Europos Sąjungai žengiant į naują kibernetinio saugumo etapą, NIS2 direktyva tampa galingu postūmiu visiems esminiams ir strategiškai svarbiems sektoriams peržiūrėti ir suprasti, kaip jie valdo skaitmeninę riziką. Priimti nacionaliniai įgyvendinimo aktai ir artėjantys auditų terminai verčia organizacijas skubiai įsitikinti, jog jų tiekimo grandinė nekelia pavojaus. Kitaip tariant, NIS2 nepalieka erdvės paviršutiniam požiūriui: direktyva reikalauja, kad skaitmeninis atsparumas taptų esmine vadovybės lygmenyje priimamų sprendimų dalimi, o ne vien technine IT komandos funkcija.
Šiame straipsnyje aš aptarsiu visus esminius NIS2 įgyvendinimo Europos Sąjungoje žingsnius, nuo terminų iki teisinių reikalavimų.
NIS2 įgyvendinimo aktas ir reglamentas
NIS2 direktyva, Lietuvoje dar vadinama TIS2, tapo pagrindiniu ES kibernetinio saugumo ramsčiu nuo pat įsigaliojimo 2022 m. gruodžio 17 d. Jos esmė – didinti Europos skaitmeninį atsparumą, todėl „esminėms“ ir „svarbioms“ organizacijoms, pradedant energetikos bendrovėmis ir baigiant pašto paslaugų teikėjais, nustatyti griežti kibernetinio saugumo reikalavimai. Nesilaikant jų gresia iki 10 mln. eurų arba 2 % pasaulinių pajamų siekiančios baudos.
Valstybės narės privalėjo perkelti direktyvą į nacionalinę teisę iki 2024 m. spalio 17 d., tačiau šį terminą įvykdė tik nedaugelis. Dėl to 2024 m. lapkritį Europos Komisija pradėjo pažeidimo procedūras. Kiekvienos šalies pažangą galima stebėti ECSO NIS2 stebėsenos priemonėje.
Kartu su direktyva priimtas ir Komisijos įgyvendinimo reglamentas (ES) 2024/2690, kuriame detalizuojami techniniai rizikos valdymo reikalavimai. ENISA savo ruožtu parengė sektoriams skirtas gaires, padedančias taikyti šiuos standartus; jos pasiekiamos ENISA NIS2 išteklių centre.
Pagrindiniai terminai ir teisiniai etapai
Kad planavimas būtų efektyvus, būtina aiškiai suprasti NIS2 įgyvendinimo grafiką. Toliau rasite svarbiausių teisėkūros etapų, lemiančių dabartinę direktyvos įgyvendinimo situaciją, santrauką.
Data | Etapas | Svarba |
2022-12-17 | NIS2 įsigalioja | Nustatytas ES lygmens pagrindas |
2024-10-17 | Valstybių narių perkėlimo terminas | Nacionaliniai įstatymai turi įsigalioti |
2024-10-17 | Reglamentas (ES) 2024/2690 | Nustato technines rizikos valdymo taisykles |
2025 m. I ketv. | Baigiasi ENISA vieša konsultacija | Laukiama sektorių priemonių |
2025 m. II ketv. | Dauguma valstybių baigia perkėlimą; stiprėja priežiūra | Organizacijos turi būti pasirengusios auditui |
Kadangi priežiūra sparčiai griežtėja, organizacijos negali atidėlioti pasirengimo. Reikalavimų laikymasis turi tapti neatidėliotinu prioritetu: būtina peržiūrėti rizikos valdymo procedūras, atnaujinti incidentų ataskaitų procesus ir patikrinti technines saugumo priemones. Atsakingos institucijos jau rengia tikslinius patikrinimus, o auditoriai netrukus pradės vertinti, ar visa tai veikia praktikoje.
Subjektų klasifikacija ir taikymo ribos
Pirmasis ir itin svarbus žingsnis yra nustatyti, ar jūsų organizacija priskiriama esminiams (kritiniams), ar svarbiems subjektams. Būtent ši klasifikacija lemia jūsų pareigas pagal direktyvą.
Kategorija | Pavyzdžiai | Slenksčiai |
Esminės | Energetika, transportas, finansai, sveikata, skaitmeninė infrastruktūra, vanduo | ≥250 darbuotojų arba ≥50 mln. € apyvartos, arba nacionalinis priskyrimas |
Svarbios | Pašto/kuriavimo, atliekų tvarkymas, maisto gamyba, IRT MTTP, kritinių produktų gamyba | Tokie pat slenksčiai kaip esminių |
Net jei nepatenkate į sąrašą, įvertinkite savo kritinę svarbą, ypač jeigu veikiate kelių šalių rinkose ar esate svarbi tiekimo grandinės dalis.
NIS2 įgyvendinimo plano sudarymas
Remdamasis praktine patirtimi konsultuojant dėl NIS2, matau, kad organizacijos pasiekia sėkmę tuomet, kai laikosi struktūruoto plano, o ne improvizuoja paskubomis. Žemiau pateikiu pavyzdinį planą, apimantį laikotarpį nuo 2025 m. gegužės iki 2026 m. kovo.
