NIS2 ir DI sistemų atitiktis: ko reikalauja kibernetinio saugumo direktyva
NIS2 direktyva (Direktyva (ES) 2022/2555) buvo perkelta į Lietuvos teisę 2024 m. spalio 17 d., prižiūri Nacionalinis kibernetinio saugumo centras (NKSC). Direktyva nustato vienodus kibernetinio saugumo reikalavimus svarbioms ir kritinėms įstaigoms, įskaitant DI sistemas, palaikančias šių įstaigų pagrindines paslaugas. Praktinis poveikis 2026 m.: rizikos valdymo sistema, incidentų pranešimas per 24 valandas, tiekimo grandinės įvertinimas ir asmeninė vadovų atsakomybė.
Kas patenka į NIS2 apimtį
Du sektorių sluoksniai: aukšto kritiškumo (energetika, transportas, bankininkystė, finansų rinkos infrastruktūra, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, IRT paslaugų valdymas, kosmosas, viešasis administravimas) ir kiti kritiniai (pašto paslaugos, atliekų tvarkymas, chemija, maistas, gamyba, tyrimai). Įmonės dydis: vidutinės arba didelės pagal 2003/361/EB rekomendaciją (50+ darbuotojų arba 10 mln. EUR apyvarta). DI sistemos, kurios yra svarbi tų įstaigų paslauga, patenka į apimtį.
Rizikos valdymo priemonės (21 str.)
Direktyvos 21 straipsnis nustato dešimt rizikos valdymo sričių: rizikos analizės politikos ir informacinių sistemų saugumo politika, incidentų valdymas, veiklos tęstinumas (atsarginės kopijos, atstatymo planai, krizių valdymas), tiekimo grandinės saugumas, tinklų ir informacinių sistemų įsigijimo ir priežiūros saugumas, politika ir procedūros kibernetinio saugumo veiksmingumui įvertinti, pagrindinė kibernetinė higiena ir kibernetinio saugumo mokymai, kriptografijos politika ir prireikus šifravimas, žmogaus išteklių saugumas ir prieigos kontrolė, daugiamatė autentifikacija ir saugus balso, vaizdo ir tekstinio bendravimo sprendimai.
Incidentų pranešimas (23 str.)
Trijų etapų pranešimas NKSC: ankstyvasis pranešimas per 24 valandas nuo žinomo svarbaus incidento (be detalaus tyrimo, be poveikio įvertinimo), incidento pranešimas per 72 valandas (su pradine analize), galutinė ataskaita per vieną mėnesį arba reguliariu pateikimo grafiku. Svarbus incidentas yra tas, kuris sukelia arba gali sukelti rimtą paslaugos veikimo sutrikimą arba finansinius nuostolius. DI sistemose tai apima: prompt injection, kuris keičia sprendimo logiką, jautrių duomenų nutekėjimas modelio atsakyme, modelio veikimo nukrypimas, kuris paveikia svarbų klientų aptarnavimo sluoksnį.
Tiekimo grandinės saugumas
21 str. 2 dalies d punktas nustato tiekimo grandinės saugumo prievoles: tiekėjo kibernetinio saugumo įvertinimas, sutartiniai įsipareigojimai dėl saugumo praktikos, tiekėjo subrangos grandinės žinojimas, periodinė tiekėjo peržiūra. DI projekte tai reiškia: pamatinio modelio tiekėjo SOC 2 II tipas arba ISO 27001 sertifikatas, hostingo platformos ENISA atitiktis, vektorių duomenų bazės saugumo įvertinimas, įrankių API tiekėjų sąrašas. Sutartyje fiksuojame teisę kasmet pakartoti tiekėjo įvertinimą.
Asmeninė vadovų atsakomybė (32-34 str.)
NIS2 įveda asmeninę vadovų atsakomybę: valdyba ir vykdomieji direktoriai privalo patvirtinti rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir gali būti asmeniškai patraukti atsakomybėn už nesilaikymą. Bauda iki 10 mln. EUR arba 2 % pasaulinės metinės apyvartos (kuri yra didesnė) svarbioms įstaigoms; iki 7 mln. EUR arba 1,4 % kritinėms įstaigoms. NKSC priežiūros įgaliojimai apima patikrinimus vietoje, dokumentų reikalavimą ir laikinas paslaugų sustabdymo galias.
DI sistemos NIS2 atitikties paketas
Impetora projektuoja DI sistemas, kurios atitinka NIS2 reikalavimus nuo pirmos dienos. Pristatymo paketas apima: rizikos vertinimo dokumentą su DI specifiniais grėsmių vektoriais, incidento pranešimo grandinę su 6 valandų vidiniu terminu (kad NKSC 24 valandų terminas būtų išlaikytas), tiekimo grandinės dokumentaciją, vadovų patvirtinimo memorandumą, periodinio tiekėjo įvertinimo grafiką ir mokymo medžiagą darbuotojams. ISO 27001 ir ISO 42001 valdymo sistemos abi padengia NIS2 reikalavimus.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.