Kaip daugumai yra žinoma, ES valstybės narės priėmė naują Tinklų ir informacijos saugumo direktyvos (NIS2) versiją, kurios taikymas išplečiamas sektoriams, įvardintiems kaip svarbiais visuomenei. NIS2 iššaukia didelį kibernetinio saugumo įstatymų paketą, kuris reikš, kad virš 20 tūkst. organizacijų ir įmonių Lietuvoje bus taikoma daugybė saugumo reikalavimų. Iki 2024 m. spalio 16 d. jos privalės įgyvendinti naująją direktyvą. Laikrodis tiksi, ir liko mažiau nei metai. Lietuvos vyriausybėje įstatymo projektas dėl įgyvendinimo turi būti pradėtas svarstyti 2024 metų pavasario sesijoje.
Taigi, ką turėtumėm daryti ruošiantis šiai direktyvai? Su kolegomis danais, surinkome geriausius NIS2 įgyvendinimo patarimus, kuriuos sudėjome šiame straipsnyje.
Vienas svarbiausių sėkmingo pasirengimo punktų, kad NIS diegimas būtų ne tik „IT skyriaus reikalas“, bet būtų sprendžiamas aukščiausių vadovų lygmeniu.
Aukščiausi vadovai neturėtų stengtis išvengti atsakomybės, nes NIS2 20 straipsnio formuluotė skamba taip: „valdymo organai patvirtintų kibernetinio saugumo rizikos valdymo priemones, […] prižiūrėtų jo įgyvendinimą ir galėtų būti patraukti atsakomybėn už tai, kad subjektai pažeidžia 21 straipsnį“, todėl atsakomybė negali būti perleista CIO, CISO ar CFO, ir aukščiausi vadovai turėtų imtis iniciatyvos bei remti NIS2 diegimą.
Svarbu, kad vadovybė neištransliuotų blogiausio signalo, kad NIS yra tik „kažkas, ką turime įveikti, kad patenkintume ES biurokratų reikalavimus“, o kad tai būtų proga susitelkti į svarbų darbą, kuris potencialiai gali padėti išlikti rinkoje. Vadovybė turėtų skirti pakankamai lėšų, išteklių ir laiko projektui ir pranešti darbuotojams apie NIS2 svarbą. Vadovybė turi užtikrinti, kad kam nors įmonėje būtų suteikti ištekliai ir galia įgyvendinti atitinkamas kibernetinio saugumo technines, veiklos ir organizacines priemones. Vadovybė turi patvirtinti priemones kibernetiniam saugumui valdyti ir užtikrinti, kad būtų vykdoma dokumentuota saugumo valdymo priežiūra.
Šiems darbams atlikti aukščiausiems vadovams yra būtina reikiama kompetencija, todėl Europos komisija NIS2 direktyvoje nustatė reikalavimą 20 straipsnyje „valdymo organų nariai turėtų dalyvauti mokymuose, […] kad jie įgytų pakankamai žinių ir įgūdžių, kad galėtų nustatyti riziką ir įvertinti kibernetinio saugumo rizikos valdymo praktiką bei jos poveikį subjekto teikiamoms paslaugoms.“ Tiesa, dalyvavimo mokymuose užtikrinimo pareiga yra nustatyta Šalies priežiūros institucijai, kuri turės būti įvardinta Lietuvai patvirtinus įstatymo projektą.
Nelaukite žadamų mokymų ir neatidėliokite projekto, kai reikalavimai ir laiko horizontas jau nustatyti teisės aktuose, realybėje atidėjimas reiškia tik didesnę sąskaitą, kuomet rinkoje saugumo ekspertų paklausa keliais kartais viršys pasiūlą. Nelaukite Lietuvos teisės aktų įsigaliojimo ir pradėkite dabar nuo 10 minimalių reikalavimų, pateiktų direktyvos 21 straipsnyje. NIS2 direktyva lietuviškai čia. Pradėję dabar, jūs jau galite imtis esminių reikalavimų įgyvendinimo ir taip sumažinti valdžios institucijų skiriamų baudų ir sankcijų riziką.
Vienas iš svarbiausių siektinų rezultatų įgyvendinant NIS2, bus kultūriniai pokyčiai. Žmogaus klaida yra dažniausias saugumo pažeidimų šaltinis, tad gali tekti investuoti keičiant įmonės kultūrą. Keliamas naujas tikslas, kad kibernetiniam saugumui būtų teikiama pirmenybė visoje organizacijoje. Tai gali apimti atvirumo, pasitikėjimo ir bendradarbiavimo skatinimą, taip pat saugos kultūros kūrimą, kai darbuotojai jaučiasi saugūs pranešti apie duomenų nutekėjimo ir sukčiavimo atakas, o ne priešingai – jas nuslėpti, kad išsaugotų savo darbo vietą ar reputaciją. Todėl švietimo ir informuotumo priemonės neturėtų aplenkti jūsų įmonės. Turite investuoti į švietimo ir informavimo apie NIS2 programas, kad darbuotojai suprastų savo vaidmenį ir atsakomybę, susijusią su kibernetiniu saugumu. Tai apima mokymus, kaip nustatyti grėsmę, pranešti apie incidentus ir tinkamai tvarkyti duomenis. Sukuriamas naujas visuotinis įgūdis: visų įmonės darbuotojų dėmesio sutelkimas į tai, kaip (ne)saugumas gali paveikti įmonės paslaugų gavėjus.
Nesistenkite suplanuoti viso NIS2 atitikties įgyvendinimo projekto iki detalių: ambicijos suplanuoti projektą iki smulkmenų nėra realistiškos. NIS2 direktyvos 25 straipsnyje, nereikalaudama taikyti kokios nors konkrečios rūšies technologijos, o vykdant NIS2 atitikties reikalavimų įgyvendinimą, siūloma sutelkti dėmesį į Europos ir tarptautinius standartus, kurie būtų svarbūs tinklų ir informacinių sistemų saugumui. Mes rekomenduojame remtis geriausios praktikos standartais ISO27001/2 ir CIS18 kibernetinio saugumo kontrolės valdikliais. Įstaigų vadovai jau dabar turėtų reikalauti atsakingų asmenų užtikrinti įmonės atitiktį minėtiems geriausios praktikos standartams. Jei tai sunkiai pasiekiamas tikslas, pripažinkite sau, kad vargu ar galėsite išpirkti visą techninę ir organizacinę „skolą“ per mažiau, nei likusius vienerius metus. Reikiamų atlikti pakeitimų prioretizavimas būtų teisingas kelias, tačiau tam būtina nusistatyti jūsų atitikties lygį NIS2 direktyvai. Tinkamiausias būdas pradėti nuo NIS2 atitikties audito.
Danijos įmonė „I-Trust“ kartu su „Itrusta“ yra paruošę NIS2 audito ir direktyvos atitikties analizės įrankį, kuris parodo, kiek jūsų dabartinis saugos profilis atitinka naujus NIS2 reikalavimus. Sudarėme NIS2 saugos reikalavimų susiejimą su ISO27001/2, CIS18, BDAR, kuris padeda suprasti jūsų atitikties situaciją ir nelaukiant papildomos informacijos iš Lietuvos valdžios institucijų, leidžia sudėlioti prioritetus ir imtis veiksmų atitikties lygio gerinimui. Jei norite sužinoti daugiau apie NIS2 atitikties auditą, kreipkitės svetinėje nurodytais kontaktais.
