TIS2 Lietuvoje: ką turi žinoti kiekviena organizacija?

2025 01 02 · 7 minutės

2024 m. Europos organizacijos skirs daugiau dėmesio kibernetiniam saugumui, nes TIS2 (angl. Network and Information Security Directive (NIS2)) direktyva tampa teisiniu reikalavimu. Kadangi nuo 2024 m. paskutinio ketvirčio jos laikytis bus privaloma, pasiruošti reikia jau dabar. Šis vadovas padės geriau suprasti direktyvos turinį ir pasiruošimo principus. 

Šiame straipsnyje apžvelgsime pagrindinius TIS2 direktyvos aspektus: jos svarbą, atitikties reikalavimus, paveiktus sektorius, subjektus bei veiksmus, kuriuos turėtų atlikti kiekviena organizacija. 

Kas yra TIS2 direktyva? 

TIS2 (angl. NIS2) yra Europos Sąjungos teisės aktų sistema, skirta sustiprinti kibernetinio saugumo priemones visose ES priklausančiose valstybėse. Ji tapo teisės aktu 2023 m. sausio 16 d. Visos ES narės turi perkelti ją į savo nacionalinę teisę iki 2024 m. spalio 17 d. 

Kodėl buvo priimta TIS2 direktyva? 

Pirmoji TIS (angl. NIS) direktyva buvo priimta 2016 m., siekiant nustatyti vienodą kibernetinio saugumo pasirengimo lygį visose ES šalyse. Tačiau paaiškėjo, kad jos aprėptis ir veiksmingumas buvo riboti. Todėl 2020 m. buvo pasiūlyta TIS2 (angl. NIS2), kuri tapo teisės aktu 2023 m. ir smarkiai išplėtė pirmtakės reikalavimus. 

TIS2 siekia padidinti tinklų ir informacinių sistemų saugumą, įpareigodama svarbių paslaugų ir kritinės infrastruktūros operatorius įgyvendinti saugumo priemones ir pranešti apie incidentus. Palyginti su pirmtaku, TIS2: 

  • Apima daugiau sektorių ir organizacijų visoje ES; 
  • Labiau pabrėžia tiekimo grandinės saugumą; 
  • Nustato supaprastintas pranešimų teikimo pareigas; 
  • Numato griežčiau taikomas sankcijas. 

Kaip pasiruošti TIS2 direktyvos įsigaliojimui? 

Artėjant direktyvos įgyvendinimo terminui, organizacijos turėtų atlikti šiuos veiksmus: 

  • Patikrinti, ar jų veikla patenka į TIS2 taikymo sritį; 
  • Peržiūrėti ir atnaujinti saugumo politiką ir strategijas; 
  • Įgyvendinti naujas saugumo priemones, ypač tiekimo grandinėje, bei nustatyti incidentų pranešimo tvarkas; 
  • Bendradarbiauti su IT partneriais, kurie gali padėti tinkamai pasiruošti TIS2 atitikčiai. 

Nežinote, nuo ko pradėti? Kreipkitės į mūsų kibernetinio saugumo konsultantus

Ką apima TIS2 direktyva? 

Siekdama sustiprinti ES gebėjimą spręsti esamas ir būsimas kibernetines grėsmes, TIS 2 direktyva įveda naujas taisykles organizacijoms keliuose svarbiuose srityse. Pagrindinės reikalavimų sritys apima: 

  • Rizikos valdymas – incidentų valdymas, tiekimo grandinės saugumas, tinklų apsauga, prieigos kontrolė ir šifravimas; 
  • Vadovybės atsakomybė – vadovai turi tvirtinti ir prižiūrėti kibernetinio saugumo priemones, taip pat dalyvauti mokymuose; 
  • Pranešimų teikimas – būtini subjektai turi būti įsivardinę procedūras, leidžiančias greitai pranešti apie reikšmingus incidentus; 
  • Veiklos tęstinumas –  įmonė turi turėti planus, kaip veikti kibernetinės krizės atveju (atkūrimo sistemos, krizių valdymas ir kt.). 

Reikia patarimo dėl atitikties TIS2 direktyvai? Susisiekite su mūsų IT konsultantais jau šiandien. 

TIS2 direktyva Lietuvoje 

Lietuvoje direktyvą įgyvendina Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos. Organizacijos, priskirtos „esminių“ ar „svarbių“ subjektų kategorijoms, turi laikytis šio centro nustatytų atitikties reikalavimų. 

Kokiems sektoriams taikoma TIS2 direktyva? 

NIS direktyva iš pradžių apėmė 7 pagrindinius sektorius, kurie yra itin svarbūs ES stabilumui. TIS2 direktyva, įsigaliojusi 2023 m., išplėtė taikymo sritį ir papildė ją dar 8 sektoriais. 

