Kas yra TIS 2 direktyva?
TIS 2 direktyvos tikslas – didinti bendrą kibernetinį saugumo lygį ES. Ja nustatomi rizikos valdymo ir pranešimo apie incidentus reikalavimai, taikytini ir papildomuose sektoriuose, taip pat skiriamos griežtos nuobaudos nesilaikant šių reikalavimų.
:format(avif))
Pagrindiniai TIS 2 reikalavimai: ką turėtumėte žinoti
Rizikos valdymas
Nustatykite rizikos vertinimo bei informacijos saugumo gaires ir efektyviai išvenkite skaitmeninio saugumo grėsmių.
Incidentų valdymo planas
Sukurkite išsamią greito reagavimo į galimus saugumo incidentus ir jų valdymo strategiją.
Verslo tęstinumas
Užtikrinkite stabilią veiklą reguliariai išsaugodami atsargines kopijas, įgyvendindami patikimas duomenų atkūrimo strategijas ir efektyvius krizių valdymo planus.
Tiekimo grandinės saugumas
Sustiprinkite tiekėjų tinklų saugumą nustatydami galimą riziką ir užtikrinkite, kad trečiųjų šalių pardavėjai bei paslaugų teikėjai laikytųsi griežčiausių saugumo standartų.
Sistemos saugumo ciklas
Užtikrinkite patikimą apsaugą visais etapais: nuo sistemų įsigijimo ir kūrimo iki nuolatinės priežiūros ir saugumo spragų valdymo.
Efektyvumo vertinimas
Nustatykite protokolus, pagal kuriuos reguliariai peržiūrimi kibernetinio saugumo valdymo strategijų rezultatai.
Kibernetinės higienos mokymai
Ugdykite kibernetinio saugumo įpročius ir siūlykite darbuotojams reguliarius mokymus ir informuotumo didinimo iniciatyvas.
Kriptografinės priemonės
Nustatykite, įgyvendinkite ir taikykite išsamią politiką bei procedūras, taikytinas siekiant tinkamai naudoti šifravimo ir kriptografijos įrankius. Šia politika turi būti užtikrinamas efektyvus kriptografijos naudojimas siekiant apsaugoti informaciją.
Prieigos valdymo ir išteklių priežiūra
Nustatykite aiškias gaires saugiai darbuotojų prieigai prie konfidencialios informacijos užtikrinti ir įgyvendinkite išsamią išteklių valdymo strategiją.
Pažangus autentifikavimas
Integruokite kelių veiksnių autentifikavimo priemones, užtikrinkite saugų bendravimą ir užšifruokite atsarginės prieigos kanalus.
Tinklo saugumas
Apsaugokite tinklus ir sistemas naudodami saugią architektūrą, atskiras zonas, valdomą prieigą ir nuotolinio prisijungimo kontrolę.
„NordPass“ – paprastas būdas laikytis TIS 2 reikalavimų
Susigaudyti TIS 2 direktyvoje nėra lengva, tačiau jums padės „NordPass“. Naudodamos mūsų įrankius ir funkcijas, organizacijos paprasčiau užtikrins atitiktį reikalavimams.
„NordPass“ leidžia naudotojams ir grupėms priskirti skirtingus prieigos lygius bei riboti jų prieigos trukmę pasitelkiant laiko trukmės valdiklius. Be to, joje yra dalijimosi centras, kuriame galite peržiūrėti ir valdyti visus įmonėje bendrinamus prisijungimo duomenis. Tai padeda užtikrinti, kad konfidencialią informaciją tik tiek, kiek reikia, pasieks tik tam leidimą turintys asmenys.
:format(avif))
„NordPass“ taip pat yra specialus atskiras administratoriaus langas visos organizacijos administravimui vykdyti. Patikimas prieigos valdymas, pavyzdžiui, įjungus kelių veiksnių autentifikavimo funkciją ir naudojant pagrindinį slaptažodį, reiškia, kad administravimo langą gali naudoti tik įgalioti administratoriai.
„NordPass“ veikia su įmonių tapatybės nustatymo platformomis (IdP), todėl prieigos prie slaptažodžių ir konfidencialios informacijos leidimai atnaujinami automatiškai, kai darbuotojai pradeda dirbti įmonėje, keičia poziciją ar išeina iš darbo. Tokiu būdu efektyviai valdoma prieigos kontrolės politika.
