Verslui

NIS2 reglamentas: lemiami 2025-ųjų momentai ir saugumo sprendimų svarba

Podcast’ai Spotify platformoje

Šių metų spalio 17 dieną NIS2 (liet. TIS2 – tinklo ir informacinio saugumo direktyva) buvo perkelta į Nacionalinę teisę. Išleistame įstatyme nurodoma, kokioms organizacijoms galioja naujieji reikalavimai ir kokias priemones būtina taikyti, o kartu pateikiamas ir incidentų valdymo planas bei kita svarbi informacija. Įmonės, kurioms reikės taikyti atitinkamą NIS2 reglamentą  , oficialiai sužinos jau itin sparčiai artėjančiais 2025 metais, tad kurios nesilaikys naujų reikalavimų, iškils baudų grėsmė.

Kam taikomas NIS2 reglamentas?

 

Įmonių sektoriai skirstomi į svarbius ir ypatingos svarbos. Reglamento pirmame priede nurodomi šie ypatingos svarbos sektoriai: energija (elektra, centralizuotas šildymas ir vėsinimas, nafta, dujos, vandenilinis), transportas (oro, geležinkelių, vandens, kelių), IRT paslaugų valdymas (verslas verslui), finansų rinkų infrastruktūros objektai, sveikatos priežiūra, geriamasis vanduo, viešasis administravimas, skaitmeninė infrastruktūra, bankininkystė, nuotekos, kosmosas.

Svarbūs sektoriai, nurodomi NIS2 direktyvos II priede, yra šie: pašto ir kurjerių paslaugos, cheminių medžiagų gamyba ir platinimas, maisto gamyba (perdirbimas ir platinimas), atliekų tvarkymas, skaitmeninių paslaugų tiekėjai, gamyba, moksliniai tyrimai. Svarbu pabrėžti tai, kad subjektas patenka į NIS2 direktyvos taikymo sritį, jei tai yra didelė ar vidutinė įmonė, t.y. jei organizacijos darbuotojų skaičius viršija 50, o metinės pajamos yra mažiausiai 10 mln.

SOC svarba NIS2 direktyvoje

 

„Blue Bridge“ Saugumo operacijų centro (SOC) vadovo Povilo Kaminsko teigimu, SOC funkcija šiame reglamente yra labai svarbi ir diktuoja pokytį didžiajai daliai Lietuvos įmonių. „Išvardintos net 489 organizacijos, kurioms taikoma ši direktyva ir dar 9 tipai organizacijų, kurios taip pat į ją patenka. Dauguma jų – verslo organizacijų. Remiantis įvairiais duomenimis, ši direktyva aktuali iš viso net apie 3000 organizacijų, o daugumoje jų SOC vaidmuo yra labai svarbus“. Atsižvelgdamas į būtinybę šioms įmonėms įgalinti visas priemones per ateinančius metus, iš SOC perspektyvos P. Kaminskas atkreipia dėmesį į kitus du priedus: antrąjį („Incidentų valdymo planas“) ir trečiąjį („Organizacinės ir techninės priemonės“). Būtent šie du priedai kalba apie SOC funkciją.

P. Kaminsko teigimu, incidentų valdymo plane penktasis punktas yra pats svarbiausias. Jis nurodo, kad kibernetinių incidentų valdymo organizavimą kibernetinio saugumo subjekto lygmeniu užtikrina kibernetinio saugumo subjektas. „Tai yra tiesioginis reikalavimas įmonėms įsteigti SOC“, – tvirtina „Blue Bridge“ atstovas. Taip pat reglamente nurodoma, kad SOC funkcijos negali būti pavedamos vykdyti kibernetinio saugumo subjekto padaliniui, atsakingam už tinkamą tinklų ir / ar informacinių sistemų veiklą. Tai reiškia, kad SOC negali būti IT priežiūros komanda – tai turi būti atskiras, su IT nesusijęs padalinys.

Labai svarbus yra ir paskutinis punktas, kuris nurodo, kad kibernetinio saugumo subjektui leidžiama iš tiekėjo įsigyti paslaugas, kurias teikiant būtų vykdomos jo funkcijos. „Tai reiškia, kad toms 3000 organizacijų nereikia kurti savo SOC. Įkurti savo SOC yra labai sudėtinga, net techniškai neįmanoma dėl kelių priežasčių. Ši specializacija yra labai specifinė ir unikali, šių specialistų Lietuvoje niekas neruošia ir pakankamai jų tiesiog nėra“, – teigia P. Kaminskas. Be to, tam SOC funkcijos įgyvendinimui vieno žmogaus nepakanka dėl kompetencijų trūkumo. Dėl šių priežasčių dauguma įmonių šiais laikais renkasi išorės tiekėjo paslaugas.

