Atsparumas kibernetinėms grėsmėms - TIS2 direktyvos įpareigojimai
Šių metų sausio 16 d. įsigaliojo Europos Parlamento ir Europos Sąjungos Tarybos teisės dokumentas – TIS2 direktyva, kurios nuostatos iki 2024 m. spalio 17 d. turi būti perkeltos į nacionalinės teisės aktus. Kitaip tariant, jau kitų metų rudenį didelė dalis Lietuvos viešo ir privataus sektoriaus įmonių turės atitikti tam tikrus, sugriežtintus tarptautinius kibernetinio saugumo standartus.
Tačiau pasiruošimas naujiems reikalavimams vyksta dar gana vangiai. Kokios šio vangumo priežastys, sunku atsakyti: gal tai aiškumo stoka, kokiu tikslu įgyvendinamas naujas teisės aktas, ar ką tiksliai privalu atlikti, o gal tikimąsi kažkaip „praslysti“?
Kas yra TIS2 direktyva ir koks jos tikslas?
TIS2 direktyva (tinklų ir informacinių sistemų saugumo direktyva (angl. NIS2)), yra Europos Sąjungos masto kibernetinio saugumo teisės aktas, kuriame numatytos teisinės priemonės bendram kibernetinio saugumo lygiui Europos Sąjungoje didinti.
Direktyva ES patvirtinta 2023 m. sausio 16 d., tačiau tai nėra naujas dokumentas. Ankstesnė dokumento redakcija – TIS1 direktyva – įsigaliojo dar 2016 metais, o Lietuvoje įsigaliojo 2018 m.
Antrosios redakcijos poreikis išryškėjo COVID-19 krizės akivaizdoje, kai labai išaugo IT technologijų naudojimas, visiškai pakito visuomenės įpročiai – galima sakyti įvyko skaitmeninė visuomenės transformacija. Tai neišvengiamai didina grėsmių peizažą: kibernetinių atakų skaičius didėja, atakos darosi vis sudėtingesnės ir darančios vis reikšmingesnę žalą, atakos kyla iš įvairių šaltinių tiek ES viduje, tiek už jos ribų.
Hibridinių grėsmių akivaizdoje negalime nepaisyti ir priešiškų jėgų siekio destabilizuoti visuomenės gyvenimą, kelti paniką. Visai neseniai vykusios masinės ugdymo įstaigų kibernetinės atakos, panašu, turėjo būtent tokį tikslą, veikiant gyventojus per pačią jautriausią visuomenės dalį – vaikus. Tai kartu parodė mūsų (ir Latvijos bei Estijos) kibernetinį pažeidžiamumą.
Akivaizdu, kad ankstesnis reguliavimas buvo toli gražu nepakankamas, visų pirma dėl to, kad apėmė tik labai nežymią dalį visuomeninio ir privataus sektoriaus įmonių. Todėl reaguojant į pirmosios minėtos krizės išryškintą skaitmeninių grėsmių aplinką, ES patvirtino atnaujintą dokumentą – TIS2 direktyvą.
2024 m. spalio 17 d. įvyksiantis TIS2 direktyvos nuostatų perkėlimas į nacionalinius teisės aktus įpareigos viešo ir privataus sektoriaus įmones taikyti priemones, užtikrinančias apsaugą nuo kibernetinių grėsmių, žinoti kaip elgtis įvykus incidentui, informuoti atitinkamas institucijas. Tokiu būdu užtikrinamas kiekvienos ES narės kibernetinio saugumo lygis, o kartu suvienodinamos valstybių narų taikomos saugumo priemonės, nustatomos reguliavimo taisyklės.
Kam taikomos TIS2 direktyvos nuostatos?
Kaip jau minėta, antroji TIS direktyvos redakcija išplečia ankstesnio dokumento taikymo sritį, įtraukiant naujus sektorius. Jeigu ankstesnė TIS direktyva (TIS1) „lietė“ tik apie 400 Lietuvos įmonių, išplėtus kibernetinio saugumo taisyklių taikymo sritį, direktyva tampa aktuali net 20000 įmonių.
