Skaitmeninė transformacija – tai ne tik galimybės, bet ir rizikos. Augant kibernetinių grėsmių mastui, Europos Sąjunga ėmėsi atnaujinti savo kibernetinio saugumo politiką. 2023 m. sausį įsigaliojo NIS2 direktyva – naujas teisinis pagrindas, skirtas sustiprinti bendrą skaitmeninę erdvę nuo kibernetinių atakų, duomenų nutekėjimų ir infrastruktūros pažeidimų. Bet ką tai reiškia verslui? Ir ar tik viešojo sektoriaus organizacijos turėtų sunerimti?
Kas yra NIS2?
NIS2 – tai Antroji tinklų ir informacinių sistemų saugumo direktyva (angl. Directive on measures for a high common level of cybersecurity across the Union). Ji pakeičia 2016 m. priimtą NIS direktyvą ir išplečia jos taikymo sritį bei sugriežtina reikalavimus. Ši naujoji direktyva yra atsakas į tai, kad kibernetinės grėsmės tampa vis labiau kompleksiškos, o pažeidžiamumai – vis dažnesni tiek privačiame, tiek viešajame sektoriuje.
Pagrindinis NIS2 tikslas – užtikrinti, kad visos svarbios ES infrastruktūros būtų apsaugotos nuo kibernetinių pavojų, kad informacinės sistemos būtų atsparios, o incidentai – valdomi ir skaidriai fiksuojami.
Kam taikoma NIS2 direktyva?
Skirtingai nei pirmoji versija, NIS2 aprėpia žymiai platesnį organizacijų ratą. Pagal ją įpareigojamos tiek „esminės“, tiek „svarbios“ įmonės. Į šias kategorijas patenka tokie sektoriai kaip:
- Energetika (elektra, dujos, šiluma)
- Transportas (oro, jūrų, kelių)
- Bankininkystė ir finansinės rinkos infrastruktūra
- Sveikatos apsauga (ligoninės, laboratorijos, vaistinės)
- Skaitmeninė infrastruktūra (debesų kompiuterija, DNS paslaugos)
- Viešieji paslaugų teikėjai, IT tiekėjai, gamybos ir tiekimo įmonės
NIS2 taikoma organizacijoms, kurios veikia ES, nepriklausomai nuo to, kur jos yra registruotos. Tai reiškia, kad net trečiųjų šalių įmonės, teikiančios paslaugas Europos rinkai, turi laikytis šių taisyklių.
Kokie yra pagrindiniai reikalavimai?
NIS2 direktyva nustato aiškius kibernetinio saugumo standartus:
- Rizikų valdymo priemonės: įmonės privalo įgyvendinti technines ir organizacines priemones, kurios mažina kibernetinių incidentų riziką.
- Incidentų pranešimai: rimti saugumo pažeidimai turi būti pranešti nacionalinėms institucijoms per 24 valandas.
- Valdymo atsakomybė: vadovybė yra tiesiogiai atsakinga už kibernetinio saugumo užtikrinimą ir gali būti asmeniškai atsakinga už pažeidimus.
- Tiekimo grandinės saugumas: organizacijos turi įvertinti ir užtikrinti, kad ir jų tiekėjai atitiktų saugumo standartus.
- Reguliarūs auditai ir testavimai: įmonės turi atlikti saugumo vertinimus, testuoti sistemų atsparumą ir mokyti darbuotojus.
Ką tai reiškia verslui praktiškai?
NIS2 reiškia ne tik papildomas atsakomybes, bet ir galimybę padidinti savo atsparumą grėsmėms. Įmonėms reikia:
- Įsivertinti, ar jos patenka į NIS2 taikymo sritį.
- Atlikti rizikų vertinimą ir sukurti kibernetinio saugumo politiką.
- Apmokyti darbuotojus, ypač IT ir vadovų lygmens specialistus.
- Užtikrinti duomenų atsargines kopijas, sistemų stebėjimą ir incidentų valdymą.
Taip pat svarbu turėti bendradarbiavimo planus su nacionalinėmis kibernetinio saugumo institucijomis bei būti pasirengus patikrinimams ar sankcijoms.
Galimos sankcijos
NIS2 įtvirtina ir griežtesnes baudas už nesilaikymą. Jos gali siekti net iki 10 mln. eurų arba 2 % metinių pasaulinių pajamų – priklausomai nuo to, kuri suma didesnė. Tai siunčia aiškią žinutę: kibernetinis saugumas – ne rekomendacija, o privalomas verslo aspektas.
Kodėl verta ruoštis jau dabar?
Lietuvoje NIS2 į nacionalinę teisę turi būti perkelta iki 2024 m. spalio mėn., o pirmieji patikrinimai prasidės netrukus po to. Kuo anksčiau verslas pradės ruoštis, tuo mažesnė bus rizika susidurti su problemomis ar baudomis.
Saugumas – investicija, ne sąnaudos
NIS2 direktyva verčia įmones žvelgti į kibernetinį saugumą strategiškai. Tai ne tik teisės aktų laikymasis, bet ir verslo tęstinumo garantas, klientų pasitikėjimo stiprinimas ir konkurencinis pranašumas. Kibernetinio saugumo nepaisymas šiandien gali kainuoti labai brangiai – todėl geriausias laikas veikti yra dabar.
