Prisimenu, kaip praėjusį rudenį sėdėjau priešais klientą – vidutinio dydžio Lietuvos energetikos bendrovės kibernetinio saugumo vadovą – kai jis neužtikrintai paklausė: „Tai kam tiksliai taikoma NIS2? Ar mes tikrai patenkame į taikymo sritį?“ Ta akimirka puikiai atspindi nežinomybę, su kuria daugelis organizacijų šiandien susiduria bandydamos perprasti NIS2 direktyvą – naują, plataus masto Europos kibernetinio saugumo sistemą.
Be ilgesnių įžangų, panagrinėkime NIS2 (Lietuvoje vadinama kitaip, bet apie tai vėliau) sektorius, taikymo sritį ir tai, kam įmonės mūsų šalyje turėtų pasirengti, kad atitiktų reikalavimus.
NIS2 direktyvos taikymo mąstas: kodėl tai svarbu
NIS2 direktyva (Direktyva (ES) 2022/2555) yra Europos Sąjungos atsakas į augančias kibernetines grėsmes. Ji pakeičia pradinę NIS direktyvą, išplėsdama tiek reguliuojamų sektorių skaičių, tiek įpareigojimų apimtį. Koks viso to tikslas? Sustiprinti bendrą kibernetinį atsparumą pagrindinėse ES ekonomikai ir visuomenei svarbiose srityse.
Lietuvoje TIS2 (tinklų ir informacinių sistemų saugumo direktyva (išversta iš anglų NIS2 – Network and Information Security Directive) reikalavimai perkelti į Kibernetinio saugumo įstatymą. Jo priežiūrą vykdo Nacionalinis kibernetinio saugumo centras (NKSC).
Direktyva taikoma dviem pagrindinėms subjektų kategorijoms: esminiams ir svarbiems subjektams. Esminiai subjektai prižiūrimi griežčiau dėl kritinio jų teikiamų paslaugų pobūdžio, o svarbūs subjektai turi laikytis saugumo bei pranešimo taisyklių, tačiau priežiūra šiek tiek lengvesnė.
Kodėl NIS2 yra rinką transformuojanti direktyva? Visų pirma – dėl jos plačios taikymo apimties. Ji apima ne tik stambias, bet ir daugelį vidutinio dydžio įmonių. Geriausiai šios direktyvos esmę perprasite nuodugniai išnagrinėję jos taikymo sritį.
NIS2 sektorių žemėlapis: esminiai ir svarbūs subjektai
Kad aiškiai suprastume, ką apima NIS2 direktyva, pravartu nuosekliai kategorizuoti visus paveiktus sektorius – pradedant tradicine kritine infrastruktūra (energetika, transportas, finansai, sveikata) ir baigiant naujai įtrauktomis sritimis, tokiomis kaip skaitmeninės paslaugos, viešasis administravimas ar net kosmoso ekosistema.
| Sektoriaus kategorija | Esminių subjektų pavyzdžiai | Svarbių subjektų pavyzdžiai |
| Energetika | Elektros, centralizuoto šildymo, dujų, naftos operatoriai | Skirstomųjų tinklų operatoriai |
| Transportas | Oro, geležinkelių, vandens, kelių operatoriai | Krovinių vežimas, logistikos platformos |
| Bankininkystė | Bankai, mokėjimo paslaugų teikėjai | Kredito institucijos |
| Finansų rinkos | Centrinės sandorių šalys, prekybos vietos | Investicinės įmonės |
| Sveikata | Ligoninės, sveikatos priežiūros paslaugų teikėjai, laboratorijos | Medicinos prietaisų gamintojai |
| Geriamasis vanduo | Vandens tiekėjai, nuotekų tvarkymas | Vandens paskirstymo tinklai |
| Skaitmeninė infrastruktūra | DNS teikėjai, debesų paslaugos, duomenų centrai | Turinio perdavimotinklai, domenų registratoriai |
| IRT paslaugos | Valdomų paslaugų teikėjai (MSP) | Programinės įrangos tiekėjai |
| Viešasis administravimas | Centrinės ir regioninės valdžios institucijos | Savivaldybės >50 000 gyventojų |
| Kosmosas | Palydovų operatoriai, antžeminės sistemos | Palydovinių duomenų paslaugų teikėjai |
Toks suskirstymas padeda greitai įvertinti, kurios organizacijos privalės laikytis griežtesnių kibernetinio saugumo reikalavimų, ir leidžia kiekvienam sektoriui aiškiau suvokti savo atsakomybės ribas bei pasirengti būsimiems NIS2 įsipareigojimams.