7 „esminės“ kategorijos sektoriai: 

  • Energetika – šiam sektoriui priskiriamos organizacijos valdo kritinę infrastruktūrą ir yra ypač pažeidžiamos kibernetinėms grėsmėms, todėl joms taikomi specialūs saugumo reikalavimai;
  • Sveikatos apsauga – tai viešosios ir privačios sveikatos priežiūros įstaigos, medicinos įrangos gamintojai bei sveikatos draudimo paslaugų teikėjai;
  • Transportas – viešasis transportas miestuose, tarpmiestiniai keliai, oro uostai ir oro linijos;
  • Finansai – bankai, investicinės bendrovės ir draudimo įmonės, kurios yra itin svarbios ES ekonomikai;
  • Vandens tiekimas – šio sektoriaus sutrikimai gali turėti rimtų pasekmių visuomenei, todėl jam taikomi specialūs saugumo standartai;
  • Skaitmeninė infrastruktūra – telekomunikacijų paslaugos, domenų vardų sistemos (DNS), aukščiausio lygio domenai (TLD), duomenų centrai, pasitikėjimo paslaugos ir debesijos paslaugos;
  • Viešasis administravimas – valstybės institucijos, teikiančios svarbias viešąsias paslaugas, įskaitant socialines ir saugumo paslaugas.

8 papildomi „svarbios“ kategorijos sektoriai: 

  • Skaitmeniniai paslaugų teikėjai – paieškos sistemos, internetinės prekyvietės ir socialiniai tinklai, kurie yra svarbūs saugiam veikimui internete;
  • Pašto paslaugos – dėl didėjančio skaitmenizavimo šis sektorius tampa vis pažeidžiamesnis kibernetinėms grėsmėms;
  • Atliekų tvarkymas – būtina apsaugoti šio sektoriaus veiklą nuo kibernetinių incidentų, nes jis užtikrina kritines funkcijas;
  • Kosmoso sektorius – saugumas reikalingas tam, kad būtų apsaugoti jautrūs duomenys ir infrastruktūra;
  • Maisto sektorius – skaitmenizuojant tiekimo grandines, šis sektorius tampa vis labiau pažeidžiamas, todėl svarbu taikyti apsaugos priemones;
  • Gamyba – gamybos įmonėms taikomi specifiniai saugumo reikalavimai dėl padidėjusių rizikų;
  • Chemijos pramonė – būtina įgyvendinti apsaugos priemones nuo kibernetinių grėsmių dėl sektoriaus svarbos ir galimo poveikio;
  • Moksliniai tyrimai – saugumo priemonės padeda apsaugoti vertingus tyrimų duomenis bei infrastruktūrą.

Ne ES įsikūrusios organizacijos 

Pagal 26 straipsnį (Jurisdikcija ir teritorinis taikymas), jei įmonė, įsikūrusi už ES ribų, teikia paslaugas Europos Sąjungoje, tačiau neturi fizinio buvimo nei vienoje iš ES valstybių narių, ji privalo paskirti atstovą bent vienoje ES priklausančioje valstybėje, kurioje teikiamos paslaugos. 

Tokiu atveju, organizacija patenka į tos valstybės narės jurisdikciją, kurioje įsikūręs paskirtasis atstovas. Jei atstovas nepaskirtas, bet kuri valstybė, kurioje paslaugos yra teikiamos, gali taikyti teisines priemones dėl TIS2 pažeidimo. 

Ką bendro turi TIS2 ir DORA reguliacijos? 

TIS2 direktyvą ir Skaitmeninio atsparumo aktą (DORA) sieja bendras tikslas – sustiprinti ES skaitmeninį saugumą. Tačiau jų taikymo sritys skiriasi: 

  • TIS2 siekia suvienodinti kibernetinio saugumo reikalavimus visiems visuomenei svarbiems sektoriams, pabrėždama tiekimo grandinės apsaugą;
  • DORA taikoma tik finansų sektoriui ir orientuota į skaitmeninių sistemų veiklos tęstinumo stiprinimą.

Skiriasi ir atitikties reikalavimai: 

  • TIS2 reikalauja saugumo audito kas 2 metus;
  • DORA taikomi griežtesni reikalavimai: grėsmių pagrindu grįsti testai kas 3 metus ir kasmetinės atsparumo testavimo programos.

Abi direktyvos siekia užtikrinti ES skaitmeninės aplinkos saugumą.

TIS2 įgyvendinimo terminai 

Direktyva numato keletą svarbių datų ir etapų: 

  • 2024 m. spalio 17 d. – valstybės narės turi priimti ir paskelbti teisės aktus dėl TIS2 įgyvendinimo; Europos Komisija priima įgyvendinimo teisės aktus su techniniais reikalavimais;
  • 2024 m. spalio 18 d. – prasideda direktyvos taikymas; senoji NIS direktyva (2016/1148) nustoja galioti;
  • 2024 m. liepos 17 d. ir kas 18 mėn. – EU-CyCLONe teikia ataskaitas Europos Parlamentui ir Tarybai;
  • 2025 m. sausio 17 d. – Bendradarbiavimo grupė nustato tarpusavio vertinimo metodiką;
  • 2025 m. balandžio 17 d. – valstybės pateikia „esminių“ ar „svarbių“ subjektų sąrašus (įskaitant domenų registratorius);
  • 2025 m. balandžio 17 d. ir kas 2 metus – nacionalinės institucijos informuoja Europos Komisiją ir Bendradarbiavimo grupę apie įtrauktus subjektus;
  • 2027 m. spalio 17 d. ir kas 3 metus – Komisija vertina direktyvos veikimą ir teikia ataskaitas Parlamentui ir Tarybai.

