pat numatys didesnę atsakomybę už savo IT tiekimo grandinę. Nauja ES saugumo direktyva šią problemą įpareigos spręsti nustatydama reikalavimus IT tiekėjams, todėl jau ruošiantis reglamentavimo pokyčiams skatintina pasirinkti tinkamus partnerius, kurių neteks atsisakyti eigoje.