Kaip savarankiškai įsivertinti, ar jūsų organizacija patenka į NIS2 taikymo sritį?
Vertinant, ar jūsų organizacija patenka į NIS2 taikymo sritį, svarbūs du kertiniai kriterijai:
- Veiklos sektorius. Pirmiausia nustatoma, ar organizacija veikia bent viename iš NIS2 reguliuojamų sektorių – nuo energetikos ir transporto iki viešojo administravimo ar skaitmeninių paslaugų.
- Dydžio slenkstis – paprastai subjektai, turintys ≥50 darbuotojų arba ≥10 mln. € metinę apyvartą, patenka į taikymo lauką; mikro ar mažos įmonės taip pat gali būti įtrauktos, jei teikia kritines paslaugas.
Laikydamiesi šios dviejų pakopų schemos – sektoriaus identifikavimo ir dydžio vertinimo – galite gan paprastai suvokti, ar NIS2 reikalavimai jums taikomi, ar ne.
NIS ir NIS2 palyginimas – naujai įtraukti sektoriai
Viena ryškiausių direktyvos naujovių – naujų sričių įtraukimas. Pirmoji NIS daugiausia dėmesio skyrė tradicinei infrastruktūrai, o NIS2 plečiasi į viešąjį administravimą ir kosmosą.
Be to, NIS2 dabar apima skaitmeninių paslaugų teikėjus, tokius kaip debesų kompiuterija ir duomenų centrai – subjektus, anksčiau buvusius reguliacinėje pilkojoje zonoje.
| Naujai įtrauktas sektorius | Paveiktų subjektų pavyzdžiai |
| Viešasis administravimas | Valstybinės agentūros, savivaldybės |
| Kosmosas | Palydovų bendrovės, paleidimo operatoriai |
| Skaitmeninės paslaugos | Debesijospaslaugų teikėjai, duomenų centrai |
Kodėl NIS2 direktyva iš tiesų svarbi
NIS2 skatina organizacijas sistemiškai stiprinti kibernetinį atsparumą visoje veiklos grandinėje – nuo valdybos priimamų sprendimų iki mažiausio subrangovo. Įmonės, kurios iš pradžių matė NIS2 kaip biurokratinį barjerą, netrunka pastebėti naudą. Aiškios reagavimo į incidentus taisyklės ir griežtos 24–72 val. informavimo ribos mažina chaosą. Tiekimo grandinės rizikos vertinimai slopina „silpniausios grandies“ efektą, o nuolatinis spragų paieškos bei taisymo ciklas kelia klientų ir reguliuotojų pasitikėjimą.
Visi šie veiksniai kuria konkurencinį pranašumą. Vadovų atsakomybė perkelia kibernetinį saugumą iš IT departamento ar komandos atsakomybės į strateginę darbotvarkę. Taip NIS2 paverčia saugą ne vien prievole, bet ir verslo vertės svertu. Anksti tai supratusios organizacijos rinkoje tampa tvirtesnės.
Ar esate pasiruošę NIS2 erai?
Nesvarbu, ar dirbate energetikos, sveikatos, skaitmeninės infrastruktūros ar viešojo administravimo srityje, suprasti save rolę esminių ir svarbių subjektų peizaže nebėra pasirinkimas. Mano patarimas? Nelaukite, kol pasibels reguliatorius. Pradėkite vertinimą dabar, remkitės ENISA ir Europos Komisijos gairėmis, o prireikus pasitelkite patyrusius konsultantus.
Ir dar vienas klausimas pamąstymui: ar žiūrite į NIS2 kaip į reguliacinę naštą, ar kaip į konkurencinį pranašumą? Naujoje kibernetinio saugumo eroje atsparumas gali tapti didžiausiu išskirtinumu.
