Pradžia > Cyber – Kibernetinis saugumas > NIS2 direktyva

NIS2 direktyva: kaip pasiruošti direktyvos reikalavimų įgyvendinimui?

NIS2 (arba TIS2) – Europos Sąjungos direktyva, kuria siekiama užtikrinti aukštą bendrą kibernetinio saugumo lygį visos Europos Sąjungos lygiu. Naujuoju reguliavimu siekiama padidinti verslo bei viešojo sektoriaus atsparumą šiandienos kibernetinėms grėsmėms bei pasiruošti ateities iššūkiams.

Naujasis reguliavimas kelia nemažai klausimų įmonėms, dalis kurių iki šiol net nesusimastė apie kibernetinio saugumo reikšmę bei svarbą jų veiklai. Kokius veiksmus būtina atlikti iki direktyvos perkėlimo į nacionalinę teisę? Ar direktyvos reikalavimai bus taikomi mano įmonei?

Kam taikoma NIS2 direktyva?

Pagrindiniai kriterijai, kuriais remiantis laikoma, kad organizacija patenka į NIS 2 direktyvos taikymo sritį, yra: (i) veikla atitinkamame sektoriuje ir (ii) įmonės dydis. Jei jūsų įmonė veikia vienoje iš žemiau nurodytame grafike nurodytų sektorių, jūsų metinė apyvarta yra didesnė nei 10 mln. EUR bei darbuotojų skaičius viršija 50, Jūsų atžvilgiu bus taikomos direktyvos nuostatos.

Norėdami tiksliau įsivertinti ar jūsų įmonei bus taikomi direktyvoje numatyti reikalavimai, galite tai atlikti pasinaudodami Lietuvos Respublikos krašto apsaugos ministerijos parengtu šablonu / klasifikatoriumi.

Ypatingos svarbos sektoriai

oixio-nis2-ypatingos-svarbos-setoriai-infografikas

Kiti itin svarbūs sektoriai

oixio-nis2-kiti-svarbus-sektoriai-infografikas

Tačiau, net jei esate mažesnė įmonė, ar veikiate kituose, nei išvardinta, sektoriuose, jus šios direktyvos įsigaliojimas greičiausiai vis tiek palies. Direktyva numato, kad įmonės, kurioms yra taikomos direktyvos nuostatos, privalo pasirūpinti, kad jų partneriai ir tiekėjai taip užtikrintu pakankamą kibernetinio atsparumo lygį. Tai reiškia, kad tokios įmonės galės prašyti jūsų NIS2 direktyvos atitiktį patvirtinančių duomenų.

Pagrindinė OIXIO žinutė jums – net jei esate smulkus verslas, pasidomėkite ir užtikrinkite bent jau minimalias kibernetinės saugos priemones. Nerizikuokite savo verslo informacijos, veiklos tęstinumu ir konkurencingumu rinkoje.

Kodėl tai svarbu man?

Kaip pasiruošti?

Kaip mes padedame pasiruošti NIS2?

NIS2 direktyva įmonėms kelia naujus iššūkius ir reikalavimus, tačiau kartu tai suteikia progą iš esmės sustiprinti organizacijoms kibernetinį saugumą. Vien tik suprasti direktyvos esmę – nepakanka, svarbu gebėti praktiškai įvertinti savo esamą situaciją, įdiegti veiksmingas priemones ir, žinoma, užtikrinti, kad nauji procesai būtų nuosekliai prižiūrimi. Dalis įmonių dar tik pradeda šį kelią, todėl mūsų tikslas – padėti pasiruošti nuo pirmo žingsnio iki visos atitikties užtikrinimo.

Organizacijos saugumo analizė

Pirmiausia atliekame išsamų esamos situacijos vertinimą. Analizuojame technologinę infrastruktūrą, saugumo politiką, procesus bei žmogiškuosius veiksnius, nes dažnai silpniausia grandis slypi ne technologijose, o vartotojų elgesyje. Būtent todėl įvertiname, kokios priemonės jau veikia, kokie procesai nepakankamai dokumentuoti, kur trūksta kontrolės. Tokia analizė leidžia įmonėms aiškiai pamatyti savo pradinius taškus, nustatyti prioritetus ir planuoti realius veiksmus siekiant atitikti NIS2 reikalavimus.

Grėsmių vertinimas ir rizikų valdymas

Kitas žingsnis – rizikų įvertinimas. Mes padedame organizacijoms nustatyti galimas grėsmes jų veiklai: nuo duomenų nutekėjimo iki paslaugų prieinamumo sutrikimų. Atliekame sistemingą rizikų vertinimą, įtraukiame verslo procesus, tiekimo grandinę, IT sistemas. Pagal gautus rezultatus kuriame rizikų valdymo planus, kurie apima tiek prevencines, tiek reagavimo priemones. Tai padeda ne tik atitikti direktyvos reikalavimus, bet ir išvengti nuostolių ateityje.

