NIS2 direktyva

Icon

Kas yra NIS2?

Antroji ES Network and Information Systems arba dažniau vadinama NIS2 (lietuviškai – tinklo ir informacinių sistemų saugumo direktyva arba TIS2) – turi panašumų su BDAR iš tos pusės, kad tai yra dar viena ES direktyva skirta informacijos ir kibernetinio saugumo kartelės kėlimui. BDAR pagrindinis dėmesys buvo skiriamas asmens duomenų apsaugai, o NIS2 – aukštesniems kritinių ir svarbių sektorių kibernetinio saugumo standartams. Kaip ir BDAR, NIS2 taikoma tiek viešam, tiek privačiam sektoriui.

Ši direktyva nustato tam tikrus reikalavimus informacijos ir kibernetinio saugumo valdymui bei įgyvendinimui, kurias turi atitikti visos įmonės ir organizacijos, kurios patenka į kritinių ir svarbių subjektų sąrašą. Sąrašo sudarymo kriterijai bei konkretūs reikalavimai nurodyti atnaujinto Lietuvos Respublikos Kibernetinio Saugumo Įstatymo 2024 m. lapkričio 6 d. nutarime.

Kodėl svarbi NIS2 direktyva?

NIS direktyva, kuri įsigaliojo 2016 metais, siekė pakelti ir suvienodinti kibernetinio saugumo lygį tarp ES šalių narių. NIS Investments Reports rodo, kad organizacijų, kurioms buvo taikoma direktyva, dėmesys ir resursai, skiriami kibernetiniam saugumui, ženkliai išaugo. Tačiau taip pat buvo pastebėta, kad šios organizacijos nefunkcionuoja izoliacijoje, todėl svarbi ir visa tiekimo grandinė. Taip pat reikalavimai vykdyti direktyvą nėra pakankamai griežti.

Kuo NIS2 skiriasi nuo NIS1?

Lyginant su NIS1, ženkliai praplečiamas įmonių, kurioms bus taikoma naujoji direktyvos versija, ratas. Be kritinių sričių praplėtimo, pridedamos ir svarbios sritys. Direktyvos taikymas šioms sritims skirsis tuo, kad kritiniams sektoriams priskiriamos organizacijos turės nuolatos pateikti įrodymus apie savo kibernetinio saugumo būklę, o svarbiems – bus tikrinamos įvykus incidentui.

  • Kritinio sektoriaus organizacijos: 250 darbuotojų, metinės pajamos 50 milijonų eurų;
  • Svarbios organizacijos: 50 darbuotojų, metinės pajamos 10 milijonų eurų.

Kriterijai gali svyruoti priklausomai nuo sektoriaus. Organizacija gali būti laikoma kritine nepriklausomai nuo jos dydžio, jei tai yra vienintelis kritinės paslaugos tiekėjas.

Taip pat dalį įmonių, tai palies netiesiogiai, nes jos bus šių įmonių paslaugų teikėjai (trečiosios šalys), kurių dėmesiu, skiriamu kibernetiniam saugumui irgi turės būti įsitikinta.

NIS2: kritiniai sektoriai

Energetika
Vandens tiekimas
Transportas
Finansų sektorius
Medicina ir farmacija
Skaitmeninė infrastruktūra
Viešasis administravimas

NIS2: svarbūs sektoriai

Gamybos pramonė
Maitinimas
Atliekų tvarkymas
Kosmoso tyrinėjimas
Paštas ir siuntos
Mokslinė tiriamoji veikla
Chemijos pramonė
Skaitmeninių paslaugų tiekėjai

Pagrindiniai pagal NIS2 atnaujinto Kibernetinio Saugumo Įstatymo reikalavimai

1.
Tinklų ir informacinių sistemų saugumo politikos parengimas
2.
Kibernetinio saugumo rizikos analizė
3.
Už kibernetinį saugumą organizacijoje atsakingo asmens paskyrimas
4.
Kibernetinių incidentų valdymas: plano parengimas, infrastruktūros stebėjimas, incidentų analizė, raportavimas
5.
Veiklos tęstinumo plano sudarymas
6.
Tiekimo grandinės saugumo reikalavimų nustatymas
7.
Sutartys su trečiosiomis šalimis
8.
Pažeidžiamumų valdymas
9.
Atitikties Kibernetinio Saugumo Įstatymui vertinimas
10.
Nepriklausomas išorės auditas
11.
Kibernetinės higienos praktika ir mokymai
12.
Kriptografija ir šifravimas: naudojimo politika ir procedūros bei technologiniai sprendimai
13.
Prieigos valdymo ir kelių veiksnių tapatumo nustatymo priemonės
14.
Žmogiškųjų išteklių saugumas, fizinės prieigos ir turto valdymo politika

Kokios baudos gresia?

Kritinio sektoriaus įmonėms ir organizacijoms baudos gali siekti 10 000 000 Eur arba 2% metinių praėjusių metų pajamų (didesnė reikšmė).

Svarbaus sektoriaus įmonėms ir organizacijoms baudos gali siekti 7 000 000 Eur arba 1,4% metinių praėjusių metų pajamų (didesnė reikšmė).

Svarbiausios NIS2 datos

2022.12.27
Parengimas
Buvo parengta NIS2 direktyva
2022.12.27
2023.01.16
Ruošimasis
Šalys narės turėjo pradėti ruoštis įsigaliojimui
2023.01.16
2024.10.18
Įsigaliojimas
Direktyva pradėjo galioti, o šalys narės jau turėjo būti susitvarkusios įstatyminę bazę
2024.10.18
2025.04.17
Sąrašai
Nustatyti kritinių ir svarbių organizacijų ir įmonių sąrašai
2025.04.17

Jeigu kyla klausimų apie NIS2, susisiekite:

Icon
Vytautas Kuliešius
Kibernetinio saugumo audito paslaugų vadovas