TIS2 direktyva

News

ISO 27001 standartas - raktas į TIS2 

Jun. 26 2024

Reaguodama į didėjančias kibernetines grėsmes ir atsižvelgdama į pirminės TIS direktyvos trūkumus, Europos Komisija atnaujino Tinklų ir informacinių sistemų saugumo direktyvą TIS (angl. Network and Information Systems, NIS), papildydama ją naujais kibernetinio saugumo reikalavimais. 


TIS2 (angl. NIS2) tikslas – įtvirtinti naują Europos Sąjungos kibernetinio saugumo sampratą, griežtai apibrėžti privalomas priemones bei išplėsti kontroliuojamų verslo subjektų ir organizacijų aprėptį. Lietuva TIS2 direktyvą į nacionalinę teisę privalo perkelti iki 2024 m. spalio 17 d.


Kokie pagrindiniai TIS2 keliami reikalavimai?

TIS2 taikymo sričiai priklausantys verslo subjektai privalės užtikrinti tinklų ir informacinių sistemų saugumo lygį šiose srityse:

• Rizikos analizės ir IS saugumo politika,
• Incidentų valdymas,
• Veiklos tęstinumo užtikrinimas po incidentų ar ekstremaliųjų įvykių,
• Tiekimo grandinės saugumas,
• Tinklų ir IS įsigijimo, plėtojimo ir priežiūros saugumas, pažeidžiamumo valdymas ir atskleidimas,
• Kibernetinio saugumo rizikos valdymo politika ir procedūros,
• Kibernetinės higienos praktika ir kibernetinio saugumo mokymai,
• Kriptografijos naudojimo politika ir procedūros,
• Žmogiškųjų išteklių saugumo, prieigos kontrolės ir turto valdymo politika,
• Kai taikytina, kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų subjekto viduje naudojimą.


Kam taikomos TIS2 direktyvos nuostatos?

TIS2 direktyva smarkiai išplečia sektorių, kurių veikloje ji yra privaloma, ribas. Nepriklausomai nuo veiklos specifikos TIS2 direktyvos reikalavimus privalo atitikti įmonės, kurių metinė apyvarta viršija 10 mln. EUR.

Ypatingos svarbos sektoriai:

energetika (elektra, centralizuotas šildymas ir vėsinimas, nafta, dujos ir vandenilis); 

 transportas (oro, geležinkelių, vandens ir kelių);         A black circle with a symbol of a euro

Description automatically generated bankininkystė; 

A graph with a dollar sign

Description automatically generated finansų rinkos infrastruktūros;         A black cross with a black background

Description automatically generated  sveikata 

geriamas vanduo;       A black and white recycle bin

Description automatically generatednuotekos;          A wifi symbol on a black background

Description automatically generated skaitmeninė infrastruktūra; 

 IRT paslaugų valdymas;           A black and white building with columns

Description automatically generated  viešasis administravimas;           kosmoso sektorius.

Kiti itin svarbūs sektoriai: 

 pašto ir kurjerių paslaugos;          A black recycle symbol

Description automatically generated  atliekų tvarkymas;           A black and white exclamation mark

Description automatically generated  chemijos pramonė; 

maistas;          A black and white image of a factory

Description automatically generated  medicinos prietaisų, kompiuterių ir elektronikos, mašinų ir įrangos, variklinių transporto priemonių, priekabų ir puspriekabių bei kitos transporto įrangos gamyba; 

 skaitmeninių paslaugų teikėjai      A black and white outline of a microscope

Description automatically generated tyrimų organizacijos.

Kas gali nutikti, jeigu neatitiksite TIS2 reikalavimų po 2024 m. spalio 17 d.? 

Nespėjusiems laiku įgyvendinti TIS2 reikalavimų gresia baudos:

•  Ypatingos svarbos subjektams: iki 10 mln. Eur arba ne mažiau kaip 2 proc. bendros pasaulinės metinės apyvartos praėjusiais finansiniais metais, atsižvelgiant į tai, kuri suma didesnė;

•  Kitiems itin svarbiems subjektams: iki 7 mln. Eur arba bent 1,4 % bendros pasaulinės metinės apyvartos praėjusiais finansiniais metais, atsižvelgiant į tai, kuri suma didesnė.