Politikų ir procedūrų rengimas

NIS2 atitiktis nebūtinai turi būti sudėtingas, formalus ar gąsdinantis procesas. Iš esmės tai – aiškiai apibrėžtų veiklos taisyklių sukūrimas, padedantis įmonei jaustis saugiau ir veikti užtikrinčiau. Mes padėsime parengti paprastas ir suprantamas reikiamų procedūrų gaires – nuo reagavimo į incidentus iki prieigos valdymo ar tiekėjų saugumo principų. Tokie dokumentai paprastai tampa, ne formalia prievole, o praktišku įrankiu kasdienėje veikloje.

Mokymai vadovams ir darbuotojams

Vien technologinių sprendimų nepakanka – žmonės yra svarbiausia saugumo grandis. Nors direktyva aiškiai numato vadovybės atsakomybę, su šia užduotimi nesate vieni! OIXIO mokymai skirti tiek įmonės vadovams, tiek visiems darbuotojams, kurių metu mes paaiškinsime, kaip elgtis su jautria informacija, atpažinti grėsmes, reaguoti į įtartinas situacijas, o vadovams padėsime suprasti, kokie sprendimai ir procesai būtini, kad įmonė galėtų užtikrinti atitiktį bei išvengti rizikų.

Technologiniai sprendimai

Padedame pasirinkti ir diegti tinkamus technologinius įrankius – nuo incidentų aptikimo ir reagavimo sistemų iki duomenų apsaugos bei ataskaitų teikimo sprendimų. Konsultuojame, kokios priemonės geriausiai atitinka konkrečios organizacijos veiklos pobūdį. Mūsų darbo tikslas – užtikrinti, kad technologijos ne tik atitiktų direktyvą, bet ir realiai stiprintų įmonės atsparumą kibernetinėms grėsmėms.

Nuolatinė pagalba ir konsultacijos

NIS2 atitiktis – ne vienkartinis projektas, o nuolatinis procesas. Todėl teikiame ilgalaikę pagalbą: padedame stebėti atitikties būklę, reaguoti į incidentus, atnaujinti dokumentaciją ir procesus.

DUK (TIS2 direktyva)

1. Kas yra NIS2 direktyva?

Tai Europos Sąjungos teisės aktas, nustatantis aukštus kibernetinio saugumo standartus tiek viešajam, tiek privačiajam sektoriui. Direktyva siekiama užtikrinti, kad organizacijos būtų pasirengusios valdyti kibernetines grėsmes ir tinkamai reaguotų į incidentus, o su pačia direktyva susipažinti galite čia.

2. Kuo skiriasi NIS2 nuo NIS1?

NIS2 išplečia pirmosios direktyvos taikymo sritį, nustato griežtesnius reikalavimus, įtraukia daugiau sektorių ir numato vadovybės atsakomybę už saugumo užtikrinimą. Taip pat stiprinamas tiekimo grandinės saugumas ir incidentų pranešimo tvarka.

3. Kada įsigalioja NIS2 direktyva?

Lietuvoje NIS2 direktyvos nuostatos buvo perkeltos į nacionalinę teisę 2025 m. spalio mėnesį. Tai reiškia, kad įmonės turi kuo greičiau pradėti pasirengimo procesą.

4. Kas gresia už NIS2 direktyvos nesilaikymą?

Numatytos griežtos sankcijos – nuo įspėjimų iki didelių baudų, kurios gali siekti kelis procentus įmonės metinės apyvartos. Maža to, žala įmonės reputacijai ar veiklos sutrikimai gali turėti ilgalaikių pasekmių.

5. Kokius veiksmus įmonė turi atlikti, kad atitiktų NIS2 reikalavimus?

Reikia atlikti saugumo analizę, įvertinti rizikas, parengti politiką ir procedūras, organizuoti mokymus bei užtikrinti nuolatinį procesų monitoringą. Šiuos žingsnius rekomenduojama atlikti su patyrusiais kibernetinio saugumo partneriais kaip OIXIO.

6. Kam taikoma NIS2 direktyva?

Ji taikoma esminių ir svarbių paslaugų tiekėjams – energetikos, transporto, sveikatos, finansų, IT, viešųjų paslaugų ir kitų sektorių įmonėms, kurių veikla svarbi visuomenės ir valstybės funkcionavimui, daugiau apie tai rasite Nacionalinio kibernetinio saugumo centro (NKSC) prie Krašto apsaugos ministerijos puslapyje.

7. Ar mūsų įmonė tikrai patenka į NIS2 direktyvos taikymo sritį?

Jei jūsų įmonė veikia viename iš direktyvoje nurodytų sektorių, turi daugiau nei 50 darbuotojų ir viršija 10 mln. eurų metinę apyvartą – greičiausiai taip. Tačiau jei dvejojate, visada galima nustatyti atlikus atitikties vertinimą.

Norite sužinoti daugiau apie kibernetinį saugumą ir NIS2 direktyvą?

Užpildykite žemiau pateiktą formą nemokamai konsultacijai!

Išmanios darbo aplinkos specialistas