Reaguodama į didėjančias kibernetines grėsmes ir atsižvelgdama į pirminės TIS direktyvos trūkumus, Europos Komisija atnaujino Tinklų ir informacinių sistemų saugumo direktyvą TIS (angl. Network and Information Systems, NIS), papildydama ją naujais kibernetinio saugumo reikalavimais.
TIS2 (angl. NIS2) tikslas – įtvirtinti naują Europos Sąjungos kibernetinio saugumo sampratą, griežtai apibrėžti privalomas priemones bei išplėsti kontroliuojamų verslo subjektų ir organizacijų aprėptį. Lietuva TIS2 direktyvą į nacionalinę teisę privalo perkelti iki 2024 m. spalio 17 d.
Kokie pagrindiniai TIS2 keliami reikalavimai?
TIS2 taikymo sričiai priklausantys verslo subjektai privalės užtikrinti tinklų ir informacinių sistemų saugumo lygį šiose srityse:
• Rizikos analizės ir IS saugumo politika,
• Incidentų valdymas,
• Veiklos tęstinumo užtikrinimas po incidentų ar ekstremaliųjų įvykių,
• Tiekimo grandinės saugumas,
• Tinklų ir IS įsigijimo, plėtojimo ir priežiūros saugumas, pažeidžiamumo valdymas ir atskleidimas,
• Kibernetinio saugumo rizikos valdymo politika ir procedūros,
• Kibernetinės higienos praktika ir kibernetinio saugumo mokymai,
• Kriptografijos naudojimo politika ir procedūros,
• Žmogiškųjų išteklių saugumo, prieigos kontrolės ir turto valdymo politika,
• Kai taikytina, kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų subjekto viduje naudojimą.
Kam taikomos TIS2 direktyvos nuostatos?
TIS2 direktyva smarkiai išplečia sektorių, kurių veikloje ji yra privaloma, ribas. Nepriklausomai nuo veiklos specifikos TIS2 direktyvos reikalavimus privalo atitikti įmonės, kurių metinė apyvarta viršija 10 mln. EUR.
Ypatingos svarbos sektoriai:
energetika (elektra, centralizuotas šildymas ir vėsinimas, nafta, dujos ir vandenilis);
transportas (oro, geležinkelių, vandens ir kelių); bankininkystė;
finansų rinkos infrastruktūros; sveikata
geriamas vanduo; nuotekos; skaitmeninė infrastruktūra;
IRT paslaugų valdymas; viešasis administravimas; kosmoso sektorius.
Kiti itin svarbūs sektoriai:
pašto ir kurjerių paslaugos; atliekų tvarkymas; chemijos pramonė;
maistas; medicinos prietaisų, kompiuterių ir elektronikos, mašinų ir įrangos, variklinių transporto priemonių, priekabų ir puspriekabių bei kitos transporto įrangos gamyba;
skaitmeninių paslaugų teikėjai tyrimų organizacijos.
Nespėjusiems laiku įgyvendinti TIS2 reikalavimų gresia baudos:
• Ypatingos svarbos subjektams: iki 10 mln. Eur arba ne mažiau kaip 2 proc. bendros pasaulinės metinės apyvartos praėjusiais finansiniais metais, atsižvelgiant į tai, kuri suma didesnė;
• Kitiems itin svarbiems subjektams: iki 7 mln. Eur arba bent 1,4 % bendros pasaulinės metinės apyvartos praėjusiais finansiniais metais, atsižvelgiant į tai, kuri suma didesnė.
Raktas į TIS2 – ISO 27001 standartas
Atsižvelgiant į tai, kad ISO 27001 standartas, nustatantis reikalavimus informacijos saugumo vadybos sistemai, tenkina apie 70 proc. TIS2 direktyvos reikalavimų, įdiegta ir sertifikuota ISO 27001 vadybos sistema gali būti naudinga siekiant atitikties TIS2 dėl kelių priežasčių:
• Rizikos valdymas: ISO 27001 yra rizika pagrįstas vadybos standartas, padedantis organizacijoms nustatyti, įvertinti ir sumažinti riziką, susijusią su informacijos saugumu. TIS2 taip pat pabrėžia rizikos vertinimo ir valdymo svarbą užtikrinant kibernetinį saugumą. Įdiegdamos ISO 27001, organizacijos gali parodyti savo gebėjimą efektyviai nustatyti ir valdyti riziką, o tai atitinka TIS2 reikalavimus.
• Informacijos saugos valdikliai: ISO 27001 nurodo valdiklių rinkinį, kuris padeda organizacijoms apsaugoti savo informacijos išteklius. Šios kontrolės priemonės apima tokias priemones kaip prieigos kontrolė, reagavimas į incidentus ir atsarginių kopijų kūrimo bei atkūrimo procedūros, kurios taip pat yra labai svarbios siekiant laikytis TIS2.
• Atitikties sistema: ISO 27001 suteikia išsamią informacijos saugumo kontrolės priemonių įgyvendinimo sistemą, kuri gali padėti organizacijoms įrodyti atitiktį TIS2 reikalavimams. Standarto A priede pateikiami kontrolės tikslai ir kontrolės priemonės, glaudžiai suderintos su TIS2 saugumo reikalavimais.
• Trečiųjų šalių rizikos valdymas: ISO 27001 reikalauja, kad organizacijos valdytų trečiųjų šalių riziką, o tai taip pat yra vienas iš svarbiausių TIS2 reikalavimų. Standarte pateikiamos rekomendacijos, kaip įvertinti ir sumažinti riziką, susijusią su trečiųjų šalių tiekėjais, paslaugų teikėjais ir rangovais.
• Patobulinta saugos kultūra: ISO 27001 skatina saugumo kultūrą organizacijoje, kuri yra būtina norint pasiekti veiksmingą informacijos saugumą. Ši kultūra taip pat yra labai svarbi TIS2 atitikčiai, nes ji padeda organizacijoms suprasti informacijos saugumo svarbą ir įgyvendinti priemones, skirtas užkirsti kelią kibernetinėms atakoms.
• Auditas ir stebėjimas: ISO 27001 reikalauja reguliaraus audito ir stebėjimo, kad būtų užtikrintas nuolatinis atitikimas standarto reikalavimams. Tai padeda organizacijoms išlaikyti aukštą informacijos saugumo lygį, kuris taip pat yra būtinas TIS2 atitikčiai.
• Sertifikavimas: ISO 27001 sertifikato įgijimas rodo organizacijos įsipareigojimą užtikrinti informacijos saugumą ir gebėjimą įgyvendinti efektyvias saugos kontrolės priemones. Tai gali suteikti pasitikėjimo suinteresuotosioms šalims, įskaitant reguliavimo institucijas, klientus ir partnerius, kad organizacija atitinka TIS2 reikalavimus.
Nors ISO 27001 vadybos sistemos įdiegimas ir sertifikavimas nėra tiesioginis TIS2 atitikties reikalavimas, visgi tai gali padėti organizacijoms parodyti savo įsipareigojimą informacijos saugumui bei pademonstruoti, kad jos įdiegė veiksmingas kontrolės priemones, skirtas užkirsti kelią kibernetinėms atakoms ir į jas reaguoti.
Susisiekite su mumis, kad sužinotumėte daugiau apie Bureau Veritas teikiamas ISO 27001 sertifikavimo paslaugas el. p.: sert@bureauveritas.com arba tel. +370 5 2395070.
Dirbkime kartu, kad padidintume jūsų organizacijos informacijos saugumą!