Įvairiuose IT pasaulio kontekstuose vis dažniau pasigirsta NIS2 direktyvos santrumpa.
Natūralu, kad klausimų čia daugiau nei atsakymų: kas tai, ką šis dalykas keičia, kuo jis aktualus technologijų industrijos žmonėms ir ne tik? Pripažįstame, kad tiek NIS2, tiek su šiuo konceptu susiję procesai yra ganėtinai kompleksiški ir reikalaujantys įsigilinimo.
Tačiau esame pasiruošę paaiškinti esmę, taip supaprastindami artėjančius procesus, darbo krūvius bei NIS2 direktyvos supratimą.
Kas yra NIS2?
NIS2 – tinklo ir informacinio saugumo direktyva (liet. TIS2 – tinklų ir informacinių sistemų direktyva). Jos tikslas – pasiekti aukštą kibernetinio saugumo lygį visos Europos Sąjungos mastu.
Palyginti su NIS, NIS2 išplečiami ES masto saugumo reikalavimai ir išplečiama organizacijų bei sektorių, kuriems taikoma NIS2, taikymo sritis, kad būtų padidintas tiekimo grandinių saugumas, nustatyti nauji pranešimų teikimo įpareigojimai ir visoje Europoje būtų taikomos griežtesnės priemonės bei sankcijos.
Kokiems subjektams galioja NIS2?
Kaip jau minėta anksčiau, įsigaliosiantis NIS2 sąrašas smarkiai išplečia sektorių, kurių veikloje direktyva yra privaloma, ribas.
Pagrindinės sritys, į kurias nukreiptas dėmesys – transportas, gamtiniai ištekliai, finansai bei su jais susijusios operacijos, skaitmeninės veiklos bei paslaugos. Reikėtų atkreipti dėmesį ir į pačios įmonės dydį, pajamas ir turtą. Identifikuoti, ar įmonė patenka į NIS2 atitikti turinčių įmonių sąrašą gali padėti LR Krašto apsaugos ministerijos sudaryta lentelė .
Prieš pradedant dėlioti NIS2 strategiją organizacijoje, naudinga pasitarti su teisės bei kibernetinio saugumo specialistais. Net ir iš pažiūros viename sektoriuje esančios ar panašaus dydžio, apyvartos organizacijos gali turėti skirtingus kontekstus, todėl prieš priimant esminį sprendimą svarbu turėti visą aktualią informaciją.
Kaip užtikrinama sklandi NIS2 direktyvos veikla?
Jei pirmoji NIS versija nebuvo plačiai žinoma, NIS2 atsiradimas iš esmės keičia situaciją. Organizacijos bei sektoriai, patenkantys į šios direktyvos zoną, turės rimtų įsipareigojimų, susijusių su kibernetiniu saugumu.
Visos ES narės privalės užtikrinti, kad į direktyvą įeinantys subjektai (t.y., organizacijos) imtųsi tinkamų ir proporcingų techninių, operatyvinių ir organizacinių priemonių. Jos reikalingos siekiant valdyti tinklų ir informacinių sistemų, kurias minėti subjektai naudoja savo veiklai arba teikdami savo paslaugas, saugumui kylančią riziką ir užkirsti kelią incidentų poveikiui jų paslaugų gavėjams ir kitoms paslaugoms arba juos sumažinti iki minimumo.
Į šių priemonių sąrašą įeina rizikų analizė bei incidentų valdymas. Taip pat kritiškai svarbu užtikrinti veiklos tęstinumą įvykus krizei, pavyzdžiui, turėti atsargines dokumentų kopijas bei aiškų tolimesnių veiksmų planą. Dėl šių priežasčių reikės pasirūpinti tinkamomis organizacijos darbuotojų žiniomis, gerosiomis praktikomis, duomenų naudojimo politika.
Kuo svarbu pasirūpinti mano organizacijai?
Svarbu atsiminti, jog valstybės narės turės teisę reikalauti, kad direktyvai paklustų ne vien subjektai, bet ir jų paslaugų tiekėjai ir klientai (žr. Reglamento 2019/881 49 straipsnį).
Pirmiausia reikėtų įvertinti, ar patenkate į turinčių atitikti NIS2 reglamentą sąrašus. Jeigu taip, siekiant išsiaiškinti, ko įmonei trūksta iki NIS2 sąlygų išpildymo, verta atlikti auditą. Antras žingsnis – pasirūpinti techninėmis priemonėmis bei jų vykdymo užtikrinimu. Atlikus auditą, turint visą reikalingą techninę NIS2 reglamentą išpildančią dalį, reikalinga aprašyti turimas technines priemones bei procesus. Svarbu nepamiršti ir sudaryt reikalingų priemonių biudžetą bei jį įsitraukti į metinį planą.
Nevykdant NIS2 direktyvoje numatytų punktų, subjektams gresia baudos nuo 7 milijonų eurų arba 1.4% metinės apyvartos visose tarptautinėse rinkose. Jos gali būti taikomos ne tik įmonėms, bet ir vadovams asmeniškai.
Kada įsigalioja NIS2 direktyva?
- NIS2 yra aktyvi jau daugiau nei metus: ji įsigaliojo 2023 metų sausio 16 dieną.
- Svarbiausia data ir valstybėms narėms, ir subjektams bei su jais susijusioms organizacijoms – 2024 metų spalio 18 diena. Tuo metu NIS2 jau turi būti integruota į nacionalinę įstatymų bazę.
- Na, o ne vėliau kaip 2025 metų balandžio 17 dieną ES valstybės narės turi sudaryti ir pateikti esminių ir svarbių subjektų bei domeno vardo registravimo paslaugas teikiančių subjektų sąrašą.
Įžvalgas bei atsakymus į klausimus apie NIS2 direktyvą išgirsite jau kovo 21d. webinare ,,Nauji NIS2 reikalavimai, nauji ir išūkiai!”
Renginio įrašas čia