Lietuvoje atitiktį NIS2 direktyvai apibrėžia atnaujintas Kibernetinio saugumo įstatymas, kuris įsigaliojo nuo 2024 m. spalio. Ši direktyva – tai lyg privalomasis vairuotojų civilinės atsakomybės draudimas, padedantis apsaugoti įmonės veiklą „nelaimės“ – kibernetinės atakos – atveju.
Šių metų liepos mėnesį Čekijoje įvykdyta kibernetinė ataka prieš tarptautinę kredito informacijos bendrovę „Creditinfo CEE“ parodė, kad net ir tarptautinius saugumo sertifikatus turinčios organizacijos nėra apsaugotos nuo duomenų praradimo rizikos. Įsilaužėlių grupuotė „Payoutsking“ paskelbė pavogusi jautrią klientų informaciją (asmens dokumentus, sutartis, slaptažodžius), nors įmonė buvo sertifikuota pagal ISO saugumo standartus. Tai išryškina svarbią problemą: vienkartinis saugumo įvertinimas neapsaugo nuo grėsmių, jei saugumas nėra užtikrinamas nuosekliai ir nuolatos. Būtent šį procesinį požiūrį į kibernetinę saugą akcentuoja naujoji Europos Sąjungos direktyva NIS2 (liet. TIS 2 – tinklų ir informacinių sistemų saugumo).
Lietuvoje atitiktį NIS2 direktyvai apibrėžia atnaujintas Kibernetinio saugumo įstatymas, kuris įsigaliojo nuo 2024 m. spalio. Kibernetinio saugumo įmonės „CyberUpgrade“ bendraįkūrėjo Algirdo Stasiūnaičio teigimu, ši direktyva – tai lyg privalomasis vairuotojų civilinės atsakomybės draudimas, padedantis apsaugoti įmonės veiklą „nelaimės“ – kibernetinės atakos – atveju.
Pakelta saugumo ir asmeninės atsakomybės kartelė
Ankstesniuose reglamentuose daugiausia dėmesio buvo skiriama techninėms priemonėms, o NIS2 direktyva akcentuoja rizikos valdymą, procesus ir vadovybės atsakomybę. Tai reiškia, kad organizacijos turi ne tik įsidiegti apsaugos priemones, bet ir reguliariai vertinti savo kibernetines rizikas bei priimti sprendimus, užtikrinančius veiklos tęstinumą ir greitą incidentų suvaldymą.
„Iš organizacijų nebeprašoma tiesiog „užtikrinti saugumo“ – jos turi prisiimti riziką. Norėdami išlikti patikimais partneriais ir paslaugų teikėjais pagal NIS2, valdybos nariai ir vadovai turi traktuoti kibernetinį saugumą kaip neatskiriamą verslo strategijos dalį,“ – sako A. Stasiūnaitis.
NIS2 direktyva įmonėms sukelia nemažai klausimų. Tiksliai nežinoma, kaip reikės įgyvendinti keliamus reikalavimus, svarstoma, kad vietoj jų labiau apsimokėtų susimokėti baudas. Visgi pastarųjų mėnesių pavyzdžiai dar kartą įrodo, jog dabartinis įmonių apsisaugojimo lygis nėra pakankamas: vien liepos mėnesį kibernetinį išpuolį patyrė didžiausia Europos sveikatos priežiūros paslaugų teikėja „AMEOS Group“ ir Prancūzijos gynybos bendrovė „Naval Group“. Valstybinės duomenų apsaugos inspekcijos duomenimis, Lietuvoje per 2025 pirmąjį pusmetį buvo registruoti 33 kibernetiniai incidentai.
A. Stasiūnaitis pasakoja, kad nors kai kurios įmonės nerimauja dėl papildomų kaštų, susijusių su NIS2 reikalavimų įgyvendinimu, iš tiesų tai yra ilgalaikė investicija į saugumą: „Vienas didelis kibernetinis incidentas gali kainuoti daugiau nei metai prevencinių priemonių diegimo.“
Remiantis Ponemon Institute ir IBM Security atliktais tyrimais (2024 m.), vidutinė kibernetinės atakos žala mažoms ir vidutinėms įmonėms gali siekti nuo 120 000 iki 270 000 eurų, priklausomai nuo incidento pobūdžio ir poveikio verslo procesams, jau nekalbant apie reputacinę žalą.
Kas laukia įmonių?
Nacionalinis kibernetinio saugumo centras jau informavo įmones, priklausančias esminiams ir svarbiems subjektams apie jų įtraukimą į Kibernetinio saugumo subjektų registrą. NIS2 direktyva taikoma energetikos, gamybos (maisto, elektronikos, cheminių medžiagų ir kt.), sveikatos priežiūros, transporto, atliekų tvarkymo, skaitmeninės infrastruktūros, bankininkystės ir kitiems sektoriams.
Svarbu pabrėžti, kad už nesilaikymą gali grėsti didelės baudos – esminiams subjektams jos siekia iki 10 mln. eurų arba 2% metinės apyvartos (priklausomai nuo to, kuri suma didesnė). Svarbiems subjektams taikomos baudos siekia iki 7 mln. eurų arba 1,4 proc. metinės apyvartos. Atsakomybė teks ir vadovams ar atsakingiems asmenims: jiems numatytos piniginės baudos (250–3000 eurų už pirmą pažeidimą ir 2000–6000 už pakartotinį) ar laikinas nušalinimas nuo pareigų.
NIS2 kaip galimybė konkuruoti
Įmonės, investuojančios į saugumą, gali įgyti konkurencinį pranašumą, nes užsakovai, ypač užsienio rinkose, vis dažniau reikalauja pripažintų kibernetinio saugumo standartų įgyvendinimo įrodymų. Naujoji direktyva – tai galimybė verslui tapti atsparesniu ir patrauklesniu partneriams. Tikėtina, kad dideli tiekėjai su dideliais užsakymais nerizikuos dirbti su tais verslais, kurie nuvertina kibernetinio saugumo svarbą ir neįgyvendina naujosios direktyvos reikalavimų.
„Daugiau dėmesio skiriant kibernetinio saugumo užtikrinimui, galima apsaugoti ir esminius verslo rodiklius, tokius kaip sąnaudos, apyvarta ar pelnas“, – sako A. Stasiūnaitis. Jo teigimu, įmonės, kurios į Kibernetinio saugumo įstatymą žiūri kaip į pareigą „susitvarkyti savo kiemą“ užsitikrina verslo tęstinumą, klientų saugumą ir savo patikimumą nelaimės atveju.
Kaip pradėti ruoštis?
„CyberUpgrade“ ekspertai rekomenduoja žengti šiuos pirmuosius žingsnius:
- Atlikti kibernetinio saugumo auditą: įvertinti esamą įmonės saugumo būklę ir silpnąsias vietas.
- Parengti rizikų žemėlapį ir veiksmų planą: identifikuoti didžiausias grėsmes ir numatyti jų valdymo priemones.
- Ugdytis kompetencijas: štraukti IT komandą, vadovybę ir darbuotojus, organizuoti mokymus bei testus.
- Ieškoti patikimų partnerių: pasitelkti kibernetinio saugumo ekspertus, kurie padėtų pasirengti atitikties procesui.
