Ką reikia žinoti apie TIS2? Teisininko įžvalgos

2025 01 07 · 6 minutės

2024-ieji buvo reikšmingi metai kibernetinio saugumo srityje – įsigaliojo ir kai kuriose ES valstybėse jau buvo įgyvendinta NIS2 direktyva, skirta sustiprinti Europos Sąjungos valstybių narių atsparumą kibernetinėms grėsmėms. Lietuviškai TIS2 direktyva yra žinoma kaip Tinklų ir Informacinių Sistemų Saugumo (TIS2) direktyva (toliau – TIS2 direktyva).  

Ši direktyva ne tik nustato griežtesnius saugumo standartus, bet ir įpareigoja organizacijas laikytis naujų atitikties reikalavimų. Ką tai reiškia Lietuvos organizacijoms?  

Į šį ir kitus klausimus atsakė „Sorainen“ tarptautinės advokatų kontoros teisės ekspertas Stasys Drazdauskas. Šiame straipsnyje aptarsime, kaip įmonės supranta direktyvą, kokius iššūkius įveikia ir kaip ruošiasi ilgalaikei atitikties priežiūrai. 

Organizacijų pasirengimas TIS2 direktyvai 

TIS2 direktyva Lietuvoje buvo įgyvendinta š. m. spalio 18 d. įsigaliojus Kibernetinio saugumo įstatymo pakeitimams. Ankstesnė, 2016 m. TIS direktyva, apėmė strategiškai svarbius sektorius, tokius kaip energetika, transportas, finansai, sveikatos priežiūra, viešasis administravimas, medijos ir vandens tiekimas, turinčius didelę įtaką ekonomikai ir visuomenei. TIS2 išplečia šį sąrašą, apimdama dar daugiau sektorių, įskaitant skaitmenines paslaugas, pašto paslaugas, atliekų tvarkymą, kosmoso sektorių, maisto pramonę, gamybą, chemijos pramonę ir mokslinius tyrimus. 

Atsižvelgiant į tai, kad TIS2 direktyva yra taikoma platesniam kibernetinio saugumo subjektų sąrašui įvairiuose sektoriuose, organizacijų supratimo ir pasirengimo lygis gali smarkiai skirtis. 

Aptardamas šiuos skirtumus, S. Drazdauskas pažymi: 

„Nors TIS2 direktyva jau įsigaliojo, daugelis organizacijų vis dar tik pradeda vertinti, kaip šie pokyčiai paveiks jų veiklą. Supratimo lygis smarkiai skiriasi priklausomai nuo įmonės dydžio ir sektoriaus. Įmonės, kurioms anksčiau nebuvo taikomi Kibernetinio saugumo įstatymo reikalavimai, dabar aktyviai aiškinasi, ar TIS2 direktyvos reikalavimai joms taikomi ir kokių esminių pasirengimo žingsnių reikia imtis. Tuo tarpu didesnės ir daugiau resursų turinčios įmonės, pvz., veikiančios kritinės infrastruktūros sektoriuose, jau pradėjo pasirengimo projektus. Jos suvokia, kad direktyvos atitiktis yra ne tik teisinė pareiga, bet ir būtina sąlyga veiklos tęstinumui bei saugumui užtikrinti.“ 

Šie skirtumai atskleidžia, kad TIS2 direktyvos poveikis stipriai priklauso nuo organizacijos dydžio ir jos gebėjimo suprasti bei prisitaikyti prie naujų reikalavimų. Įmonės, kurios delsia imtis veiksmų, rizikuoja susidurti su reikšmingais iššūkiais, galinčiais paveikti jų veiklos tęstinumą ir atitiktį. 

TIS2 direktyvos įgyvendinimo iššūkiai 

TIS2 direktyva įveda griežtesnius kibernetinio saugumo reikalavimus, apimančius rizikos valdymo priemones, technines ir organizacines apsaugos priemones bei incidentų valdymo ir veiklos atkūrimo planus. Pavyzdžiui, organizacijos privalo pranešti apie reikšmingus incidentus, galinčius sutrikdyti jų paslaugų teikimą, pateikdamos „išankstinio įspėjimo“ ataskaitą standartizuotu formatu per 24 valandas. Per 72 valandas nuo pirminio pranešimo turi būti pateikta detalesnė ataskaita, o galutinė incidento analizė – ne vėliau kaip per 30 dienų. 

Nors TIS2 direktyva nustato bendrus standartus, atitikties procesui didelę įtaką turi organizacijos veiklos pobūdis ir naudojami skaitmeniniai sprendimai. Kalbant apie galimus direktyvos reikalavimų įgyvendinimo iššūkius, S. Drazdauskas užsimena: 

„TIS2 reikalavimai yra vienodi visuose sektoriuose veikiančioms įmonėms. Tačiau kaip konkrečiai bus taikomi TIS2 direktyvos reikalavimai labiau priklauso nuo įmonės veiklos specifikos ir naudojamų sistemų. Pavyzdžiui, organizacijos, valdančios gamybos ar energetikos įrenginius ir naudojančios automatizuotas jų valdymo sistemas, susidurs su vienokiais saugumo reikalavimais. O įmonės, dirbančios su dideliais duomenų kiekiais ar valdančios duomenų saugyklas gali susidurti su visiškai kitokiais iššūkiais.“ 

Teisės ekspertas taip pat išskiria viešąjį sektorių: 

„Dažnai susitikimuose ir renginiuose girdime, kad didžiausią iššūkių dalį patirs viešasis sektorius. Konkrečiai, sveikatos apsaugos, švietimo, savivaldos ir valstybės valdymo srityse. Daugelis dar prisimena kibernetinius incidentus savivaldybėse, kurie atskleidė šių sričių pažeidžiamumą. Viešojo sektoriaus organizacijoms teks ne tik skirti reikšmingus resursus, bet ir kruopščiai planuoti bei biudžetuoti veiksmus, kad atitiktų direktyvos reikalavimus.“ 

Nepaisant skirtingų iššūkių, visų sektorių organizacijos turi vienodą tikslą – ne tik įgyvendinti direktyvos reikalavimus, bet ir užtikrinti, kad jų veikla būtų saugi ilgalaikėje perspektyvoje. 

