Direktyva 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui užtikrinti (TIS 2 direktyva)

Paulius Galubickas

person using black laptop computer
person using black laptop computer

TIS 2 direktyva reikalaujama įgyvendinti naujas griežtesnes kibernetinio saugumo taisykles ir iš esmės pagerinti rizikos prevenciją, nustatymą, reagavimą į ją, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, pažeidžiamumo valdymą ir informacijos atskleidimą.

Esminėmis ir svarbiomis laikomų įmonių valdymo organai turi patvirtinti įmonių taikomas kibernetinio saugumo rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir gali būti laikomi atsakingais už pažeidimus.

Esminėmis ir svarbiomis laikomos įmonės (žr. žemiau kokios įmonės yra jomis laikomos) privalo užtikrinti, kad valdymo organų nariai dalyvautų mokymuose ir reguliariai rengtų panašius mokymus savo darbuotojams, kad jie įgytų pakankamai žinių ir įgūdžių ir galėtų nustatyti riziką ir įvertinti kibernetinio saugumo rizikos valdymo praktiką ir jos poveikį tokių įmonių teikiamoms paslaugoms.

Esminėmis ir svarbiomis laikomos įmonės turi imtis tinkamų ir proporcingų techninių, operatyvinių ir organizacinių priemonių, siekdamos valdyti tinklų ir informacinių sistemų, kurias jos naudoja savo veiklai arba teikdamos savo paslaugas, saugumui kylančią riziką ir užkirsti kelią incidentų poveikiui jų paslaugų gavėjams ir kitoms paslaugoms arba juos sumažinti iki minimumo.

Šios priemonės grindžiamos visų rūšių pavojus apimančiu požiūriu, kuriuo siekiama apsaugoti tinklų ir informacines sistemas bei jų fizinę aplinką nuo incidentų, ir jos apima bent jau šiuos elementus:

  • rizikos analizės ir informacinių sistemų saugumo politiką;

  • incidentų valdymą;

  • veiklos tęstinumą, pvz., atsarginių kopijų valdymą ir veiklos atkūrimą po ekstremaliųjų įvykių, ir krizių valdymą;

  • tiekimo grandinės saugumą, įskaitant su saugumu susijusius aspektus, susijusius su kiekvieno subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais;

  • tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumą, įskaitant pažeidžiamumo valdymą ir atskleidimą;

  • politiką ir procedūras, skirtas kibernetinio saugumo rizikos valdymo priemonių veiksmingumui įvertinti;

  • pagrindinę kibernetinės higienos praktiką ir kibernetinio saugumo mokymus;

  • kriptografijos ir, kai taikytina, šifravimo naudojimo politiką ir procedūras;

  • žmogiškųjų išteklių saugumą, prieigos kontrolės politiką ir turto valdymą;

  • kai taikytina, kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų subjekto viduje naudojimą.

Kas privalo laikytis TIS 2 direktyvos?

TIS 2 įgyvendinimo nacionaliniai įstatymai taikomi TIS 2 I arba II priede nurodytos rūšies viešiesiems ar privatiesiems juridiniams asmenims, kurie laikomi vidutinėmis įmonėmis arba viršija vidutinėms įmonėms nustatytas viršutines ribas ir kurie teikia paslaugas arba vykdo veiklą Europos Sąjungoje.

Labai maža įmonė apibrėžiama kaip įmonė, kurioje dirba mažiau nei 10 žmonių ir kurios metinė apyvarta ir (arba) bendra metinis balansas neviršija 2 mln. EUR. Tokioms įmonėms TIS 2 netaikoma.

Maža įmonė apibrėžiama kaip įmonė, kurioje dirba mažiau nei 50 žmonių ir kurios metinė apyvarta ir (arba) bendras metinis balansas neviršija 10 mln. EUR. Tokioms įmonėms TIS 2 taip pat netaikoma.

Vidutinė įmonė apibrėžiama kaip įmonė, kurioje dirba 50–250 žmonių ir kurios metinė apyvarta yra 10–50 mln. EUR ir (arba) bendras metinis balansas neviršija 43 mln. EUR. Tokioms įmonėms TIS 2 taikoma.

Sektoriai, kuriems gali būti taikoma TIS 2, numatyti jos I priede:

Energetika (Elektra; Centralizuotas šilumos ir vėsumos tiekimas; Nafta; Dujos; Vandenilis)

Transportas (Oro transportas; Geležinkelių transportas; Vandens transportas; Kelių transportas)

Bankininkystė

Finansų rinkų infrastruktūros objektai

Sveikatos priežiūra

Geriamasis vanduo

Nuotekos

Skaitmeninė infrastruktūra

IRT paslaugų valdymas (verslas verslui)

Viešasis administravimas

Kosmosas

Sektoriai, kuriems gali būti taikoma TIS 2, taip pat numatyti jos II priede:

Pašto ir kurjerių paslaugos

Atliekų tvarkymas

Cheminių medžiagų gamyba ir platinimas

Maisto gamyba, perdirbimas ir platinimas

Gamyba (Medicinos priemonių ir in vitro diagnostikos medicinos priemonių gamyba; Kompiuterinių, elektroninių ir optinių gaminių gamyba; Elektros įrangos gamyba; Niekur kitur nepriskirtų mašinų ir įrangos gamyba; Motorinių transporto priemonių, priekabų ir puspriekabių gamyba; Kitos transporto įrangos gamyba)

Skaitmeninių paslaugų teikėjai

Moksliniai tyrimai