„NordPass“ žymiai sustiprina prieigos valdymo politiką, nes naudojami tokie apsaugos sprendimai kaip dviejų veiksnių autentifikavimas, pagrindinis slaptažodis ir biometriniai duomenys. Tai reiškia, kad tik įgalioti naudotojai galės pasiekti slaptažodžius ir kitą konfidencialią informaciją.
Tokie „NordPass“ įrankiai kaip „Slaptažodžių saugumas“ ir „Pažeidimų ataskaita“ yra puikus būdas išvengti netinkamo slaptažodžių naudojimo ar konfidencialios informacijos nutekėjimo bei spręsti su tuo susijusias problemas.
„NordPass“ generuoja išsamius veiklos žurnalus, leidžiančius stebėti administratoriaus ir naudotojų veiksmus naudojantis „NordPass“. Šiuos žurnalus galima eksportuoti per veiklos žurnalų programų sąsają ir integruoti su įvairiais įvykių valdymo sistemų (SIEM) įrankiais. Be to, „NordPass“ galima tiesiogiai integruoti su „Splunk“ ir sklandžiai sinchronizuoti šią platformą naudojančių įmonių duomenis.
:format(avif))
„NordPass“ naudoja XChaCha20 šifravimo algoritmą ir užtikrina saugykloje laikomos konfidencialios informacijos slaptumą bei vientisumą pagal TIS2 direktyva nustatytus reikalavimus dėl informacijos klasifikavimo ir rizikos vertinimo.
Naudojant „NordPass“ galima sinchronizuoti duomenis visuose įrenginiuose. Jei vienas įrenginys prarandamas ar pažeidžiamas, naudotojai gali pasiekti duomenis iš kito.
„NordPass“ yra patikima paslaugų teikėja, įsipareigojusi užtikrinti atitiktį visiems klientų nustatytiems kibernetinio saugumo reikalavimams. „NordPass Business“ sistema sertifikuota pagal ISO/IEC 27001:2022 ir SOC 2 II tipo standartus bei atitinka HIPAA saugumo ir privatumo taisyklėse nustatytus tikslus. Tai reiškia, kad mūsų sistemos ir procesai atitinka griežtus mūsų klientų nustatytus saugumo reikalavimus.
„NordPass“ vadovaujasi saugios programinės įrangos kūrimo ciklo (SSDLC) principais ir užtikrina, kad mūsų informacinių ir ryšių technologijų (IRT) paslaugos ir produktai atitiktų svarbiausius saugumo standartus.
:format(avif))
Daugiau saugumo
„NordPass“ sustiprina kibernetinį saugumą ir slaptažodžių valdymą tokiais įrankiais kaip „Slaptažodžių saugumas“, „Slaptažodžių generatorius“, „Slaptažodžių politika“ ir „Automatinis išsaugojimas“. Šiomis priemonėmis pabrėžiama kibernetinio saugumo svarba ir skatinamas efektyvių kibernetinės higienos priemonių taikymas.
Ištekliai
:format(avif))
:format(avif))
:format(avif))
Planai
5 to 20 users
Parametrai visos organizacijos mastu
„Google Workspace“ bendroji autentifikacija (SSO)
Saugumo ataskaitų sritis
Integravimas su „Vanta“
Profesionali pagalba
SSO su „Entra ID“, MS ADFS, „Okta“
Naudotojų ir grupių prijungimas per „Entra ID“ ir „Okta“
10 naudotojų paketas
Parametrai visos organizacijos mastu
„Google Workspace“ bendroji autentifikacija (SSO)
Saugumo ataskaitų sritis
Integravimas su „Vanta“
Profesionali pagalba
SSO naudojant „Entra“, MS ADFS, „Okta“
Naudotojų ir grupių prijungimas per „Entra ID“ ir „Okta“
5 to 20 users
Parametrai visos organizacijos mastu
„Google Workspace“ bendroji autentifikacija (SSO)
Saugumo ataskaitų sritis
Integravimas su „Vanta“
Profesionali pagalba
SSO su „Entra ID“, MS ADFS, „Okta“
Naudotojų ir grupių prijungimas per „Entra ID“ ir „Okta“
Neribotas naudotojų skaičius
Parametrai visos organizacijos mastu
„Google Workspace“ bendroji autentifikacija (SSO)
Saugumo ataskaitų sritis
Integravimas su „Vanta“
Profesionali pagalba
SSO su „Entra ID“, MS ADFS, „Okta“
Naudotojų ir grupių prijungimas per „Entra ID“ ir „Okta“
Taikomos akcijos sąlygos.
