TIS2 direktyva yra Europos Sąjungos teisės aktas, skirtas stiprinti kibernetinį saugumą visoje Bendrijoje. Ji pakeičia ankstesnę TIS direktyvą, išplėsdama taikymo sritį ir nustatydama griežtesnius reikalavimus esminiams ir svarbiems subjektams įvairiuose sektoriuose, įskaitant energetiką, transportą, bankininkystę, sveikatos apsaugą, skaitmenines paslaugas ir kitus.
Organizacijos turi įvertinti, ar jos patenka į esminių arba svarbių subjektų kategoriją pagal TIS2 direktyvą. Tai lems jų pareigas laikytis naujų kibernetinio saugumo reikalavimų. Visi subjektai, kuriems taikomi šie reikalavimai, bus registruoti Kibernetinio saugumo informacinėje sistemoje.
Perkančiosios organizacijos ir TIS2
TIS2 direktyva yra ypač aktuali perkančiosioms organizacijoms ir jos pirmiausia būtina įsivertinti savo statusą pagal Kibernetinio saugumo įstatymą, pavyzdžiui, ar įgijo esminio kibernetinio saugumo subjekto statusą, ar ne.
Dalis perkančiųjų organizacijų turės ne tik užtikrinti savo pačių kibernetinį saugumą, bet ir rūpintis tiekimo grandinės saugumu, įskaitant aspektus, susijusius su kiekvieno kibernetinio saugumo subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais. Tai reiškia, kad perkančiosios organizacijos vertins tiekėjų ir jų subtiekėjų kibernetinio saugumo pajėgumus.
Pirkimo dokumentuose jos galės nustatyti reikalavimus, kad tiekėjai būtų įsidiegę kibernetinio saugumo valdymo sistemas, atitinkančias tarptautinius standartus, tokius kaip ISO 27001:2 ar lygiaverčius. Taip pat gali būti numatytos sutarties sąlygos, susijusios su kibernetinio saugumo užtikrinimo priemonėmis.
Reikalavimai tiekėjams
Perkančiosios organizacijos gali reikalauti, kad tiekėjai būtų atlikę kibernetinio saugumo rizikos vertinimą ir pateiktų įrodymus apie įdiegtas rizikos valdymo priemones. Taip pat gali būti reikalaujama turėti incidentų valdymo planus ir gebėti efektyviai reaguoti į kibernetinius incidentus. Be to, tiekėjai turėtų užtikrinti, kad jų subtiekėjai atitiktų kibernetinio saugumo reikalavimus, taip garantuojant visos tiekimo grandinės saugumą. Galiausiai, tiekėjai turėtų turėti tinkamas technines ir organizacines priemones kibernetiniam saugumui užtikrinti.
Pereinamasis laikotarpis ir pasiruošimas
Nors įstatyme numatytas pereinamasis laikotarpis, organizacijoms rekomenduojama pradėti ruoštis jau dabar. Tai apima statuso įsivertinimą, kibernetinio saugumo strategijos ir procedūrų peržiūrą, darbuotojų mokymus bei kitas priemones.
Įgyvendinant naujus kibernetinio saugumo reikalavimus gali kilti daug teisinių ir praktinių klausimų, rengiant reikalingus dokumentus, įskaitant kibernetinio saugumo politiką ir sutartis su tiekėjais bei paslaugų teikėjais, taip pat užtikrinant organizacijos atitiktį TIS2 direktyvai.
TIS2 direktyvos įgyvendinimas Lietuvoje reikšmingai paveiks daugelį organizacijų. Aktyvus pasiruošimas ir tinkamų priemonių įgyvendinimas padės ne tik atitikti teisės aktų reikalavimus, bet ir sustiprins organizacijos kibernetinį saugumą bei reputaciją rinkoje.