Kas yra NIS2 direktyva ir kam ji taikoma Lietuvoje?

NIS2 (angl. „Network and Information Security Directive 2") — tai Europos Sąjungos direktyva, kuri smarkiai išplečia kibernetinio saugumo reikalavimus ir įpareigojimus organizacijoms. Lietuvoje ji perkelta į nacionalinę teisę ir apima gerokai daugiau įmonių nei ankstesnė NIS direktyva. Jei jūsų organizacija dirba energetikos, transporto, sveikatos, skaitmeninių paslaugų, gamybos, viešojo administravimo ar kitame svarbiame sektoriuje, tikėtina, kad NIS2 jums taikoma.

Kam taikoma NIS2 Lietuvoje?

NIS2 skirsto subjektus į „esminius" (essential) ir „svarbius" (important). Bendra taisyklė: direktyva taikoma vidutinėms ir didelėms organizacijoms apibrėžtuose sektoriuose — paprastai nuo 50 darbuotojų arba 10 mln. EUR metinės apyvartos. Tačiau kai kuriems subjektams (pvz., viešojo administravimo įstaigoms ar kritinės infrastruktūros operatoriams) ji gali būti taikoma nepriklausomai nuo dydžio.

• checkEnergetika, transportas, bankininkystė ir finansų rinkų infrastruktūra
• checkSveikatos sektorius, geriamasis ir nuotekų vanduo
• checkSkaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas
• checkPašto ir kurjerių paslaugos, atliekų tvarkymas, maisto gamyba ir platinimas
• checkCheminių medžiagų gamyba, gamybos pramonė, skaitmeninių paslaugų teikėjai

Kokie pagrindiniai NIS2 reikalavimai?

NIS2 reikalauja, kad organizacijos taikytų rizikos valdymo priemones ir įrodytų jų veikimą. Tarp svarbiausių įpareigojimų:

• checkKibernetinio saugumo rizikos valdymo politika ir priemonės
• checkIncidentų valdymas ir privalomas pranešimas apie reikšmingus incidentus per nustatytus terminus
• checkTiekimo grandinės saugumas ir tiekėjų vertinimas
• checkDarbuotojų kibernetinio saugumo higiena ir reguliarūs mokymai
• checkVadovybės atsakomybė — vadovai privalo prižiūrėti ir gali būti asmeniškai atsakingi

Kodėl darbuotojų mokymai yra NIS2 šerdis

Didžioji dalis sėkmingų atakų prasideda nuo žmogaus — paspausto phishing laiško ar atskleisto slaptažodžio. Todėl NIS2 aiškiai įvardija kibernetinę higieną ir darbuotojų mokymus kaip privalomą priemonę. Praktiškai tai reiškia ne vienkartinę paskaitą, o nuolatinį ciklą: mokymai, žinių patikrinimas ir realios situacijos imituojančios phishing simuliacijos.

NIS2 nereikalauja konkrečios programinės įrangos — ji reikalauja įrodomo proceso. Reguliarios phishing simuliacijos ir mokymų ataskaitos yra paprasčiausias būdas tą procesą dokumentuoti.

Nuo ko pradėti pasiruošimą?

Pasiruošimą NIS2 verta pradėti nuo realios būklės įvertinimo, o ne nuo dokumentų. Rekomenduojama seka:

• checkĮvertinkite, ar NIS2 taikoma jūsų organizacijai (sektorius + dydis)
• checkAtlikite rizikos vertinimą ir nustatykite spragas
• checkPaleiskite pirmą phishing simuliaciją, kad pamatytumėte realią darbuotojų reakciją
• checkPriskirkite mokymus pagal rezultatus ir nustatykite reguliarų ritmą
• checkKaupkite ataskaitas — jos taps jūsų atitikties įrodymu audito metu

Opsinel automatizuoja būtent šį ciklą: paleidžia phishing simuliacijas, automatiškai priskiria mokymus paspaudusiems darbuotojams ir kaupia vadovybei bei auditui paruoštas ataskaitas. Taip NIS2 reikalaujamas „įrodomas procesas" veikia fone, be rankinio darbo.