Šiandien susiorientuoti tinklų ir informacinių sistemų saugumo srityje be galo svarbu. Technologijoms nesustabdomai vystantis, aktualėja poreikis numatyti priemones ir taisykles, kurios užtikrintų tinkamą ypatingos svarbos infrastruktūros ir skaitmeninių paslaugų apsaugą. Tai paskatino sukurti TIS 2 direktyvą, skirtą iš esmės pakeisti ES kibernetinę aplinką.
Kas yra TIS 2 direktyva ir kuo ji svarbi kibernetiniam saugumui?
TIS 2 direktyva arba Tinklų ir informacijos saugumo direktyva yra visos ES teisės aktas dėl kibernetinio saugumo. Ji reiškia svarbų žingsnį gerinant bendrą kibernetinio saugumo padėtį Europos Sąjungoje. 2023 m. priimta TIS 2 išplečia 2016 m. TIS direktyvos taikymo sritį, siekiant modernizuoti esamą teisinę bazę.
Tai atsakas į suintensyvėjusią skaitmenizaciją ir išaugusias kibernetines grėsmes.
TIS 2 direktyva apima kur kas daugiau, nei buvo numatyta pirminėje Kibernetinio saugumo direktyvoje (TIS direktyvoje). Kibernetinio saugumo taisyklių taikymo sritį ji išplečia į naujus sektorius ir įtraukia daugiau subjektų. Ši direktyva skirta padėti viešiesiems ir privatiesiems subjektams tapti atsparesniems kibernetinių grėsmių atžvilgiu ir efektyviau reaguoti į incidentus. To siekiama skatinant valstybių narių pasiruošimą ir tarpusavio bendradarbiavimą.
Pavyzdžiui, Direktyva įpareigoja valstybes nares įsteigti atitinkamas instancijas. Jos apima reagavimo į kompiuterių saugumo incidentus tarnybą (CSIRT) ir nacionalinę tinklų ir informacinių sistemų saugumo kompetentingą instituciją.
Kokie pagrindiniai TIS 2 direktyvos tikslai?
Pagrindinis TIS 2 direktyvos tikslas – stiprinti kibernetinį saugumą visoje ES. Tai reiškia gyvybiškai svarbių sektorių apsaugą ir skaitmeninių paslaugų patikimumo didinimą.
Kaip siekiama šio tikslo:
Nustatomi vienodi, standartizuoti kibernetinio saugumo lygiai visose ES valstybėse narėse.
Aiškiai identifikuojami ir reguliuojami sektoriai, kuriems taikoma ši Direktyva.
Nustatomos griežtos saugumo priemonės ir taisyklės, pagal kurias reikia pranešti apie incidentus.
Stiprinamas bendradarbiavimas ir koordinavimas tarp valstybių narių kovojant su kibernetinėmis grėsmėmis.
TIS 2 direktyva siekiama nustatyti standartinius apsaugos lygius visose valstybėse narėse. Ji aiškiai identifikuoja sektorius, kuriems taikoma ši direktyva, taip pat saugumo reikalavimus bei vienodus pranešimo apie incidentus įpareigojimus. Taip pat joje numatytos vykdymo užtikrinimo priemonės ir sankcijos. Tokiu būdu siekiama apsaugoti ypatingos svarbos infrastruktūrą ir ES piliečius nuo kibernetinių išpuolių.
Palyginti su ankstesne, TIS 2 direktyvos aprėptis gerokai platesnė. Ji apima tokius sektorius kaip transporto, energetikos, bankininkystės, sveikatos priežiūros, vandentiekio ir skaitmeninę infrastruktūrą. Vidutinės ir didelės organizacijos, vykdančios veiklą šiuose sektoriuose, privalo laikytis TIS 2 direktyvos nuostatų.
TIS 2 direktyva atskiria „esminius“ ir „svarbius“ subjektus. Abiejų tipų subjektai turi laikytis tų pačių saugumo nuostatų. Tačiau „esminiams“ subjektams taikoma aktyvi kontrolė.
Jų atžvilgiu numatyti griežtesni saugumo reikalavimai, vykdymo užtikrinimo priemonės ir sankcijos bei pranešimo apie incidentus procedūros ir sustiprinamas bendradarbiavimo mechanizmas. Taip pat nustatytos taisyklės, taikomos rizikos valdymui, kibernetinio saugumo mokymams, krizių įveikimui ir duomenų šifravimui. Tokiu būdu eliminuojamas lankstumas, kuris lėmė pirminės TIS direktyvos spragas.
