Mūsų amžiuje ypatingai svarbu išmokti orientuotis besiplečiančiame tinkle ir pasirūpinti informacijos saugumu. Technologija tampa vis sudėtingesnė, todėl darosi akivaizdu, kad reikalingos nuodugnios strategijos ir taisyklės, taikomos ypatingos svarbos infrastruktūrai ir skaitmeninėms paslaugoms apsaugoti. TIS 2 direktyva atspindi būtent tokią iniciatyvą, kuria siekiama iš esmės pakeisti kibernetinio pasaulio panoramą.
Turinys:
Ką reiškia TIS 2 direktyva kibernetiniam saugumui?
TIS 2 peržiūrėta Tinklų ir informacinių sistemų saugumo direktyva)yra ES taikomas kibernetinio saugumo teisės aktas. Jis buvo pasiūlytas kaip tvirtas žingsnis link aukštesnio viso kibernetinio saugumo lygio Europos Sąjungoje. TIS 2 direktyva įsigaliojo 2023 m. ir jos tikslas yra modernizuoti esamą pirminės (2016 m. įvestos) TIS direktyvos nustatytą teisinio reguliavimo sistemą.
Atnaujinta direktyva yra atsakas į vis intensyvėjantį skaitmeninimą ir plintančias grėsmes.
TIS 2 direktyva apima daugiau nei jos pirmtakė. Praplėsdama kibernetinio saugumo taisyklių taikymą, ji įtraukia naujų sektorių ir subjektų. Ji skirta viešųjų ir privačiųjų subjektų atsparumui bei reagavimo į incidentus pajėgumui sustiprinti. To siekiama skatinant valstybių narių pasiruošimą ir bendradarbiavimą.
Pvz., valstybės narės yra įpareigotos tinkamai pasirengti įsteigiant atitinkamas institucijas. Tai apima Reagavimo į kompiuterių saugumo incidentus tarnybą (CSIRT) ir kompetentingą nacionalinę Tinklų ir informacinių sistemų (TIS) instituciją.
Kokie yra pagrindiniai TIS 2 tikslai?
TIS 2 direktyvos pagrindinis tikslas yra stiprinti kibernetinį saugumą visoje ES. Tai apima esminių sektorių apsaugą nuo kibernetinių grėsmių ir svarbių paslaugų patikimumo stiprinimą.
To siekiama toliau nurodytais būdais.
Visose ES valstybėse narėse įgyvendinant standartizuotą kibernetinio saugumo apsaugos priemonių lygį.
Aiškiai nustatant ir reguliuojant sektorius, kuriems taikoma ši direktyva.
Išplečiant kibernetinio saugumo priemones ir sugriežtinant pranešimo apie incidentus taisykles.
Pagerinant valstybių narių bendradarbiavimą ir koordinaciją kovojant su kibernetinėmis grėsmėmis.
TIS 2 direktyva siekiama nustatyti standartizuotą apsaugos lygį visose ES valstybėse narėse. Joje aiškiai nurodyti poveikį patiriantys sektoriai ir minimalūs saugumo reikalavimai bei suvienodinti įsipareigojimai pranešti apie incidentus. Taip pat pristatomos įgyvendinimo priemonės ir sankcijos. Šių pastangų tikslas yra apsaugoti ypatingos svarbos infrastruktūrą ir ES gyventojus nuo kibernetinių atakų.
Vienas svarbus TIS 2 direktyvos pranašumas, palyginti su TIS 1, yra sukonkretinta aprėptis. Poveikį patirs gamybos, maisto, kurjerių paslaugų, kosminės erdvės ir skaitmeninės infrastruktūros sektoriai. Į TIS 2 direktyvos aprėptį patenka šiuose sektoriuose veikiančios vidutinės ir didelės organizacijos.
TIS 2 yra atskirti „ypatingos svarbos“ ir „svarbūs“ subjektai. Abiejų tipų subjektai turi laikytis tų pačių saugumo priemonių. Tačiau „kritinės svarbos“ subjektai yra aktyviai prižiūrimi.
Pokyčiai apima sustiprintus saugumo reikalavimus ir jų įgyvendinimą, sugriežtintą pranešimo apie incidentus procedūrą ir glaudesnį bendradarbiavimą. Taip pat numatytos rizikos valdymo, kibernetinio saugumo mokymų, krizių valdymo ir duomenų šifravimo taisyklės. Jomis siekiama pašalinti lankstumą, dėl kurio, taikant pirminę TIS direktyvą, atsirado silpnųjų vietų.
