Svarbiausi žingsniai įgyvendinant NIS2 direktyvą: ką turi žinoti kiekviena organizacija? 

A woman sitting on the armchair. Agneta Venckutė

Praėjo metai nuo tada, kai Lietuvoje pradėta įgyvendinti NIS2 direktyva – viena reikšmingiausių ES kibernetinio saugumo iniciatyvų per pastarąjį dešimtmetį. 

Jos tikslas – sustiprinti kritinės infrastruktūros atsparumą skaitmeninėms grėsmėms. Ši direktyva jau integruota į ES šalių nacionalinius įstatymus. Lietuvoje tai reglamentuoja Kibernetinio saugumo įstatymas: jis 2024 m. spalio 18 d. atnaujintas tam, kad atitiktų NIS2 nuostatas. 

Iki 2025 m. balandžio 17 d. NKSC įtraukė subjektus į Kibernetinio saugumo subjektų registrą: visi registre esantys subjektai gavo elektroninius pranešimus.  

Šios organizacijos, valdančios ypatingos svarbos informacinę infrastruktūrą (YSII) ir / ar valstybės informacinius išteklius (VII), yra kviečiamos registruotis kibernetinio saugumo informacinėje sistemoje (KSIS). Iki pirmųjų baudų liko mažiau nei dveji metai. Tai reiškia viena: metas ne planuoti, o veikti. 

Kas yra NIS2? 

NIS2 – antroji ES Tinklo ir informacinių sistemų saugumo direktyva (angl. Directive on Security of Network and Information Systems). Ji pakeičia ankstesnę direktyvą (NIS1) ir žymi esminį lūžį požiūryje į kibernetinį saugumą.  

Direktyvos tikslas – suvienodinti šalių narių standartus ir užtikrinti, kad svarbiausios paslaugos visoje Europoje būtų apsaugotos nuo kibernetinių grėsmių. 

NIS2 direktyva itin reikšminga: ji pakeičia kibernetinio saugumo ir grėsmių valdymo strategiją daugeliui įmonių. Tai teisės aktas, kurio nuostatas valstybės narės įtraukia į savo įstatymus. Lietuvoje tai padaryta per Kibernetinio saugumo įstatymo redakciją. 

Ką tai reiškia verslui? 

Įsigaliojus NIS2, kibernetinis saugumas tampa ne IT skyriaus galvos skausmu, o verslo išlikimo dalimi. Direktyva plečia saugumo reguliavimą: 

  • Ji taikoma daug platesniam sektorių ratui – nuo IT ir energetikos iki logistikos, sveikatos apsaugos, skaitmeninių paslaugų ir atliekų tvarkymo.  
  • Apima tiek viešąjį, tiek privatų sektorių. 
  • Į sąrašą patenka ne tik didelės įmonės, bet ir vidutinės bei mažesnės organizacijos – svarbiausia, kokią funkciją sektoriuje jos atlieka. 
Person in a blue shirt reaching into a cardboard box in a retail store, with shelves of bags and clothing blurred in the background.

Ar jūsų įmonė patenka į sąrašą? 

Tai organizacijos įtraukos į oficialų sąrašą po valstybės kvietimo registruotis.  

  • Veikia svarbiose srityse (pvz., energetikoje, transporte, sveikatos priežiūroje); 
  • Teikia skaitmenines paslaugas; 
  • Yra įtrauktos į oficialų sąrašą po valstybės kvietimo registruotis; 

Svarbu žinoti: į registrą organizacijos įtraukiamos Nacionalinio kibernetinio saugumo centro sprendimu – savarankiškos registracijos šiuo metu nėra.  

Jei jūsų organizacija atitinka kriterijus, būsite informuoti apie privalomą atitiktį. Tuomet prasidės 12 mėn. techninio įgyvendinimo laikotarpis, po kurio – dar 12 mėn. pilnos integracijos. 

Tad jei jūsų įmonė priklauso vienam iš svarbiausių sektorių – nedelskite. Atėjo laikas pasirūpinti, kad atitiktumėte Kibernetinio saugumo įstatymo reikalavimus. 

Pagal kokius kriterijus organizacijos įtraukiamos į sąrašą? 

Organizacijų įtraukimą į Kibernetinio saugumo subjektų registrą vertina Nacionalinis kibernetinio saugumo centras (NKSC), remiantis keliais esminiais kriterijais.  

Pirmiausia atsižvelgiama į bendruosius rodiklius – organizacijos dydį, metines pajamas, teikiamų paslaugų rūšį ir svarbą. Taip pat vertinama, kokį poveikį paslaugos turi visuomenei ar valstybei. 

Taikomi ir specialieji kriterijai – pavyzdžiui, ar organizacija yra vienintelė konkrečios paslaugos tiekėja. Arba, ar paslaugos teikimo sutrikimas sukeltų reikšmingų pasekmių visuomenės saugumui. 

Kuo skiriasi NIS2 nuo pirmosios direktyvos? 

NIS2 žymi iš esmės kitokį požiūrį į kibernetinį saugumą. Jei pirmoji direktyva labiau orientuota į infrastruktūros apsaugą, tai NIS2 kelia kartelę visoje organizacijos veikloje, nuo vadovų sprendimų iki techninių procesų. 

Svarbiausi pokyčiai: 

Platesnė taikymo apimtis.  

Į direktyvos taikymo lauką patenka gerokai daugiau sektorių: sveikatos priežiūra, transportas, atliekų tvarkymas, skaitmeninės paslaugos, viešieji ryšiai ir kiti. Daugelis organizacijų, kurios anksčiau buvo „už borto“, dabar jau yra laikomos kibernetinio saugumo subjektais. 