Kokios priemonės turi būti įdiegtos?

 

NIS2 reglamente pateiktos priemonės taikomos anksčiau išvardintiems ypatingos svarbos ir kitiems svarbiems įmonių sektoriams. Vis dėlto, kiekvienai įmonių kategorijai taikomi reikalavimai šiek tiek skiriasi. „Esminis skirtumas yra tai, kad ypatingos svarbos subjektai turi turėti SIEM (saugumo įvykių valdymo sistemą), o kiti svarbūs subjektai gali išpildyti reikalavimus kitokiomis priemonėmis“, – sako P. Kaminskas. Specialisto teigimu, ši atskirtis yra svarbi, nes SIEM yra sudėtinga ir brangi sistema, o kitos organizacijos turi pasirinkimą atsigręžti į kitokius sprendimus.

Kitos svarbios priemonės, kurias turėtų įdiegti įmonių sektoriai, yra šios: pažeidžiamumų skenavimo tęstinė paslauga, privilegijuotos prieigos valdymo (PAM) sprendimai ,tinklo prieigos kontrolės (NAC) sprendimo parinkimas ir diegimas, duomenų nutekėjimo apsaugos (DLP) sprendimo diegimas, įsilaužimų testavimas, el. pašto apsaugos sprendimo parinkimas ir diegimas, aplikacijų ugniasienių sprendimai, galinių įrenginių apsaugos (EDR) sprendimai, bei rezervinio duomenų kopijavimo ir atstatymo sprendimai.

Nesilaikantiems naujų reikalavimų gresia didelės baudos

 

Nors NIS2 direktyvos reikalavimams įvykdyti yra skirti visi metai, specialistai rekomenduoja nedelsti, kadangi NIS2 saugumo priemonės skirtos tam, kad sumažintų kibernetinių atakų riziką ir padėtų užtikrinti patikimą duomenų apsaugą. Taip pat skirtingoms organizacijoms būtinų priemonių įgyvendinimas gali pareikalauti nemažai laiko ir investicijų, tad sklandžiam pokyčiui verta ruoštis jau dabar.

Nespėjus atlikti reikiamų pakeitimų iki numatytos datos, organizacijoms gresia didelės baudos, kurios ypatingos svarbos sektoriaus įmonėms sieks net iki 10 mln. eurų arba 2 proc. metinių praėjusių metų pajamų; svarbaus sektoriaus įmonėms baudos gali siekti iki 7 mln. eurų arba 1,4 proc. metinių praėjusių metų pajamų. Įmonių vadovams taip pat bus taikomos atitinkamos asmeninės baudos ir draudimas kurį laiką užimti vadovo poziciją.

Puiki išeitis įmonėms, kurios nori tinkamai pritaikyti NIS2 direktyvos reikalavimus, tačiau stokoja tam reikalingų resursų – partnerystė su patikimais paslaugų tiekėjais. „Blue Bridge“ komanda pasiruošusi užtikrinti atitiktį su skirtingoms organizacijoms aktualiais naujais reikalavimais ir sukurti aukštą saugumo standartą per individualiai taikomas papildomas paslaugas. „Tai yra pagrindinė mūsų veikla, kurią nuolat tobuliname, kad ne tik atlieptume naujausius saugumo standartus, bet ir išpildytume ambicingų, rinkoje lyderiaujančių organizacijų poreikius. Dar nepradėjusiems taikyti reikalingų priemonių pagal NIS2 direktyvą siūlau detaliai susipažinti su paskelbtu įstatymu – taip galėsite  tiksliai įsivardinti, ką jau vykdote savo organizacijoje ir ko jums trūksta. Taip pat pasitarkite su kitų organizacijų atstovais ir dalinkitės gerosiomis praktikomis, o kartu nedelskite ir kreipkitės į patikimą paslaugų tiekėją, kuris padės struktūriškai įsivertinti jūsų praktikų atitikimą pagal NIS2 ir pasiūlys aiškų sprendimą“, – sako P. Kaminskas.

 

Vis dar neatitinkate NIS2 reglamento? Susisiekti su „Blue Bridge” atstovais – pasiūlysime paslaugas, padėsiančias didinti įmonės saugumą bei atitikti NIS2 reglamentą

 

NIS2PAMpentestsoc

Įvertink šį straipsnį

    Prenumeruokite ir gaukite žinias pirmieji

    Taip pat skaitykite

    Skaityti daugiau
    Skaityti daugiau