Dabar pranešimams apie incidentus griežčiau numatytas pateikimo laikotarpis; pirminis pranešimas apie kibernetinio saugumo problemą turi būti pateiktas per 24 valandas. Tad institucijos gali greičiau reaguoti į potencialias grėsmes. Be to, TIS 2 direktyva skatina valstybių narių bendradarbiavimą ir komunikaciją įsteigiant Europos ryšių palaikymo dėl kibernetinių krizių organizacinį tinklą. Tokiu būdu tinklo saugumas užtikrinamas bendromis pastangomis.
Koks TIS 2 direktyvos poveikis verslui?
Praplėtus TIS 2 direktyvos aprėptį, į ją patenka daugiau įmonių. Ypač paveikiami subjektai, kurie teikia ypatingos svarbos infrastruktūrą visoje ES.
Todėl šiems subjektams būtina suprasti, ką direktyva nustato. Numatoma būtinybė pasiruošti geriau valdyti rizikas ir pranešti apie incidentus pagal nustatytus reikalavimus.
Viena iš pagrindinių įmonėms aktualių sričių, į kurias nukreipta TIS 2 direktyva, yra tinklų ir informacinių sistemų apsauga.
Siekiant laikytis direktyvos reikalavimų, tikimasi, kad įmonės įgyvendins neįveikiamo kibernetinio saugumo rizikos valdymo programą. Ši programa turėtų apimti technines ir organizacines priemones, įskaitant autentifikavimą, įgaliojimų suteikimą, šifravimą ir nuolatinį tinklų saugumo, informacinių sistemų bei API (taikomųjų programų sąsajos) stebėjimą.
Toliau nurodyti pagrindiniai visapusiškos tinklų ir informacinių sistemų saugumo programos veiksmai.
Išsamus kibernetinio saugumo rizikų vertinimas. Tai turėtų padėti nustatyti tinkle, informacinėse sistemose ir API kylančias rizikas.
Tinkamų priemonių, skirtų nustatytoms rizikoms valdyti, įgyvendinimas. Pagrindinės priemonės galėtų apimti autentifikavimą, įgaliojimų suteikimą, šifravimą ir nuolatinį tinklų saugumo ir informacinių sistemų stebėjimą.
Efektyvios pranešimo apie incidentus procedūros nustatymas. Turėtumėte sukurti sistemas, kurios leidžia nustatyti su tinklais ir informacinėmis sistemomis susijusius saugumo incidentus bei apie juos pranešti.
Aktualių taisyklių ir standartų laikymosi užtikrinimas. Įmonės turėtų užtikrinti ne tik TIS 2 direktyvos, bet ir kitų galiojančių reglamentų, pvz., BDAR, bei atitinkamų duomenų apsaugos teisės aktų laikymąsi.
Mokymai ir sąmoningumas. Įmonės turi šviesti darbuotojus, rangovus ir trečiųjų šalių tiekėjus apie tinklų ir informacinių sistemų saugumo praktikas. Tai galėtų apimti saugaus programavimo praktikas, saugaus diegimo praktikas ir reagavimo į incidentus procedūras.
Sutelkdamos dėmesį į šiuos aspektus, įmonės gali užtikrinti pasirengimą TIS 2 direktyvai. Jos gali atitinkamai apsaugoti savo tinklus ir sistemas nuo potencialių kibernetinių grėsmių. Be to, jos galės geriau pademonstruoti atitiktį nacionalinėms kibernetinio saugumo institucijoms, dėl ko pasitikėjimas jų paslaugomis ar ypatingos svarbos infrastruktūra bus didesnis.
Kurie sektoriai pajus TIS 2 direktyvos poveikį?
Palyginti su pirmine TIS direktyva, TIS 2 direktyvos aprėptis yra platesnė ir apima daugiau sektorių.
Ji taikoma toliau nurodytų sričių svarbiausiems paslaugų operatoriams.
Energetika
Transportas
Bankininkystė
Sveikatos apsauga
Skaitmeninių paslaugų, pvz., internetinių parduotuvių, socialinių tinklų platformų ir paieškos sistemų, teikėjai
Tyrimai
Informacinių ir ryšių technologijų (IRT) paslaugų valdymas
Kosmoso erdvė
Įmonės, teikiančios domenų vardų registravimo paslaugas
Šių sektorių įmonės privalo laikytis TIS 2 direktyvoje numatytų taisyklių ir reikalavimų.
Kada įsigalios TIS 2 direktyva?
Valstybėms narėms duotas 21 mėnesio laikotarpis iki 2024 m. spalio 17 d. perkelti TIS 2 direktyvoje išvardytas priemones į nacionalinę teisę.
Išvada yra aiški – įmonės privalo pasiruošti ir taikyti naują tinklų ir informacinių sistemų saugumo spektrą.