Pereinamasis laikotarpis po TIS2 įsigaliojimo 

Įsigaliojus TIS2 direktyvai, Lietuvoje svarbus vaidmuo atitenka Nacionalinio kibernetinio saugumo centro (NKSC) registrui, kuriame bus identifikuotos organizacijos, laikytinos kibernetinio saugumo subjektais. Šio proceso tikslas – užtikrinti, kad visos įtrauktos įmonės laikytųsi direktyvos reikalavimų. 

„Organizacijos, įtrauktos į NKSC registrą, turės 12 mėnesių pereinamąjį laikotarpį, per kurį jos privalės visiškai įgyvendinti TIS2 direktyvos reikalavimus. Tai leis įmonėms pasiruošti ir atlikti reikalingus pokyčius, užtikrinant, kad būtų įvykdyti visi saugumo standartai. Šis laikotarpis taip pat suteikia galimybę organizacijoms įvertinti esamus saugumo procesus, įgyvendinti naujas technologijas ir parengti darbuotojus, kad būtų užtikrinta atitiktis direktyvos nustatytiems kibernetinio saugumo reikalavimams. Tačiau, nors šis pereinamasis laikotarpis suteikia tam tikrą lankstumą, organizacijos kuo anksčiau turėtų skirti didelį dėmesį tinkamam pasirengimui, kad išvengtų galimų teisinių ir veiklos trukdžių ateityje.“ 

Taip pat S. Drazdauskas akcentuoja: 

„NKSC, siekdamas išvengti perkrovos, organizacijas planuoja į registrą įtraukti etapais. Tai reiškia, kad kai kurios įmonės gali gauti pranešimus anksčiau nei kitos, todėl pasirengimo laikotarpis skirsis. Įsivaizduokite, jei visi keli tūkstančiai subjektų bus įtraukti vienu metu balandžio mėnesį, NKSC bus sunku suvaldyti šį srautą. Tikėtina, kad kai kurios įmonės apie savo įtraukimą sužinos anksčiau.“ 

Šis laiko planavimas yra kritinis, kad būtų išvengta skubos ir chaoso diegiant pokyčius. Organizacijos, kurios laukia registravimo proceso pabaigos, rizikuoja likti nepasiruošusios. 

Tiekimo grandinės rizikos ir niuansai 

TIS2 direktyva pabrėžia ne tik organizacijos vidinių procesų svarbą, bet ir bendradarbiavimą su išoriniais partneriais. Kibernetinis saugumas tampa dvipusiu procesu, kuris reikalauja tiek vidinių, tiek išorinių veiksmų. Kalbėdamas apie kibernetinio saugumo subjekto ir jo tiekimo grandinės rizikas, teisės ekspertas pabrėžia:  

„Jei klientas yra kibernetinio saugumo subjektas, jis turės reikalauti, kad jo tiekėjai atitiktų griežtus saugumo standartus, kad užtikrintų savo duomenų ir sistemų apsaugą. Tai reiškia, kad tiekėjams, kurie dar nepradėjo įgyvendinti TIS2 direktyvos reikalavimų, teks imtis rimtų veiksmų, kad atitiktų šiuos aukštus standartus. Kita vertus, tiekėjai, jau atitinkantys TIS2 reikalavimus, gali pasinaudoti šiuo faktu kaip konkurenciniu pranašumu. Toks atitikimas ne tik padidina jų patikimumą ir pasitikėjimą rinkoje, bet ir suteikia galimybę užsitikrinti ilgalaikius, saugius santykius su klientais, kurie vertina aukštą kibernetinio saugumo lygį.“ 

Taip pat S. Drazdauskas akcentuoja nuolatinės tiekimo grandinės priežiūros svarbą:  

„Organizacijos, įgyvendindamos TIS2 direktyvą, privalės peržiūrėti savo tiekimo grandinės valdymo procesus, kad užtikrintų, jog visi išoriniai tiekėjai ir paslaugų teikėjai atitiktų griežtus kibernetinio saugumo reikalavimus. Tai apims sutarčių su tiekėjais peržiūra, įtvirtinant tiekėjų pareigas ir atsakomybę už saugumo priemonių taikymą.“ 

S. Drazdauskas tęsia sakydamas: 

„Be to, organizacijos turės įgyvendinti aiškias politikas ir procedūras, kurios užtikrins, kad tiekimo grandinės nariai nuolat laikytųsi reikalavimų. Tai bus svarbus žingsnis siekiant apsaugoti organizacijos informacinius išteklius ir užkirsti kelią galimoms grėsmėms, atsirandančioms dėl nesuderintų saugumo praktikų paslaugų teikėjų pusėje.“ 

Tai nėra vienkartinis procesas – kibernetinis saugumas reikalauja nuolatinio stebėjimo, prisitaikymo ir nuolatinio naujų rizikų vertinimo. TIS2 direktyva žymi naują etapą kibernetinio saugumo srityje, įpareigodama organizacijas ne tik laikytis griežtesnių standartų, bet ir permąstyti savo veiklos principus. Atitiktis šiai direktyvai nėra tik formalus reikalavimas – tai investicija į ilgalaikį veiklos tęstinumą bei konkurencinį pranašumą. 

Ačiū už įžvalgas, Stasy!