Aiškesnės atsakomybės.  

Ne tik IT skyriaus, bet visos vadovybės atsakomybė – nuo šiol tai nebe techninė detalė, o strateginis verslo klausimas. Kibernetinio saugumo valdymas dar glaudžiau integruojamas į bendrą rizikų vertinimą ir veiklos planavimą. 

Privalomas incidentų ataskaitų teikimas. 

Jei įvykis laikomas reikšmingu, tai nebėra „vidinis“ incidentas. Apie jį, laikantis nustatytų terminų, reikia informuoti atsakingas institucijas. 

Griežtesni saugumo reikalavimai.  

įskaitant rizikos vertinimą, IT infrastruktūros segmentavimą, scenarijų numatymą, incidentų valdymą ir bendradarbiavimą su CSIRT. Tai tampa būtinybe, o ne rekomendacija. 

Reali atsakomybė – ir realios baudos. 

Nuo 2027 m. už reikalavimų nesilaikymą numatytos reikšmingos finansinės sankcijos. Vis dėlto, kur kas svarbesnė rizika – kritinės infrastruktūros pažeidžiamumas ar paslaugų tiekimo sutrikimai.  

Kodėl tai svarbu Lietuvai? 

Lietuva – viena iš pirmųjų šalių, kuri oficialiai įtvirtino NIS2 nuostatas nacionaliniu lygiu. Tai reiškia, kad visos Lietuvos organizacijos, kurios patenka į kibernetinio saugumo subjektų sąrašą, privalo laikytis Lietuvos Respublikos Kibernetinio saugumo įstatymo.  

Šis įstatymas apibrėžia, kokios organizacijos privalo įgyvendinti saugumo priemones, kaip turi būti valdomos rizikos ir kokia atsakomybė tenka vadovybei. 

Nuo ko pradėti? 

  1. Apibrėžkite veiklos apimtį. Kuo aiškiau suprasite, kur slypi kritiniai procesai, tuo efektyviau valdysite rizikas. 
  1. Įsivertinkite rizikas. Nėra vieno algoritmo – įsivertinkite, kokį incidentą laikysite reikšmingu. Tam tinka nemokami įrankiai, pvz., CIS CSAT ar NIST CSF. 
  1. Aprašykite incidentų valdymo tvarkas. Turite aiškiai apibrėžti, kas laikoma incidentu, kaip reaguojama ir kas atsako. Tai turėtų būti aiškūs, formalizuoti, vadovybės patvirtinti procesai. 
  1. Pritaikykite infrastruktūrą. Tai apima tinklo sluoksniavimą, prieigos kontrolę, incidentų stebėseną, atsarginių kopijų politiką. Visos šios priemonės būtinos, norint sumažinti žalos mastą įvykus atakai. 
  1. Atsakomybė – vadovybei. Sprendimų priėmėjai turi ne tik žinoti reikalavimus, bet ir aktyviai dalyvauti jų įgyvendinime. 
  1. Bendradarbiaukite. Apie reikšmingus incidentus informuokite CSIRT (nacionalinį kibernetinio saugumo incidentų centrą). 
The image shows a man in a professional setting, likely a lawyer, seated at a desk. He's dressed in a white shirt and patterned tie, holding a smartphone in one hand and writing in a notebook with the other.

Kibernetinis saugumas – bendrų pastangų rezultatas 

NIS2 nėra tik teisinis formalumas – tai reali galimybė sustiprinti organizacijos saugumą. 

Daugeliui įmonių tai pirmas susidūrimas su sisteminiu saugumo reguliavimu. Todėl vis daugiau organizacijų kreipiasi į išorės ekspertus, kurie padeda tiek atlikti auditą, tiek įgyvendinti konkrečias rekomendacijas. 

Įgyvendinant NIS2 reikalavimus, Hostline padeda įvertinti pasirengimo lygį, konsultuoja dėl atitikties, o prireikus nukreipia pas specialistus, kurie: 

  • Diegia atitikties reikalavimus atitinkančias sistemas; 
  • Atlieka auditus; 
  • Mokymus ir pasirengimą incidentams pritaiko prie jūsų veiklos specifikos. 

NKSC taip pat žada papildomus resursus – numatytas atskiras kibernetinio saugumo pagalbos centras (helpdesk), kuris padės gauti atsakymus į kylančius klausimus. Tačiau pagalbos paklausa greičiausiai viršys pasiūlą – todėl partnerių verta ieškoti jau dabar. 

Daugiau naudingos informacijos: 

Laikas pasiruošimui baigiasi – NIS2 direktyva tapo nacionalinės teisės dalimi. Tie, kurie pradeda prisitaikyti šiandien, tampa ne tik saugesni, bet ir konkurencingesni. 

Apie autorių
A woman sitting on the armchair.
Agneta Venckutė
Agneta Venckutė yra „Hostline“ rinkodaros projektų vadovė, turinti daugiau nei 6 metų patirtį technologijų rinkodaros srityje. Kurdama turinį, ji derina kūrybišką požiūrį su analitiniu mąstymu, kas leidžia jai sudėtingas technologines sąvokas pateikti aiškiai ir suprantamai. Agneta rašo informatyvius straipsnius, paremtus naujausiomis rinkos įžvalgomis, kad padėtų esamiems ir būsimiems „Hostline“ klientams geriau suprasti hostingo, duomenų centrų veikimo ir debesijos veikimo principus.
Prenumeruokite mūsų naujienlaiškį