Naujos kibernetinio saugumo direktyvos – direktyva dėl ypatingos svarbos subjektų atsparumo (CER)
Be TIS 2 direktyvos, kitas svarbus teisės aktas yra Europos direktyva dėl ypatingos svarbos subjektų atsparumo (CER). Pagrindinis TIS 2 ir CER direktyvų skirtumas yra tai, kad TIS 2 orientuojasi į kibernetinį saugumą, o CER – į fizinį saugumą, susijusį su stichinėmis nelaimėmis, potvyniais, gaisrais ir pan.
CER direktyva pakeičia 2008 m. Europos ypatingos svarbos infrastruktūros objektų direktyvą. Joje pateikiamos griežtesnės taisyklės, skirtos sustiprinti ypatingos svarbos infrastruktūros apsaugą nuo grėsmių, įskaitant stichines nelaimes, teroristines atakas, vidaus subjektų keliamas grėsmes ir sabotažą.
CER direktyva įsigaliojo 2023 m. sausio 16 d. Iki 2024 m. spalio 17 d. valstybės narės turi perkelti CER direktyvos reikalavimus į nacionalinę teisę. Iki šios datos kiekviena valstybė narė turi priimti ir paskelbti priemones, kuriomis bus laikomasi direktyvos. Šios priemonės privalo būti taikomos nuo 2024 m. spalio 18 d.
Remiantis CER direktyva, iki 2026 m. sausio 17 d. valstybės narės privalo sukurti ypatingos svarbos subjektų atsparumo stiprinimo strategiją. Šios strategijos tikslas yra sustiprinti ypatingos svarbos subjektų gebėjimą pasiruošti incidentams, su jais susidoroti, nuo jų apsisaugoti, į juos reaguoti ir po jų atsistatyti, nes šie incidentai gali sutrikdyti būtiniausių paslaugų teikimą.
CER direktyva apima vienuolika sektorių: energetikos, transporto, bankininkystės, finansinių rinkų infrastruktūros, sveikatos, geriamojo vandens, nuotekų, skaitmeninės infrastruktūros, viešojo administravimo, kosmoso erdvės ir maisto pramonės. Valstybės narės turi nustatyti nacionalinę strategiją ir nuolat vykdyti rizikų vertinimą.
Pagrindinis klausimas
Yra numatyta, kad TIS 2 direktyva taps svarbiausia ES kibernetinio saugumo programa. Į jos aprėptį patenkančios įmonės turi įdiegti griežtas technines, operacines ir organizacines priemones.
Nacionalinio direktyvos įgyvendinimo terminas nenumaldomai artėja. Įmonės privalo pradėti pasirengimą, kad įgyvendintų TIS 2 reikalavimus.
Šiame atitikties TIS 2 direktyvos nurodymams kontekste, „NordPass“ kaip slaptažodžių tvarkyklė siūlo vertingą pagalbą. Jos funkcijos yra skirtos organizacijos slaptažodžių saugumui sustiprinti.
Viena iš pagrindinių funkcijų yra užšifruota slaptažodžių saugykla. Joje, naudojant pažangų „XChaCha20“ šifravimą, patikimai saugomi visi su darbu susiję slaptažodžiai ir informacija. „NordPass“ pasižymi nulinių žinių architektūra ir užtikrina, kad tik įgalioti naudotojai galėtų pasiekti saugykloje laikomus duomenis.
„NordPass“ tai pat teikia slaptažodžių generatorių. Su juo galite lengvai kurti neįveikiamus ir unikalius slaptažodžius, kurių niekas neatspės ir neįveiks brutalios jėgos atakomis. Slaptažodžio saugumo funkcija padeda įvertinti slaptažodžių sudėtingumą ir saugumą. Galėsite atpažinti visas silpnąsias vietas ir pakartotinio slaptažodžių naudojimo atvejus, dėl kurių paskyroms gali kilti pavojus.
Be to, „NordPass“ teikia pažeidimų ataskaitas. Automatiškai nustatysite, ar kuriam nors įmonės domenui ar el. paštui kilo duomenų pažeidimo pavojus. Tuomet galėsite imtis neatidėliotinų veiksmų, kad sumažintumėte galimą pavojų ir apsaugotumėte paskyras. Ši slaptažodžių strategijos funkcija padeda įgyvendinti patikimą slaptažodžių strategiją administraciniu lygiu.
„NordPass“ veiklos registro funkcija užtikrina skaidrumą ir atskaitomybę. Tai padeda išlaikyti įmonės prisijungimo duomenų kontrolę. Kelių veiksnių autentifikavimas suteikia papildomo saugumo ir sumažina neleistinos prieigos pavojų.
Šios funkcijos leidžia įmonėms sustiprinti darbinių slaptažodžių saugumą ir laikytis TIS 2 direktyvos nurodymų. Tokiu būdu siekiama saugesnės ir atsparesnės skaitmeninės aplinkos.