NIS2 direktyva
Kas yra NIS2?
Antroji ES Network and Information Systems arba dažniau vadinama NIS 2 (lietuviškai – tinklo ir informacinių sistemų saugumo direktyva arba TIS 2) – turi panašumų su BDAR iš tos pusės, kad tai yra dar viena ES direktyva skirta informacijos ir kibernetinio saugumo kartelės kėlimui. BDAR pagrindinis dėmesys buvo skiriamas asmens duomenų apsaugai, o NIS2 – aukštesniems kritinių ir svarbių sektorių kibernetinio saugumo standartams. Kaip ir BDAR, NIS2 bus taikoma tiek viešam, tiek privačiam sektoriui.
Ši direktyva nustato tam tikrus reikalavimus informacijos ir kibernetinio saugumo valdymui ir įgyvendinimui, kuriuos turės atitikti visos įmonės ir organizacijos, kurios pateks į kritinių ir svarbių sąrašą. Sąrašą nustatys Lietuvos institucijos ir atnaujins ne rečiau kaip kas du metus.
Naujienas ir aktualijas apie NIS2 (TIS2) rasite šiame puslapyje. Jis taip pat pasiekiamas per www.nis2direktyva.lt, www.tis2direktyva.lt ir www.tis2.lt
Kodėl svarbi NIS2 direktyva?
NIS direktyva, kuri įsigaliojo 2016 metais, siekė pakelti ir suvienodinti kibernetinio saugumo lygį tarp ES šalių narių. NIS Investments Reports rodo, kad organizacijų, kurioms buvo taikoma direktyva, dėmesys ir resursai, skiriami kibernetiniam saugumui, ženkliai išaugo. Tačiau taip pat buvo pastebėta, kad šios organizacijos nefunkcionuoja izoliacijoje, todėl svarbi ir visa tiekimo grandinė. Taip pat reikalavimai vykdyti direktyvą nėra pakankamai griežti.
Kuriems sektoriams dabar galioja NIS direktyva?
Kuo NIS2 skiriasi nuo NIS1?
Lyginant su NIS, ženkliai praplėčiamas įmonių, kurioms bus taikoma naujoji direktyvos versija, ratas. Be kritinių sričių praplėtimo, pridedamos ir svarbios sritys. Direktyvos taikymas šioms sritims skirsis tuo, kad kritiniams sektoriams priskiriamos organizacijos turės nuolatos pateikti įrodymus apie savo kibernetinio saugumo būklę, o svarbiems – bus tikrinamos įvykus incidentui.
- Kritinio sektoriaus organizacijos: 250 darbuotojų, metinės pajamos 50 milijonų eurų
- Svarbios organizacijos: 50 darbuotojų, metinės pajamos 10 millijonų eurų
Kriterijai gali svyruoti priklausomai nuo sektoriaus. Organizacija gali būti laikoma kritine nepriklausomai nuo jos dydžio, jei tai yra vienintelis kritinės paslaugos tiekėjas.
Taip pat dalį įmonių, tai palies netiesiogiai, nes jos bus šių įmonių paslaugų teikėjai (trečiosios šalys), kurių dėmesiu, skiriamu kibernetiniam saugumu irgi turės būti įsitikinta.
NIS2: kritiniai sektoriai
NIS2: svarbūs sektoriai
Svarbiausios NIS2 datos
Kaip pasiruošti?
Atlikti reguliarius IT saugumo rizikų vertinimus.
Įsivertini ISO 27001 ir 27002 standartų reikalavimų atitiktį ir pasirengti neatitikčių valdymo planą.
NIS2 direktyva sudaryta, remiantis šiais standartais.
Pasirengti ir išbandyti kibernetinio saugumo mokymų planus ir užtikrinti bazinę kibernetinio saugumo higieną.
Įgyvendinti kelių faktorių autentifikaciją visuose kritiniuose resursuose.
Užtikrinti tiekimo grandinių ir trečiųjų šalių santykių saugumą.
Pasirengti ir įgyvendinti kritines saugumo politikas, tokias kaip:
Bendrą saugumo politiką, saugumo incidentų valdymo planą, veiklos tęstinumo planą, pažeidžiamumų valdymo politiką, preigos valdymo politika (įskaitant prieigą prie duomenų) ir kt.
Kokios baudos gresia?
Kritinio sektoriaus įmonėms ir organizacijoms baudos gali siekti 10 000 000 Eur arba 2% metinių praėjusių metų pajamų (didesnė reikšmė).
Svarbaus sektoriaus įmonėms ir organizacijoms baudos gali siekti 7 000 000 Eur arba 1,4% metinių praėjusių metų pajamų (didesnė reikšmė).
