TIS2 direktyva
Kas tai?
TIS2 direktyva (tinklų ir informacinių sistemų saugumo direktyva (angl. NIS2 – Network and Information Security Directive)), yra Europos Sąjungos masto kibernetinio saugumo teisės aktas, kuriame numatytos teisinės priemonės bendram kibernetinio saugumo lygiui Europos Sąjungoje didinti.
Direktyvos tikslas: užtikrinti aukštą bendrą kibernetinio saugumo lygį bei pagerinti gebėjimus pasirengti ir reaguoti į kibernetinius incidentus tose viešo ir privataus sektoriaus organizacijose, kurios pateks į būtinų arba svarbių veiklų sąrašą.
Su TIS2 susiję teisės aktai Lietuvoje privalo būti parengti iki 2024 metų spalio 17 d., o jų įsigaliojimas turėtų vykti jau kitą dieną – spalio 18 d.
Sektoriai ir veiksmai
Kai ankstesnė TIS direktyva (TIS1) buvo aktuali tik apie 400 Lietuvos įmonių, išplėtus kibernetinio saugumo taisyklių taikymo sritį, valstybės institucijų duomenimis, Lietuvoje TIS2 reguliavimo laikytis turinčių įmonių skaičius gali siekti net iki 20000.
Tai būtino ir svarbaus sektoriaus, kaip energetika, finansai, transportas, sveikatos priežiūra ir kitos įmonės.
Būtinasis sektorius:
Svarbusis sektorius:
Būtino sektoriaus įmonėms ir organizacijoms baudos gali siekti 10 000 000 Eur arba 2% metinių praėjusių metų pajamų (parenkama didesnė piniginė reikšmė).
Svarbaus sektoriaus įmonėms ir organizacijoms baudos gali siekti 7 000 000 Eur arba 1,4% metinių praėjusių metų pajamų (parenkama didesnė piniginė reikšmė).
Įsivertinti ar TIS2 taikomas ir kokia apimtimi organizacijai 
Atlikti kibernetinio saugumo rizikų analizę ir trūkumų TIS2 reikalavimams vertinimą 
Pasiruošti organizacines priemones (parengti/atnaujinti kibernetinio saugumo politikas, procedūras) 
Įsidiegti technines priemones, didinančias kibernetinį saugumą | TIS2 reikalavimai | Užtikrinimo priemonės |
| Rizikos analizės ir informacinių sistemų saugumo politika | Rizikos vertinimo atlikimas (įvertinimas kaip atliekamas rizikos vertinimas organizacijoje, kokia yra IS politika, pranešimų apie incidentus reglamentuota tvarka, ar atnaujinta pagal naujausius teisės aktus ir kt. dokumentacijos aktualumas) |
| Incidentų valdymas | Įvertinimas kaip reglamentuojamas incidentų valdymas organizacijoje, naudojamų priemonių analizė + saugumo užtikrinimo priemonių plano parengiamas / diegimas (XDR, AV ir kt.) |
| Veiklos tęstinumas (Atsarginių kopijų valdymo politika) |
Veiklos tęstinumo išbandymo pratybų atlikimas. Atsarginių kopijų organizacijoje valdymo įvertinimas + atsarginių kopijų sprendimų parinkimas / diegimas (vidinės/išorinės) |
| Tinklų saugumo valdymo politika Informacinių sistemų įsigijimo, plėtojimo ir priežiūros valdymo politika Technologinio pažeidžiamumo valdymo politika |
Technologinio pažeidžiamumo vertinimo atlikimas, naudojamos įrangos inventorizacija, saugumo priemonių analizė + tinkamų priemonių ir sprendimų diegimas (centralizuotas įrenginių valdymas, pažangus saugumo sprendimas, grėsmių ir įvykių analizavimas ir registravimas su EDR ar XDR įrankiais/ Patch Management / RMM, Azure ID, MFA ir kt.) |
|
Politika ir procedūros, skirtos kibernetinio saugumo rizikos valdymo priemonių veiksmingumui įvertinti |
Rizikos valdymo priemonių užtikrinimo įvertinimas (procedūros ir politikos) |
|
Pagrindinė kibernetinės higienos praktika |
Kibernetinio saugumo mokymai visiems darbuotojams + simuliacinė ataka |
| Kriptografinių priemonių naudojimo ir kriptografinių raktų valdymo politika |
Naudojamų priemonių įvertinimas, reikiamų sprendimų diegimas (informacijos ir kietojo disko šifravimas, mobiliųjų įrenginių valdymas, šifruotų raktų saugojimas) |
|
Žmogiškųjų išteklių valdymo politika Prieigos valdymo politika Turto valdymo politika Fizinio ir aplinkos saugumo valdymo politika |
Naudojamų priemonių įvertinimas, reikiamų sprendimų diegimas (RMM, AD, MS365 ir kt. resursų valdymas) |
|
Prieigos valdymo politika Informacijos klasifikavimo ir valdymo politika Saugaus informacijos perdavimo politika |
Naudojamų priemonių įvertinimas, reikiamų sprendimų diegimas (2FA ir kt.) |
Sprendimą ruošia ir diegia
Deividas Garbauskas
GoIT serviso grupės vadovas, saugumo sprendimų ekspertas
Aurimas Šidlauskas
Kibernetinio saugumo grupės vadovas, sertifikuotas informacijos saugumo rizikos vertintojas (CRISC) ir ISO 27001 diegėjas