Pagal TIS 2, pranešti apie kibernetinį incidentą yra privaloma per 24 valandas nuo tada, kai buvo užfiksuota problema. Tai leidžia atsakingoms institucijoms geriau reaguoti į potencialias grėsmes. Be to, TIS 2 stiprina bendradarbiavimą ir komunikaciją tarp valstybių narių. Tuo tikslu įsteigtas Europos ryšių palaikymo dėl kibernetinių krizių organizacinis tinklas. Tokiu būdu duomenų apsauga tampa kolektyviniu įsipareigojimu.
Kokį poveikį TIS 2 direktyva daro verslui?
Dėl platesnės TIS 2 aprėpties, į jos taikymo sritį patenka įvairesnių sričių organizacijos. Ypač direktyva aktuali įmonėms, teikiančioms skaitmenines paslaugas arba susijusioms su ypatingos svarbos ES infrastruktūra.
Tokiems subjektams būtina suprasti direktyvoje nustatytus įsipareigojimus. Gali būti, kad jums reikės sustiprinti rizikos valdymo mechanizmus ir pasiruošti tinkamai pranešti apie incidentus. Be to, įmonės turi bendradarbiauti su nacionalinėmis kibernetinio saugumo tarnybomis ir užtikrinti savo sistemų atitiktį direktyvai.
Viena svarbiausių sričių, kuriomis įmonėms turi pasirūpinti pagal TIS 2 direktyvos reikalavimus, yra tinklo ir informacinių sistemų saugumas. Tai apima programų sąsajas (API).
Siekdamos patenkinti TIS 2 direktyvos reikalavimus, įmonės turi taikyti atitinkamą API saugumo strategiją. Ši strategija apima technines ir organizacines priemones, įskaitant naudotojų autentifikaciją, autorizaciją, šifravimą ir nuolatinį API saugumo stebėjimą.
Pagrindiniai veiksmai, kuriais galima užtikrinti reikalavimus atitinkančią API apsaugą, yra:
Išsamus kibernetinio saugumo rizikos įvertinimas. Tai turėtų padėti identifikuoti visas grėsmes, kurios potencialiai kyla jūsų tinklui, informacijos sistemoms ir API.
Tinkamų identifikuotos rizikos valdymo priemonių įgyvendinimas. Pagrindinės priemonės gali būti naudotojų autentifikacija, autorizacija, šifravimas ir nuolatinis API saugumo stebėjimas.
Tinkamų pranešimo apie incidentus mechanizmų sukūrimas. Reikia numatyti procedūras, skirtas atpažinti API saugumo pažeidimo incidentus ir pranešti apie juos.
Atitinkamų taisyklių ir standartų laikymasis. Be TIS 2 direktyvos reikalavimų, įmonės turi užtikrinti savo sistemų ir operacijų atitiktį BDAR ir kitiems svarbiems duomenų apsaugos teisės aktams.
Mokymas ir informuotumo didinimas. Galiausiai įmonės turi šviesti savo darbuotojus, subrangovus ir trečiųjų šalių tiekėjus apie gerąsias API saugumo praktikas. Tai galėtų apimti programavimo ir saugaus įdiegimo praktikas, taip pat reagavimo į kibernetinius incidentus procedūras.
Sutelkdamos dėmesį į šiuos aspektus įmonės gali optimizuoti savo operacijas ir sistemas pagal TIS 2 direktyvos reikalavimus bei užtikrinti reikiamą savo tinklų ir sistemų apsaugą nuo potencialių kibernetinių grėsmių. Be to, tokiu būdu jos gali pademonstruoti atitiktį nacionaliniams kibernetinio saugumo reikalavimams ir padidinti pasitikėjimą teikiamomis skaitmeninėmis paslaugomis ar ypatingos svarbos infrastruktūromis.
Kokiems sektoriams taikoma TIS 2?
Palyginti su pirmine TIS direktyva, TIS 2 apima daugiau įvairių sektorių,
įskaitant esminius paslaugų operatorius tokiose srityse kaip:
Energetika
Transportas
Bankininkystė
Sveikatos apsauga
Skaitmeninės paslaugos, pavyzdžiui, elektroninės prekyvietės, debesijos kompiuterija ir paieškos varikliai.
Šiuose sektoriuose veiklą vykdančios įmonės privalo laikytis taisyklių ir reikalavimų, kuriuos numato TIS 2 direktyva.
Kada įsigalios TIS 2 direktyva?
Valstybėms narėms suteiktas 21 mėnesio pasiruošimo laikotarpis iki 2024 m. spalio 17 d., per kurį jos turi perkelti į nacionalinę teisę TIS 2 direktyvoje nustatytas priemones.
Nuostata aiški: įmonės turi pasiruošti ir prisitaikyti prie naujos tinklų ir informacinių sistemų saugumo aplinkos.