Raktas į TIS2 – ISO 27001 standartas

Atsižvelgiant į tai, kad ISO 27001 standartas, nustatantis reikalavimus informacijos saugumo vadybos sistemai, tenkina apie 70 proc. TIS2 direktyvos reikalavimų, įdiegta ir sertifikuota ISO 27001 vadybos sistema gali būti naudinga siekiant atitikties TIS2 dėl kelių priežasčių:

Rizikos valdymas: ISO 27001 yra rizika pagrįstas vadybos standartas, padedantis organizacijoms nustatyti, įvertinti ir sumažinti riziką, susijusią su informacijos saugumu. TIS2 taip pat pabrėžia rizikos vertinimo ir valdymo svarbą užtikrinant kibernetinį saugumą. Įdiegdamos ISO 27001, organizacijos gali parodyti savo gebėjimą efektyviai nustatyti ir valdyti riziką, o tai atitinka TIS2 reikalavimus. 

Informacijos saugos valdikliai: ISO 27001 nurodo valdiklių rinkinį, kuris padeda organizacijoms apsaugoti savo informacijos išteklius. Šios kontrolės priemonės apima tokias priemones kaip prieigos kontrolė, reagavimas į incidentus ir atsarginių kopijų kūrimo bei atkūrimo procedūros, kurios taip pat yra labai svarbios siekiant laikytis TIS2.

Atitikties sistema: ISO 27001 suteikia išsamią informacijos saugumo kontrolės priemonių įgyvendinimo sistemą, kuri gali padėti organizacijoms įrodyti atitiktį TIS2 reikalavimams. Standarto A priede pateikiami kontrolės tikslai ir kontrolės priemonės, glaudžiai suderintos su TIS2 saugumo reikalavimais. 

Trečiųjų šalių rizikos valdymas: ISO 27001 reikalauja, kad organizacijos valdytų trečiųjų šalių riziką, o tai taip pat yra vienas iš svarbiausių TIS2 reikalavimų. Standarte pateikiamos rekomendacijos, kaip įvertinti ir sumažinti riziką, susijusią su trečiųjų šalių tiekėjais, paslaugų teikėjais ir rangovais. 

Patobulinta saugos kultūra: ISO 27001 skatina saugumo kultūrą organizacijoje, kuri yra būtina norint pasiekti veiksmingą informacijos saugumą. Ši kultūra taip pat yra labai svarbi TIS2 atitikčiai, nes ji padeda organizacijoms suprasti informacijos saugumo svarbą ir įgyvendinti priemones, skirtas užkirsti kelią kibernetinėms atakoms. 

Auditas ir stebėjimas: ISO 27001 reikalauja reguliaraus audito ir stebėjimo, kad būtų užtikrintas nuolatinis atitikimas standarto reikalavimams. Tai padeda organizacijoms išlaikyti aukštą informacijos saugumo lygį, kuris taip pat yra būtinas TIS2 atitikčiai. 

Sertifikavimas: ISO 27001 sertifikato įgijimas rodo organizacijos įsipareigojimą užtikrinti informacijos saugumą ir gebėjimą įgyvendinti efektyvias saugos kontrolės priemones. Tai gali suteikti pasitikėjimo suinteresuotosioms šalims, įskaitant reguliavimo institucijas, klientus ir partnerius, kad organizacija atitinka TIS2 reikalavimus. 

Nors ISO 27001 vadybos sistemos įdiegimas ir sertifikavimas nėra tiesioginis TIS2 atitikties reikalavimas,  visgi tai gali padėti organizacijoms parodyti savo įsipareigojimą informacijos saugumui bei pademonstruoti, kad jos įdiegė veiksmingas kontrolės priemones, skirtas užkirsti kelią kibernetinėms atakoms ir į jas reaguoti.

Susisiekite su mumis, kad sužinotumėte daugiau apie Bureau Veritas teikiamas ISO 27001 sertifikavimo paslaugas el. p.: sert@bureauveritas.com arba tel. +370 5 2395070.

Dirbkime kartu, kad padidintume jūsų organizacijos informacijos saugumą!