TIS 2: Nauji kibernetinio saugumo standartai ir praktiniai sprendimai

Apie seminarą

Kibernetinės grėsmės šiandien kelia vis didesnį pavojų tiek valstybių, tiek verslo subjektų saugumui ir veiklos tęstinumui. Reaguodama į tai, Europos Sąjunga priėmė atnaujintą Tinklų ir informacinių sistemų saugumo direktyvą (TIS 2), kuri jau pradėjo keisti kibernetinio saugumo reglamentavimą ir praktiką.

Kibernetinių grėsmių tendencijos Europoje 2023-2024 m. laikotarpiu demonstruoja reikšmingą augimą, ypač paslaugų nepasiekiamumo (DDoS) ir duomenų šifravimo (ransomware) atakų srityse. Stebima intensyvėjanti duomenų vagysčių, socialinės inžinerijos metodais pagrįstų atakų (phishing) bei tiekimo grandinės pažeidimų dinamika. Pažymėtina, kad atakų taikiniais vis dažniau tampa mažos bei vidutinės įmonės, viešojo sektoriaus institucijos, o geopolitinės įtampos kontekste – kritinės infrastruktūros objektai.

TIS 2 direktyva siekiama iš esmės sustiprinti kibernetinį atsparumą viešajame ir privačiajame sektoriuose, išplečiant reguliavimo apimtį ir nustatant griežtesnius saugumo reikalavimus.

Nacionalinio kibernetinio saugumo centro (NKSC) duomenimis, 2023 metais Lietuvoje užfiksuoti 2 378 kibernetiniai incidentai. Nors bendras incidentų skaičius, lyginant su praėjusiais metais, sumažėjo 30 procentų, tačiau fiksuojamas 12 procentų vidutinio pavojingumo incidentų augimas.

Teisinėje plotmėje, Kibernetinio saugumo įstatymas įpareigoja kibernetinio saugumo subjektus įgyvendinti adekvačias saugumo priemones informacinių sistemų rizikos valdymui. Reglamentavimo sistema susideda iš dviejų pagrindinių komponentų: Kibernetinio saugumo reikalavimų aprašo, patvirtinto Vyriausybės nutarimu, bei Europos Komisijos įgyvendinamųjų teisės aktų, taikomų specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams.

Įgyvendinimui numatytas diferencijuotas pereinamasis laikotarpis: bendrųjų kibernetinio saugumo reikalavimų įgyvendinimui skiriama 12 mėnesių, o techninių reikalavimų įgyvendinimui- 24 mėnesiai nuo subjekto įtraukimo į Kibernetinio saugumo subjektų registrą momento.

Aktualūs kibernetinio saugumo reikalavimai nuo 2024-11-12 nustatyti  Kibernetinio saugumo reikalavimų apraše.  Jis apibrėžia kompleksinę organizacinių bei techninių priemonių sistemą, apimančią saugumo politikos formavimą, personalo kompetencijų ugdymą, veiklos tęstinumo užtikrinimą, incidentų valdymo procedūras bei trečiųjų šalių rizikos valdymą. Šių reikalavimų įgyvendinimo atsakomybė deleguojama organizacijos vadovui.Juo taip pat patvirtinamas Nacionalinis kibernetinių incidentų valdymo planas, Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika, Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas.

Šis seminaras yra unikali proga vadovams ir specialistams sužinoti kaip užtikrinti efektyvų teisinių rizikų valdymą ir atitiktį naujam reguliavimui ir gauti atsakymus į svarbiausius praktinius klausimus.

TIS 2 reguliuojami sektoriai – energetika, transportas, bankininkystė, sveikatos priežiūra, vandens tiekimas, skaitmeninės infrastruktūra, viešasis administravimas, maisto pramonė, pašto ir kurjerių paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir e-prekyba. TIS 2 žinios taip pat aktualios valstybinių institucijų atstovams, IT infrastruktūros ir paslaugų tiekėjams, auditoriams bei draudimo ekspertams.

• Pažymėtina, kad kiekvienas  juridinis ir fizinis asmuo, vadovaudamasis Kibernetinio saugumo įstatyme nustatytais identifikavimo kriterijais, yra skatinamas pats įsivertinti galimybę tapti kibernetinio saugumo subjektu nelaukdamas Nacionalinio kibernetinio saugumo centro (NKSC) pranešimo.
• NKSC identifikuos  kibernetinio saugumo subjektus ir įtraukia juos į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d.
• Pasitikrinti, ar Jūsų organizacija yra preliminariai įtraukta į į Kibernetinių saugumo subjektų (KSS) registrą galite KSS registro tinklapyje.

Temos