TIS2 2025 m.: kas organizacijų laukia šiais metais? 

Nuo 2025 m. TIS2 direktyva jau galioja pilnai. Lietuvos organizacijos turėjo: 

  • Nustatyti, ar patenka į „esminių“ ar „svarbių“ subjektų kategorijas;
  • Įgyvendinti būtinus kibernetinio saugumo veiksmus;
  • Užtikrinti vadovybės informuotumą ir atsakomybę;
  • Pasirengti incidentų valdymui ir tiekimo grandinės apsaugai.

Nacionalinės institucijos jau pradėjo priežiūrą ir auditą. Pavėlavusioms organizacijoms 2025 m. yra paskutinė proga atsigriebti. 

Kokios bausmės už TIS2 nesilaikymą? 

Direktyvoje numatyti trijų lygių sankcijų mechanizmai: 

Nepiniginės sankcijos 

Įsigaliojus TIS 2 direktyvai, nacionalinės priežiūros institucijos gali taikyti nepinigines priemones. Tai apima: 

  • Įpareigojimų laikytis reikalavimų pateikimą;
  • Privalomų nurodymų teikimą;
  • Nurodymus atlikti saugumo auditą;
  • Grėsmių pranešimų siuntimą organizacijų klientams.

Administracinės baudos 

„Esminėms“ organizacijoms – tai viešojo ir privataus sektoriaus įmonėms, veikiančioms tokiuose sektoriuose kaip transportas, finansai, energetika, vandens tiekimas, kosmosas, sveikata, viešasis administravimas ir skaitmeninė infrastruktūra – priežiūros institucijos gali skirti ne mažesnę kaip 10 000 000 € arba 2 % visų metinių pasaulinių pajamų dydžio baudą (atsižvelgiant į tai, kuri suma didesnė). 

„Svarbioms“ organizacijoms – tai įmonėms, veikiančioms maisto, skaitmeninių paslaugų, chemijos, pašto, atliekų tvarkymo, mokslinių tyrimų bei gamybos srityse – gali būti skiriama ne mažesnė kaip 7 000 000 € arba 1,4 % visų metinių pasaulinių pajamų bauda (atsižvelgiant į tai, kuri suma didesnė). 

Baudžiamoji atsakomybė 

Siekdama sumažinti IT padalinių naštą ir aiškiau apibrėžti atsakomybę už kibernetinį saugumą, NIS 2 direktyva numato baudžiamąsias sankcijas, kurios daro aukščiausiąją vadovybę tiesiogiai atsakingą už rimtus saugumo pažeidimus. 

Ypač tais atvejais, kai po kibernetinio incidento įrodoma vadovybės aplaidumo kaltė, direktyva suteikia valstybėms narėms teisę asmeniškai patraukti organizacijos vadovus atsakomybėn. Tai gali apimti: 

  • Pažeidimų paviešinimą;
  • Oficialių pareiškimų dėl atsakingų asmenų ir pažeidimų pobūdžio skelbimą;
  • „Esminėms“ organizacijoms – netgi laikino vadovavimo pareigų uždraudimo galimybę už pasikartojančius pažeidimus.

Šios priemonės užtikrina, kad aukščiausio lygio vadovai būtų atsakingi už organizacijos kibernetinį saugumą ir padeda užkirsti kelią aplaidumui. 

Reikia pagalbos laikantis TIS2? Susisiekite ir mes padėsime pasiruošti. 

DUK

Kam taikoma TIS2 direktyva?

Viešajam ir privačiam sektoriui, kuris priskiriamas „esminiams“ arba „svarbiems“ subjektams.

Kokie pagrindiniai TIS2 reikalavimai?

Rizikų valdymas, incidentų pranešimas, verslo tęstinumas, vadovybės atsakomybė.

Kada įsigalioja TIS2 direktyva?

2024-10-18.

Kaip sužinoti, ar organizacija patenka į TIS2 subjektų sąrašą?

Peržiūrėti NKSC arba kreiptis į konsultantus.

Ar mažos įmonės įtrauktos?

Paprastai ne, išskyrus atvejus, kai jos strategiškai svarbios.

Ar būtina paskirti atstovą Lietuvoje (ne ES įmonėms)?

Taip.

Aptarkime naujas galimybes jums

Norite pasikonsultuoti ar turite papildomų klausimų? Susisiekite jums patogiu būdu jau šiandien.

Rezervuoti laiką

+370 5 2 780 400
info@ba.lt

     privatumo politika

    Naujausi įrašai