AKTUALIJOS
TIS.2 direktyva

Naujojo kibernetinio saugumo įstatymo svarba Lietuvos organizacijoms

Tobulėjant skaitmeninei aplinkai, auga ir jį lydinčios grėsmės. Šių metų spalio 18 d. įsigaliojo kibernetinio saugumo įstatymo pakeitimas, kuriuo į Lietuvos teisę perkeliamos Europos Parlamento ir Tarybos direktyva (TIS 2). Įvairių sektorių organizacijos, įskaitant draudimo sektorių, susiduria su dideliais pokyčiais. Šiuo teisės aktu siekiama sustiprinti ypatingos svarbos infrastruktūros objektų atsparumą kibernetinėms grėsmėms ir įvesti unifikuotas saugumo priemones.

TIS2 direktyvos esmė ir poveikis

TIS2 (Targeted Intelligence Sharing) direktyva yra platesnės ES kibernetinio saugumo strategijos dalis, orientuota į valstybių narių bendradarbiavimo ir keitimosi informacija stiprinimą. Šiuo teisės aktu siekiama užtikrinti, kad svarbiausi sektoriai, įskaitant finansų ir draudimo, būtų geriau pasirengusios atlaikyti kibernetinius incidentus ir į juos reaguoti.

LR Kibernetinio saugumo įstatymo pakeitimas, įgyvendinantis TIS2 direktyvos nuostatas ir liečiantis pirmiausiai ypatingos svarbos sektorius, apima keletą gyvybiškai svarbių elementų:

  • Ypatingas dėmesys skiriamas incidentų valdymui: organizacijos turi nedelsdamos pranešti atsakingoms institucijoms (Nacionaliniam kibernetinio saugumo centrui ir policijai) apie svarbius kibernetinio saugumo incidentus. Tai apima incidento pobūdžio apibūdinimą, poveikį paslaugoms ir veiksmus, kurių buvo imtasi rizikai sumažinti.
  • Rizikos valdymo sistema: nuo šiol įmonės privalo įdiegti patikimą rizikos valdymo sistemą, kuri reguliariai įvertintų jų kibernetinio saugumo priemones. Kibernetinio saugumo lygiui palaikyti subjektai ne rečiau kaip kartą per 3 metus turės atlikti kibernetinio saugumo auditą pagal Nacionalinio kibernetinio saugumo centro (prie Krašto ministerijos) tvirtinamą kibernetinio saugumo auditų atlikimo metodiką.
  • Griežtesnės nuobaudos už reikalavimų nesilaikymą: naujų taisyklių nesilaikymas gali užtraukti dideles baudas. Tikslas yra įtikinti organizacijas skirti daugiau dėmesio kibernetiniam saugumui.
  • Mokymo ir informavimo programos: būtina investuoti į darbuotojų mokymo programas apie geriausias kibernetinio saugumo praktikas. Informuoti darbuotojai gali būti pirmoji gynybinė linija nuo kibernetinių grėsmių.
  • Poveikis draudimo sektoriui

    Įgyvendinus TIS2 direktyvą, draudimo sektorius taip pat patenka į ypatingos svarbos subjektų sąrašą. Štai keletas esminių pasekmių, į kurias reikia atsižvelgti:

    • Didesnė atskaitomybė ir patikimumas. Atsižvelgdamos į naujus atitikties reikalavimus, draudimo sektoriaus bendrovės, įskaitant ir draudimo tarpininkus, kurie patenka į vieną tiekėjų grandinę, turės skirti didelį dėmesį savo kibernetinio saugumo įsipareigojimams. Šis sugriežtintas valdymas ne tik didins atsparumą grėsmėms, bet ir turėtų stiprinti vartotojų pasitikėjimą ir užtikrinti, kad klientai jaustųsi saugiau patikėdami savo duomenis draudimo sektoriaus dalyviams.
    • Tobulėjantys kibernetinio draudimo produktai. Neabejotinai naujasis įstatymas didins ir kibernetinio draudimo prieinamumą. Tikėtina, kad rinkų dalyviams bus siūlomi išsamesni kibernetinio draudimo produktai, apimantys platesnį incidentų spektrą, įskaitant duomenų pažeidimus ir išpirkos reikalaujančių programų atakas.
    • Didesnis bendradarbiavimas su technologijų įmonėmis. Draudikai turės glaudžiai bendradarbiauti su technologijų įmonėmis, kad pagerintų savo kibernetinio saugumo infrastruktūrą. Šios partnerystės bus labai svarbios įgyvendinant veiksmingas rizikos valdymo strategijas ir duomenų apsaugos priemones.

Apibendrinant, nors naujasis kibernetinio saugumo įstatymas kelia iššūkių organizacijoms, tačiau taip pat suteikia galimybių padidinti atsparumą ir vartotojų pasitikėjimą, sumažinti rizikas. Teikdamos pirmenybę kibernetiniam saugumui ir užtikrindamos, kad būtų laikomasi naujų taisyklių, organizacijos gali ne tik apsaugoti savo veiklą, bet ir prisidėti prie saugesnės skaitmeninės aplinkos kūrimo visai verslo aplinkai.

LR Kibernetinio saugumo įstatymas nesukuria naujų reikalavimų, lyginant su tarptautinio ISO 27001 standarto nuostatomis, tačiau sustiprina ir skatina informacijos saugumui teikti pirmenybę. Didėjant kibernetinių incidentų grėsmei, IVP Partners jau nuo 2019 m. informacijos saugą tvarko remdamiesi ISO 27001 standarto reikalavimais ir yra įdiegusi informacijos saugos valdymo sistemą įmonėje remiantis šio standarto reikalavimais. Taigi ateityje tikimės dar didesnio dėmesio ir informacijos saugos kultūros stiprinimo visoje rinkoje.