Veiksmas | Laikotarpis | Tikslas | Rezultatai |
Sutelkimas | 2025-05 | Gauti adovybės palaikymą, paskirstyti biudžetą, paskirti programos vadovą | Įgaliojimai, biudžetas, atsakomybių žemelapis |
Įvertinimasa | 2025-05 – 07 | Įvertinti išteklius ir atlikti trūkumų analizę pagal NIS 2 | Išteklių registras, trūkumų ataskaita, rizikų registras |
Planavimas | 2025-07 – 08 | Nustatyti trūkumų šalinimo prioritetus ir parengti detalų įgyvendinimo planą. | Veiksmų ir mokymų planas |
Įgyvendinimas | 2025-08 – 12 | Įdiegti technines ir organizacines priemones | Atnaujinti tiksliniai operaciniai modeliai, vadovai, sutartys |
Patikrinimas | 2026-01 – 02 | Auditai, penetraciniai testai, pratybos | Audito ataskaitos, pratybų rezultatai |
Išlaikymas | 2026-03 ir toliau | Nuolatinis tobulinimas, valdybos ataskaitos | Valdymo skydelis, pamokos |
Šis planas nėra vien teorinė schema – jis pagrįstas realia praktika, jau pasiteisinusia organizacijoms, besirengiančioms auditui. Kitaip tariant, į jį įtraukti tik tie žingsniai, kurie tikrovėje padeda sklandžiai įvykdyti auditoriaus reikalavimus ir išvengti nemalonių staigmenų.
Praktiniai NIS2 įgyvendinimo žingsniai
Kad NIS2 planas netaptų vien dokumentu stalčiuje, būtina pereiti per aiškią, nuoseklią veiksmų seką. Toliau pateiktoje lentelėje rasite konkrečius operacinius pokyčius, kuriuos reikia įgyvendinti kiekviename etape, kad teoriniai užmojai virstų apčiuopiamais rezultatais.
Žingsnis | Aprašas |
Patvirtinti NIS2 taikymą | Nustatyti subjekto tipą, sektorių, dydį, tarpvalstybinę veiklą |
Skirti atsakingą vadovą | Valdybos patvirtinta politika ir reguliarios ataskaitos |
Sukurti valdymo struktūrą | Derinti su ISO 27001/2, NIST CSF ar nacionaliniais standartais |
Įvertinti išteklius | Įtraukti IT, OT, debesiją, SaaS, trečiąsias šalis |
Atlikti trūkumų analizę | Vertinti pagal 10 rizikos valdymo priemonių (21 str.) ir 2024/2690 |
Parengti trūkumų sprendimo planą | Pašalinti didelės rizikos trūkumus, paskirti atsakingu asmenis |
Sustiprinti rizikų aptikimą ir reagavimą | 24/7 stebėsena, vadovai, darbuotojų mokymai |
Įdiegti incidentų ataskaitų procesą | Ankstyvas įspėjimas (≤24 h), pirminė ataskaita (≤72 h), galutinė (≤1 mėn.) |
Tvarkyti tiekimo grandinės riziką | Atnaujinti sutartis, parengti klausimynus, įrodymų tikrinimas |
Įtvirtinti nuolatinį tobulinimą | KPI, ketvirtiniai vertinimai, metiniai auditai |
Išsamias instrukcijas, kaip įgyvendinti šiuos žingsnius, rasite ENISA rekomendacijose.
Atitikties pažangos tikrinimas
Kad neatsiliktumėte nuo plano, itin svarbu turėti aiškiai apibrėžtą atitikties kontrolinį sąrašą. Toks sąrašas vienu metu veikia ir kaip rizikos valdymo priemonė, ir kaip komunikacijos įrankis vadovybei.
Sritis | Pagrindinė veikla |
Valdymas | Valdybos patvirtinta politika, atsakomybės |
Rizikos valdymas | Atnaujintas vertinimas, tiekimo grandinės peržiūros |
Techninės priemonės | MFA, atsarginės kopijos, žurnalai, EDR, prieigos valdymas |
Incidentų valdymas | Procesai pagal 23 str. |
Stebėsena | KPI, skydeliai, incidentų tendencijos |
Auditai | Vidiniai ir trečiųjų šalių vertinimai |
Artėjant baudoms, šis kontrolinis sąrašas – gyvybiškai būtinas.
Efektyvus incidentų ataskaitų teikimas
Incidentų valdymas – sritis, kurioje daug organizacijų suklumpa, ypač atsiradus naujiems reglamentams. 23 straipsnyje nustatyta griežta terminų seka:
Etapas | Terminas | Kanalas |
Ankstyvas įspėjimas | Per 24 h nuo sužinojimo | Nacionalinio CSIRT ar institucijos portalas |
Pirminė ataskaita | Per 72 h | Tas pats |
Galutinė ataskaita | Per 1 mėn. (arba uždarius incidentą) | Tas pats |
Termino praleidimas padidina reguliatorių spaudimą, tad komandas ir sistemas paruoškite iš anksto.
Ar esate pasirengę naujam incidentui?
Kelias į visišką NIS2 įgyvendinimą ES mastu kupinas iššūkių, bet ir galimybių. Laikydamiesi aiškaus plano, naudodamiesi tinkamais įrankiais ir išlaikydami budrumą, organizacijos ne tik įvykdys reguliacinius reikalavimus, bet ir sustiprins bendrą kibernetinį atsparumą. Esminis klausimas nėra „ar reikia ruoštis“, o „ar būsime pasirengę, kai įvyks naujas incidentas?“.