Griežtinant kibernetinio saugumo reguliavimą sektoriai pasirinkti atsižvelgiant į jų svarbą ekonomikai ir visuomenei, nustatant dydžio slenksčio taisyklę. Tai reiškia, kad visi vidutiniai ir dideli sektoriaus subjektai bus įtraukti į taikymo sritį. Nors valstybėms narėms paliekama tam tikra veiksmų laisvė nustatyti mažesnius subjektus, turinčius didelę saugumo riziką, kurioms taip pat turėtų būti taikomi naujosios direktyvos įpareigojimai.
Subjektai būtų klasifikuojami pagal svarbą ir skirstomi į dvi kategorijas: esminius ir svarbius subjektus, kuriems bus taikomas skirtingas priežiūros režimas.
Esminiai sektoriai: energetika (elektra, centralizuotas šildymas ir vėsinimas, nafta, dujos ir vandenilis); transportas (oro, geležinkelių, vandens ir kelių); bankininkystė; finansų rinkos infrastruktūros; sveikata (įskaitant farmacijos produktų, vakcinų gamybą); geriamas vanduo; nuotekos; skaitmeninė infrastruktūra; IRT paslaugų valdymas; viešasis administravimas; kosmoso sektorius.
Svarbūs sektoriai: pašto ir kurjerių paslaugos; atliekų tvarkymas; chemijos pramonė; maistas; medicinos prietaisų, kompiuterių ir elektronikos, mašinų ir įrangos, variklinių transporto priemonių, priekabų ir puspriekabių bei kitos transporto įrangos gamyba; skaitmeninių paslaugų teikėjai ir tyrimų organizacijos.
Ko reikalauja TIS2 direktyvos nuostatos?
Galutinių rekomendacijų dėl TIS2 direktyvos taikymo Lietuvoje dar nėra paruošta. Aiškesnes taikymo gaires planuojama turėti kitų metų pradžioje. Tačiau jau dabar žinoma, jog į reguliavimo imtį patenkantys subjektai turės pasiruošti ir įgyvendinti šiuos dokumentus bei veiksmus:
- Informacinių sistemų rizikos vertinimas ir saugumo politika;
- Kriptografijos ir, jei reikia, šifravimo naudojimo politika ir procedūros;
- Saugumas, susijęs su sistemų įsigijimu, kūrimu ir eksploatavimu;
- Darbuotojų, turinčių prieigą prie neskelbtinų ar svarbių duomenų, saugumo procedūros, įskaitant prieigos prie duomenų politiką;
- Kelių veiksnių autentifikavimo patvirtinimo naudojimas;
- Kibernetinio saugumo mokymai ir pagrindinės kompiuterių higienos praktika;
- Saugumo incidentų valdymo planas;
- Saugumas tiekimo grandinėse.
Nors direktyvos tikslas yra didinti kibernetinį saugumą ES šalyse, o ne bausti už nuostatų nevykdymą, vis tik yra numatytos didžiulės baudos už reikalavimų nevykdymą. Kaip ir reikalavimai, taip ir baudų dydis skiriasi priklausomai nuo subjekto svarbos. Esminiams priskirtiems subjektams gresia 10 000 000 Eur arba 2% nuo praėjusių finansinių metų metinės apyvartos dydžio bauda, priklausomai nuo to kuri suma didesnė. Svarbiems subjektams baudos šiek tie mažesnės – 7 000 000 Eur arba 1,4% nuo praėjusių finansinių metų metinės apyvartos, priklausomai nuo to kuri suma didesnė.
Nepaisant to, kad direktyva dar neadaptuota Lietuvos teisinei bazei, ruoštis privalu jau dabar. Kibernetinio saugumo užtikrinimas yra ne vienkartinis veiksmas, o ilgas ir nuolatinis procesas. Pirmiausia rekomenduojame pradėti nuo esamos situacijos išsiaiškinimo ir suvokimo, plano susidėliojimo, kaip taisyti jau esančias saugumo spragas, palaipsniui įgyvendinti pokyčius. Fizinė ir programinė įranga kainuoja nemenkus pinigus, todėl racionaliai paskirsčius būsimą investiciją etapais, jūsų verslas nepatirs didesnių finansinių sunkumų nuosekliai įgyvendinti saugumo politiką.