Dažniausiai užduodami klausimai
TIS 2 direktyva įsigaliojo 2023 m. sausio 16 d. ES valstybės narės privalo ją įgyvendinti savo nacionalinėje teisėje iki 2024 m. spalio 17 d. Po šios datos bendrai įsigalios jos nuostatos.
Pirminėje TIS direktyvoje, priimtoje 2016 m., buvo nustatyti kibernetinio saugumo reikalavimai būtinoms EU paslaugoms. TIS 2 direktyvoje, priimtoje 2023 m., apimtis išplečiama ir įtraukiama daugiau sektorių, taikomi griežtesni saugumo įsipareigojimai ir sustiprinamos įgyvendinimo priemonės, kad būtų geriau kovojama su vis tobulėjančiomis kibernetinėmis grėsmėmis.
Organizacijos turėtų pradėti palygindamos savo kibernetinio saugumo praktikas su direktyvos reikalavimais, nustatydamos savo klasę pagal TIS 2 klasifikaciją ir imdamosi priemonių, pvz., saugumo kontrolės stiprinimo, reagavimo į įvykius planavimo ir personalo mokymų. Atsižvelkite į išsamų vadovą arba specialistų patarimus dėl konkrečių reikalavimų ir būdų įgyvendinti atitiktį TIS 2 direktyvai.
Ne, TIS 2 nėra sertifikatas. Tai yra ES direktyva, nustatanti kibernetinio saugumo reikalavimus organizacijoms, kurie turi būti įgyvendinti valstybių narių nacionalinėje teisėje.
Nesilaikant TIS 2 atitikties, skiriamos baudos yra panašios į tas, kurios numatytos BDAR ir gali siekti iki 10 mln. EUR arba 2 % nuo visos organizacijos metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, bei į kitas nacionalinių institucijų nustatytas taisomąsias priemones.
Įgyvendinant TIS 2 organizacijoje, reikia atlikti išsamią kibernetinio saugumo praktikos apžvalgą ir ją pritaikyti taip, kad atitiktų griežtesnius direktyvos standarus. Tai nėra viskam tinkantis procesas, nes kiekvienoje organizacijoje naudojamas būdas priklausys nuo jos dydžio, pramonės šakos ir rizikos profilio. Daugumai įmonių būtų naudinga pasikonsultuoti su teisės ir kibernetinio saugumo specialistais, kad tinkamai orientuotųsi direktyvoje ir būtų užtikrintas atitikties priemonių veiksmingumas ir tvarumas.
Atsakomybės atsisakymas. Šis turinys teikiamas tik informacijos tikslais ir neturi būti laikomas teisine ar profesine rekomendacija. Šia informacija siekiama teikti bendras gaires apie TIS 2 direktyvos reikalavimus ir galimus pagalbinius sprendimus, tačiau iš esmės nenagrinėjamas teisės aktas ar teisinės aplinkybės. Nepaisant pastangų teikti tikslią ir aktualią informaciją, neteikiame jokių aiškiai išreikštų ar numanomų garantijų ar pareiškimų dėl turinio, produktų, paslaugų ar susijusių vaizdų išsamumo, tikslumo, patikimumo ar tinkamumo kokiam nors tikslui. Nusprendę pasikliauti šia informacija, tai darote tik savo rizika. Mūsų sprendimai gali padėti užtikrinti atitiktį kibernetinio saugumo reikalavimams, tačiau jų efektyvumas priklauso nuo įvairių veiksnių, tokių kaip konkrečios aplinkybės, besikeičiantys teisės aktai ir technologijų pažanga. Jei reikia patarimo jūsų konkrečiu atveju ar dėl pagalbos naudojantis mūsų sprendimais atitikčiai TIS 2 direktyvos reikalavimams užtikrinti, rekomenduojame kreiptis į kvalifikuotą teisės ar kibernetinio saugumo specialistą. Jokiu atveju neprisiimame atsakomybės už jokius nuostolius ar žalą, įskaitant, be apribojimų, netiesioginius ar pasekminius nuostolius ar žalą, ar bet kokius nuostolius ar žalą, atsiradusius dėl duomenų ar pelno praradimo dėl šio straipsnio ar susijusius su juo. Šiuo straipsniu nesukuriamas kliento ir specialisto santykis tarp „Nord Security Inc.“ ir skaitytojo.