Kibernetinio saugumo ekspertai rekomenduoja įmonėms dar kartą peržiūrėti savo pašto dėžutes ir vidinius procesus. Nacionalinis kibernetinio saugumo centras (NKSC) į Kibernetinio saugumo subjektų registrą dar pernai įtraukė apie 1,5 tūkst. organizacijų, kurioms aktualūs direktyvos dėl tinklų ir informacinių sistemų saugumo (TIS2) pokyčiai. Artėjant pirmajam direktyvos įgyvendinimo terminui, Aurimas Žlibinas, „Telia“ verslo klientų vadovas, pabrėžia, kad šis procesas – tai ne tik teisinė prievolė, o pirmiausia galimybė sustiprinti savo verslo tęstinumą.

Atsakomybė visai tiekimo grandinei

Dar 2025 m. pavasarį NKSC sudarė naująjį Kibernetinio saugumo subjektų registrą, į kurį buvo įtrauktos 1443 organizacijos iš ypatingos svarbos ir kitų itin svarbių sektorių. Šios įmonės jau turėjo gauti oficialius pranešimus apie tai, kad joms taikomi atnaujinto Kibernetinio saugumo įstatymo ir TIS2 direktyvos reikalavimai. 

Pagal TIS2 direktyvos įgyvendinimo planą, per pirmus metus nuo pranešimo gavimo organizacijos turi įsivertinti atitiktį: atlikti rizikų analizę, pasirengti dokumentaciją, paskirti atsakingus asmenis, apmokyti darbuotojus. Per antruosius metus pereinama prie techninių priemonių diegimo ir nuolatinio atitikties užtikrinimo. 

A. Žlibino teigimu, TIS2 direktyvą vertėtų suprasti ne tik kaip teisinę prievolę, bet ir kaip pagalbą verslui susidėlioti procesus taip, kad būtų pasiruošęs bet kokiems iššūkiams. TIS2 reikalavimai apima ne tik pačias organizacijas, bet ir jų tiekimo grandines, todėl net ir nedidelis partneris yra svarbi visos valstybės atsparumo dalis.

„Grėsmės nelaukia oficialių terminų pabaigos, todėl savalaikis pasirengimas leidžia jaustis saugiai ne tik prieš įstatymą, bet ir prieš savo klientus bei partnerius. Mes visi esame susiję. Kai viena įmonė stiprina savo saugumą, ji saugo ir savo partnerius bei visą ekosistemą. 2026-ieji daugeliui organizacijų bus pirmieji praktinio pasirengimo metai, todėl svarbu be skubos įsivertinti esamą situaciją ir pradėti diegti reikiamas priemones“, – teigia A. Žlibinas.

Konkretūs reikalavimai

TIS2 direktyva siekiama užtikrinti, kad esminės paslaugos ir verslo procesai veiktų net ir įvykus rimtiems incidentams. Todėl saugumas čia tampa ne IT komandos užduotimi, o aukščiausio lygio vadovų atsakomybe. Vadovai privalo ne tik patvirtinti rizikų valdymo priemones, bet ir užtikrinti, kad jos realiai veiktų, būtų testuojamos ir nuolat atnaujinamos.

A. Žlibino teigimu, ES direktyvos veikia kaip gairės, o praktinius reikalavimus Lietuvoje labai aiškiai apibrėžia Kibernetinio saugumo įstatymas ir Kibernetinio saugumo reikalavimų aprašas (KSRA). Įmonės turi turėti dokumentuotą saugumo politiką, veiklos tęstinumo planą, incidentų valdymo procesus, aiškiai paskirstytas atsakomybes, taip pat užtikrinti darbuotojų pasirengimą. Tai reiškia, kad audituojamas bus ne tik techninis lygis, bet ir tai, ar organizacija žino, kaip elgtis krizės metu.

„Net ir į sąrašą neįtrauktos įmonės pradeda gauti vis daugiau klausimų iš partnerių apie atitiktį, procesus, testavimą. Įmonės turi ne improvizuoti, o sistemingai vertinti, ką jau turi įsidiegusios, kokius duomenis ir sistemas privalo apsaugoti, bei kaip atrodo jų realus veiklos tęstinumo scenarijus. TIS2 suteikia aiškias gaires – tiek dokumentacijai, tiek techninėms ir organizacinėms priemonėms“, – sako „Telia“ verslo klientų vadovas.

Pagalba vėluojantiems

Aurimo Žlibino teigimu, įmonės, kurioms taikomi TIS2 reikalavimai, ar kurios yra tokių įmonių tiekimo grandinėje, pirmiausia turėtų sistemingai įsivertinti savo tinklo architektūrą ir kritines sistemas, identifikuoti pažeidžiamumus, atlikti rizikų vertinimą bei numatyti tų rizikų suvaldymo priemones (technines ir organizacines), terminus ir paskirti atsakingus asmenis – rizikų savininkus. 

Antrieji metai skirti identifikuotų rizikų valdymo priemonių įgyvendinimui. KSRA pakankamai konkrečiai nurodo būtinąsias technines priemones, tarp kurių: nepertraukiamas interneto ryšys, apsauga nuo DDoS atakų, dubliuoti pagrindiniai tinklo mazgai (pavyzdžiui, ugniasienės), įsibrovimo aptikimo sistemos, kelių veiksnių autentifikacija, atsarginių kopijų sprendimai, pažeidžiamumų skenavimas bent du kartus per metus bei žurnalinių įrašų kaupimo, stebėsenos ir reagavimo sprendimai, pavyzdžiui, per saugumo operacijų centrą (SOC).

„2026-ieji daugeliui įmonių bus kritiniai – arba pasirengimo įtvirtinimo, arba vėlavimo metai. Jei šiandien į registrą įtraukta įmonė nežino, nuo ko pradėti, gali nemokamai pasinaudoti NKSC sukurtais įrankiais, atlikti nemokamus mokymus darbuotojams ir vadovams. Svarbiausia – pradėti dabar, nes kiekvienas pavėluotas mėnuo didina klaidų riziką“, – pabrėžia A. Žlibinas.

Šaltinis, Publicum