Naujos kibernetinio saugumo direktyvos – Direktyva dėl ypatingos svarbos subjektų atsparumo
Be TIS 2, kita svarbi iniciatyva yra Direktyva dėl ypatingos svarbos subjektų atsparumo (angl., „European Directive for Critical Entities Resilience“ (CER). CER direktyvos tikslas – sustiprinti ypatingos svarbos subjektų atsparumą tokiuose sektoriuose kaip energetika, transportas, vandentiekis, sveikatos priežiūra ir skaitmeninės sistemos.
CER direktyva pakeičia 2008 m. priimtą Europos ypatingos svarbos infrastruktūros objektų direktyvą. Ji numato griežtesnes taisykles, kad būtų sustiprintas ypatingos svarbos subjektų atsparumas grėsmėms, įskaitant gamtinius pavojus, teroristų išpuolius, vidaus subjektų keliamas grėsmes ir sabotažą.
CER direktyva įsigaliojo 2023 m. sausio 16 d. Valstybės narės turi laiko iki 2024 m. spalio 17 d. perkelti CER direktyvos reikalavimus į nacionalinę teisę. Iki šios datos valstybės narės turi parengti ir paskelbti priemones, kurios užtikrintų atitiktį Direktyvai. Šias priemones būtina pradėti taikyti nuo 2024 m. spalio 18 d.
Pagal CER valstybės narės turi sukurti strategiją ypatingos svarbos subjektų atsparumui padidinti iki 2026 m. sausio 17 d. Tokios strategijos tikslas – didinti ypatingos svarbos subjektų gebėjimą pasiruošti incidentams, juos įveikti, nuo jų apsisaugoti ir į juos reaguoti bei atkurti veiklą po incidentų, galinčių sutrikdyti esminių paslaugų teikimą.
CER direktyva apima vienuolika sektorių: energetikos, transporto, bankininkystės, finansų rinkų infrastruktūros, sveikatos priežiūros, geriamojo vandens, nuotekų sistemų, viešojo administravimo, kosmoso ir maisto pramonės. Valstybės narės turi priimti nacionalinę strategiją ir reguliariai atlikti rizikos vertinimus.
Svarbiausi aspektai
TIS 2 direktyva, tikėtina, taps pamatiniu ES kibernetinio saugumo teisės aktu. Įmonės, kurios patenka į šios direktyvos taikymo sritį, turi imtis griežtų techninių priemonių.
Direktyvos nuostatų priėmimas nacionaliniu lygmeniu jau nebe už kalnų. Įmonės turi pradėti pasiruošimą, kad atitiktų TIS 2 reikalavimus.
Siekiant atitikties TIS 2 reikalavimams, „NordPass“ slaptažodžių tvarkyklė gali gerokai palengvinti jūsų užduotį. Ji pasižymi funkcijomis, skirtomis sustiprinti jūsų organizacijos slaptažodžių saugumą.
Visi darbiniai slaptažodžiai ir kita konfidenciali informacija laikoma slaptažodžių saugykloje, užšifruotoje naudojant pažangų „XChaCha20“ algoritmą. O „NordPass“ nulinių žinių protokolu grįsta informacijos architektūra reiškia, kad prieigą gauti gali tik įgalioti naudotojai.
Be to, NordPass teikia slaptažodžių generatorių. Jis leidžia lengvai kurti stiprius ir unikalius slaptažodžius, kuriuos sunku atspėti ar nulaužti per grubios jėgos atakas. Slaptažodžių saugumo įrankis padeda įvertinti esamų slaptažodžių stiprumą. Silpni ar pakartotinai naudojami slaptažodžiai gali kelti riziką jūsų organizacijos paskyroms.
„NordPass“ taip pat turi pažeidimų ataskaitos įrankį. Jis automatiškai skenuoja duomenų bazes internete ir praneša, jei jūsų įmonės domenai ar el. pašto adresai atsidūrė tarp pažeistų duomenų. Tada galite nedelsdami imtis veiksmų, kad sumažintumėte galimas rizikas ir apsaugotumėte savo paskyras. Naudodami slaptažodžių saugumo strategijos funkciją galite nustatyti slaptažodžių kūrimo taisykles visos organizacijos lygmeniu.
O „NordPass“ veiklos žurnalai užtikrina skaidrumą ir atskaitomybę. Jie padeda kontroliuoti prieigą prie įmonės paskyrų. Kelių veiksnių autentifikacija suteikia papildomą saugumo sluoksnį ir sumažina neteisėtos prieigos riziką.
Šios funkcijos padeda įmonėms sustiprinti slaptažodžių saugumą ir pasiekti atitiktį pagal TIS 2 reikalavimus. Tokiu būdu visi galime kurti saugesnę ir atsparesnę skaitmeninę aplinką.