NIS2 direktyva skirtingiems sektoriams taiko skirtingus, bet aiškiai apibrėžtus kibernetinio saugumo reikalavimus. Savivaldybės, finansinės ir logistikos įmonės priskiriamos prie „esminių“ arba „svarbių“ subjektų. Tai reiškia – daugiau atsakomybės, privalomas incidentų pranešimas, didesnė rizika vadovybei ir būtinybė valdyti tiekimo grandinės saugumą. Šiame straipsnyje pateikiame, ką kiekvienas iš šių sektorių turi žinoti ir daryti.
1. Savivaldybės: duomenys, kuriuos privalu saugoti
Rizika: asmens duomenys, socialinių paslaugų sistemos, infrastruktūros valdymo sistemos.
Ko reikalauja NIS2:
Rizikų valdymas visoje IT infrastruktūroje (įskaitant išorinius paslaugų tiekėjus);
Incidentų valdymo planas su aiškiais pranešimo terminais (24–72 val.);
Vadovybės atsakomybė ir informuotumas apie kibernetinę riziką;
Duomenų atsarginių kopijų valdymas ir testavimas.
Baltic Amadeus sprendimai savivaldybėms:
Saugumo auditas ir BCP (veiklos tęstinumo planavimas);
Incidentų valdymo procesų sukūrimas;
Kibernetinio saugumo mokymai valdymo lygiui;
Tiekimo grandinės partnerių vertinimas.
2. Finansinės įmonės: greitis, patikimumas ir duomenų vientisumas
Rizika: finansinių transakcijų duomenys, sąsajos su mokėjimų paslaugomis, klientų asmens duomenys.
Ko reikalauja NIS2:
Aiškiai apibrėžtų incidentų aptikimo, reagavimo ir pranešimo procesų;
Prieigos valdymo, šifravimo, daugiafaktorinio autentifikavimo;
Įpareigojimo reguliariai atlikti auditus ir saugumo testus;
Tiekimo grandinės valdymo – ypač su fintech sprendimais ir API integracijomis.
Baltic Amadeus sprendimai finansų sektoriui:
Reguliari pažeidžiamumų analizė;
Pagalba ruošiantis auditams ir NIS2 priežiūrai;
Strateginis tiekėjų vertinimas pagal rizikos poveikį.
3. Logistikos įmonės: tiekimo grandinės apsauga
Rizika: trečiųjų šalių programinė įranga (WMS, TMS, ERP), realaus laiko duomenų perdavimas, geolokacija.
Ko reikalauja NIS2:
Kibernetinio saugumo užtikrinimo visoje tiekimo grandinėje;
Incidentų valdymo planų, apimančių išorinius tiekėjus;
Saugios API integracijos su partneriais;
Testavimo, simuliacijos ir tiekėjų audito.
Baltic Amadeus sprendimai logistikai:
Praktinės tiekimo grandinės saugumo strategijos;
Automatizuotas tiekėjų vertinimo modelis;
API saugumo auditas ir prieigos valdymo konfigūracija;
Incidentų simuliacijos ir pasirengimo testai.
Viena direktyva – trys realybės
| Sektorius | Tipinės grėsmės | NIS2 dėmesio sritys | Baltic Amadeus pagalba |
| Savivaldybės | Asmens duomenys, IT paslaugų nutraukimas | Vadovybės atsakomybė, BCP, tiekėjų kontrolė | Strateginis saugumo auditas ir mokymai |
| Finansai | Duomenų vagystė, sistemų ataka | Incidentų pranešimas, šifravimas, auditai | Incidentų planai, testavimas |
| Logistika | Tiekėjų spragos, API pažeidžiamumai | Tiekimo grandinė, integracijos, simuliacijos | Vertinimai, API apsauga, komunikacijos scenarijai |
DUK: Dažniausiai užduodami klausimai
Ar mažesnės įstaigos (pvz., mažos savivaldybės) taip pat turi laikytis NIS2?
Taip, jei jos priskiriamos prie „esminių“ subjektų. Paprastai tai visos savivaldybės, nepriklausomai nuo dydžio.
Ką daryti, jei įmonė jau turi ISO 27001?
Puikus pagrindas, tačiau NIS2 turi papildomus reikalavimus – ypač dėl incidentų pranešimo, vadovybės atsakomybės ir tiekėjų vertinimo.
Kiek laiko turiu pasirengti?
Direktyva įsigaliojo 2024-10-18. Jei dar nepradėjote – 2025 m. yra paskutiniai metai pasivyti ir išvengti sankcijų.
Pabaigai
NIS2 direktyva nėra vien tik IT skyrių rūpestis. Ji keičia valdymo kultūrą, informacijos saugumo politiką ir tiekimo ekosistemos priežiūrą.
Užsak. Nr. 529
