Tinklo ir informacinių sistemų direktyva TIS2 (NIS2)
2022 m. Europos Parlamento ir Tarybos teisės aktas (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti.
Tikslas
Visos ES valstybės privalo sukurti saugumo sistemą, kuri padėtų padidinti kibernetinį atsparumą ir suvaldyti kibernetinių incidentų sukeliamą žalą sektoriuose itin svarbiems socialinei ir ekonominei gerovei.
Įgyvendinimas
Kiekvienos ES valstybės narės nacionalinės institucijos privalėjo TIS2 direktyvą perkelti į savo
nacionalinę teisę iki 2024 m. spalio 17 d., tam pasirinkdamos įstatymą ar kitą visiems privalomą teisės aktą.
Kibernetinio saugumo reikalavimų aprašas (KSRA) nustato organizacinius ir techninius reikalavimus kibernetinio saugumo subjektams, siekiant įgyvendinti TIS2 direktyvą.
Kibernetinio saugumo reikalavimų aprašas
Reikalavimai
Kibernetinio saugumo įstatyme nustatytų pavojingų pažeidimų grupei priskiriamas informacijos apie didelį kibernetinį incidentą neteikimas.
1. Kibernetinio saugumo rizikos valdymo priemonės
Kibernetinio saugumo subjektai turi įsidiegti atitinkamą rizikos ir informacijos saugumo valdymo sistemą, kad būtų nustatyta aiški atsakomybė ir organizacijoje vyktų šie pagrindiniai procesai:
- tinklų ir informacinių sistemų saugumo politika;
- kibernetinio saugumo rizikos analizė;
- kibernetinių incidentų valdymas;
- veiklos tęstinumo užtikrinimas;
- tiekimo grandinės saugumo užtikrinimas;
- tinklų ir informacinių sistemų įsigijimo, plėtojimo procedūros ir priežiūros saugumo užtikrinimas, įskaitant spragų valdymą ir atskleidimą;
- kibernetinio saugumo reikalavimų priežiūra ir veiksmingumo vertinimas;
- kibernetinės higienos praktika ir kibernetinio saugumo mokymai;
- kriptografijos naudojimo politika ir procedūros;
- žmogiškųjų išteklių saugumo užtikrinimas, prieigos politika ir turto valdymas;
- prieigos valdymas ir kelių veiksnių tapatumo nustatymas.
2. Pranešimai apie kibernetinius incidentus
Esminiai ir svarbūs subjektams nustatyta pareiga pranešti ne tik apie didelį kibernetinį incidentą, bet ir apie kitus didelio kibernetinio incidento kriterijų neatitinkančius kibernetinius incidentus, darančius poveikį subjektų veiklai ir (ar) teikiamoms paslaugoms. Pagal Kibernetinio saugumo įstatymo 18 straipsnio 2 dalį incidentas laikomas dideliu jeigu:
- subjektas patyrė arba gali patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių;
- incidentas paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą.
Informavimas įvykus dideliam kibernetiniam incidentui:
A) ANKSTYVĄJĮ PERSPĖJIMĄ subjektai pateikia nedelsdami per 24 valandas pateikia nuo to momento, kai sužino apie didelį kibernetinį incidentą.
- Turėtų būti nurodyta, ar įtariama, kad didelį incidentą sukėlė neteisėti arba piktavališki veiksmai, ir ar tikėtina, kad jis turės tarpvalstybinį poveikį.
B) PRANEŠIMĄ APIE KIBERNETINĮ INCIDENTĄ subjektai pateikia nedelsdami, bet ne vėliau kaip per 72 valandas nuo sužinojimo momento apie didelį kibernetinį incidentą.
- Atnaujinama ankstyvuoju perspėjimu pateikta informacija.
- Nurodomas incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas.
- Nurodomi įsilaužimo įrodymai, jeigu tokių yra.
C) GALUTINĘ ATASKAITĄ subjektai pateikia ne vėliau kaip per vieną mėnesį nuo pranešimo apie incidentą pateikimo NKSC dienos.
- Išsamus kibernetinio incidento, įskaitant jo sunkumą ir poveikį, aprašymas.
- Grėsmės arba pagrindinės priežasties, dėl kurios kibernetinis incidentas galėjo įvykti, rūšis.
- Taikomos ir įgyvendinamos kibernetinio incidento poveikio mažinimo priemonės.
- Tarpvalstybinis kibernetinio incidento poveikis, jeigu toks buvo.
3. Kibernetinio saugumo kultūros diegimas organizacijoje
Kibernetinio saugumo kultūros stiprinimas organizacijose yra vienas iš Kibernetinio saugumo įstatyme įtvirtintų kibernetinio saugumo reikalavimų. Organizacijose turės būti diegiama ir palaikoma kibernetinės higienos praktika ir vykti reguliarūs kibernetinio saugumo mokymai. Tokiu būdu į organizacijos kibernetinio saugumo užtikrinimą bus įtraukiami visi darbuotojai, o tai padės palaikyti aukštą darbuotojų budrumo ir atitikties įstatymo reikalavimams lygį. Kibernetinio saugumo subjekto valdymo organų nariai, vadovas ir jo įgaliotas asmuo privalo užtikrinti kibernetinio saugumo subjekto darbuotojų nuolatinį švietimą kibernetinio saugumo srityje. Pagal Kibernetinio saugumo įstatymą ir patys kibernetinio saugumo subjekto valdymo organų nariai, vadovas ir jo įgaliotas asmuo privalo ne rečiau kaip kartą per 2 metus NKSC vadovo nustatyta tvarka išklausyti kibernetinio saugumo mokymus.
4. Tiekimo grandinės saugumas
Perduoti dalį organizacijos vykdomų funkcijų trečiosioms šalims yra įprasta praktika daugelyje organizacijų. Deja, trečiųjų šalių paslaugų teikėjai gali tapti kibernetinių atakų taikiniais, siekiant sutrikdyti jų pačių arba per juos pasiekiamų kibernetinio saugumo subjektų veiklą. Tiekimo grandinėse atsirandančios spragos šiuo metu kelia dideles grėsmes, todėl vienas iš Kibernetinio saugumo įstatyme įtvirtintų kibernetinio saugumo reikalavimų apima tiekimo grandinės saugumo užtikrinimą, įskaitant aspektus, susijusius su kiekvieno kibernetinio saugumo subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais. Kibernetinio saugumo subjektai, vykdydami įstatymo reikalavimus, privalės kelti saugumo reikalavimus tiekimo grandinės tiekėjams ar rangovams, pavyzdžiui, turėti kibernetinių incidentų valdymo planus, atitinkamus saugumo sertifikatus, būti įsipareigojus bendradarbiauti su kibernetinio saugumo subjektu įvykus kibernetiniam incidentui ir pan. Tokiu būdu tiekimo grandinėje dalyvaujantis tiekėjas ar rangovas, norėdamas teikti paslaugas kibernetinio saugumo subjektui, taip pat turės įgyvendinti atitinkamus kibernetinio saugumo reikalavimus.
Ką svarbiausia reikia žinoti apie atnaujintą Kibernetinio saugumo įstatymą:
