NIS2 direktyva yra nauja Europos Sąjungos kibernetinio saugumo taisyklių sistema, kuri įsigalios ir Lietuvoje nuo 2024 m. spalio 18 d. Ji numato vienodus bazinius standartus visoms organizacijoms, tačiau praktinis poveikis labai skiriasi – mažoms ir vidutinėms įmonėms (angl. small and medium enterprises) bei didelėms korporacijoms teks susidurti su skirtingais iššūkiais.
Plačiau apie tai, ką reiškia NIS2 direktyva Lietuvos įmonėms, aptariame šiame straipsnyje.
Ką NIS2 reiškia mažoms ir vidutinėms įmonėms?
- Riboti resursai. Mažesnės įmonės dažnai neturi atskiro saugumo padalinio.
- Procesų trūkumas. Dokumentacija, incidentų pranešimo procedūros ir tiekimo grandinės valdymas – dažnai silpniausia vieta.
- Finansinis spaudimas. Investicijos į testavimą, mokymus ir technologijas gali atrodyti neproporcingai didelės.
Tačiau mažos ir vidutinės įmonės privalės laikytis tokių pačių pagrindinių reikalavimų kaip ir didelės bendrovės – incidentų pranešimas, rizikos valdymas, vadovybės įtrauktis.
Ką NIS2 reiškia didelėms organizacijoms?
- Sudėtingos sistemos. Korporacijos dažniausiai turi išskaidytas IT/OT infrastruktūras, todėl kyla didesnė rizika.
- Didelė atsakomybė. Incidentai paveikia daug daugiau vartotojų, todėl kontrolė griežtesnė.
- Valdybos atsakomybė. Vadovai turi būti ne tik informuoti, bet ir aktyviai įtraukti į kibernetinio saugumo strategiją.
Didelės organizacijos paprastai turi daugiau išteklių, bet NIS2 joms reiškia sudėtingesnį įgyvendinimo procesą.
Kodėl reikia skirtingo požiūrio?
Vienas standartas nereiškia vienodo pasiruošimo. Mažoms įmonėms svarbiausia turėti bazinius procesus ir minimaliai būtinas technines priemones. Didelėms įmonėms – integruoti kibernetinio saugumo sistemą į visą organizacijos valdymą.
Čia padeda Baltic Amadeus kibernetinio saugumo specialistai, kurie dirba tiek su mažomis ir vidutinio dydžio įmonėmis, tiek su korporacijomis ir pritaiko NIS2 sprendimus pagal konkrečią įmonės situaciją.
Kaip pasiruošti praktiškai?
- Atlikti NIS2 atitikties analizę.
- Įdiegti incidentų valdymo sistemą.
- Įtraukti vadovybę ir užtikrinti jos atsakomybę.
- Patikrinti tiekimo grandinės saugumą.
- Atlikti periodinius testus ir mokymus.
NIS2 direktyva nepalieka pasirinkimo – tiek mažos, tiek didelės įmonės Lietuvoje turi ruoštis jau dabar. Skirtumas tas, kad mažos įmonės susidurs su išteklių stoka, o didelės – su kompleksiškumu.
