Šiemet Lietuvoje įsigaliojus TIS2 direktyvos (angl. NIS2 Directive) įgyvendinimui skirtam reglamentavimui, organizacijos, įtrauktos į Kibernetinio saugumo subjektų registrą, susiduria su nauju teisiniu ir praktiniu iššūkiu – užtikrinti aukšto lygio kibernetinį atsparumą pagal aiškiai apibrėžtas pareigas. Daugeliui tai – nauja ir sudėtinga atsakomybės sritis, kuri apima ne tik IT saugumą, bet ir strateginius, organizacinius bei teisės aspektus.
Mūsų atitikties ekspertai pateikia pagrindinius žingsnius, kuriuos verta žinoti:
1. Įsivertinkite esamą situaciją ir žinokite, nuo ko pradėti
Pirmasis žingsnis – objektyvus savo organizacijos pasirengimo įvertinimas. TIS2 reikalavimai apima daug sričių, kurių beveik neįmanoma apimti be išorinio vertinimo – nuo rizikų vertinimo ir vidaus politikų iki vadovybės atsakomybės bei incidentų valdymo. Kad būtų lengviau susigaudyti, galima pasinaudoti savitikros priemonėmis – jos padeda greitai identifikuoti potencialias spragas ir prioritetinius darbus.
ECOVIS sukurtas nemokamas TIS2 savitikros įrankį – tai galimybė įsivertinti savo startinę poziciją ir pasiruošti efektyviam veiksmų planui. Išbandykite čia https://tis2.ecovis.lt/
2. Peržiūrėkite vidaus dokumentus ir procedūras
TIS2 įpareigoja turėti aiškią, raštu apibrėžtą vidaus kibernetinio saugumo sistemą: politiką, atsakomybes, procedūras. Dažnai praktikoje pasitaiko, kad dokumentai formaliai egzistuoja, bet neatitinka naujų teisinių reikalavimų arba nėra integruoti į kasdienę veiklą. Tvarkų, kurios realiai „veikia“ ir gali būti pagrįstos vertinimo metu, parengimas reikalauja ne tik gerų šablonų – būtinas ir supratimas, kaip jas pritaikyti specifinėje organizacijos veikloje.
3. Įtraukite vadovybę – jų atsakomybė yra tiesioginė
Vadovai pagal TIS2 yra asmeniškai atsakingi už organizacijos saugumą. Tai reiškia, kad atitiktis negali būti „palikta IT skyriui“. Reikia užtikrinti, kad sprendimų priėmimo grandyje būtų suprantamas kibernetinio saugumo reikšmingumas, rizikos bei pasekmės. Svarbu, kad vadovybė ne tik patvirtintų dokumentus, bet aktyviai dalyvautų priimant sprendimus dėl priemonių pasirinkimo ir įgyvendinimo.
4. Užtikrinkite privalomus darbuotojų mokymus
Įtrauktos organizacijos privalo vykdyti darbuotojų kibernetinio saugumo mokymus pagal patvirtintą tvarką. Jie turi būti ne pavieniai ar formalūs, o sistemingi, aktualūs konkrečiai veiklai ir apimantys tiek techninius, tiek organizacinius aspektus. Parinkti tinkamą mokymo turinį ir metodiką – nemenkas iššūkis, ypač kai organizacijos veikla specifinė ar tarpvalstybinė. (Adomai, čia reikės įdėti mano siųsto straipsnio apie mokymus nuorodą)
5. Paruoškite incidentų valdymo sistemą
Incidentų valdymo planas turi būti ne tik dokumente, bet ir realiai įgyvendinamas. Reikia žinoti, kas kada ir kaip reaguoja į pažeidimus, kaip užtikrinama komunikacija, kaip pranešama institucijoms ir kaip analizuojamos pamokos. Visa tai turi būti ne tik užfiksuota, bet ir ištestuota praktikoje – kitaip vertinimo metu bus sunku pagrįsti pasirengimą.
6. Būkite pasirengę priežiūrai ir auditui
TIS2 reikalavimų priežiūra bus aktyvi ir nuosekli. Vertinimas gali apimti ne tik dokumentų patikrą, bet ir faktinį veiklos audito atlikimą, įrodymų pateikimą. Tai reiškia, kad atitiktis turi būti įgyvendinta ne „popieriuje“, bet realioje kasdienėje veikloje.
Ką svarbu suprasti?
TIS2 direktyva nėra tik IT klausimas. Tai kompleksinis teisinis, organizacinis ir strateginis procesas, reikalaujantis kompetencijų įvairiose srityse. Nors kai kuriuos žingsnius galima atlikti savarankiškai, visapusiškas ir tvarus atitikties užtikrinimas paprastai reikalauja ir išorinių ekspertų įsitraukimo – ne dėl formalumo, o tam, kad būtų išvengta brangiai kainuojančių klaidų ir būtų priimti iš esmės tinkami sprendimai.
Norėdami pradėti aiškiai ir tikslingai – išbandykite mūsų nemokamą savitikros įrankį. Jis padės susidėlioti prioritetus ir suprasti, kur esate dabar. Toliau – visada galima pasitarti dėl tolimesnių žingsnių. Susisiekite su mūsų ekspertais – padėsime aiškiai ir sklandžiai pasirengti atitikti TIS2 direktyvai.
Naujienlaiškio prenumerata
Susisiekti