ATMINTINĖ

Kaip transporto sektoriui pasiruošti naujiems NIS2 saugumo reikalavimams?

Naujoji Europos kibernetinio saugumo NIS2 direktyva įsigaliojo 2024 m. spalio 18 d. Jos tikslas – užtikrinti didesnį skaitmeninės ir fizinės infrastruktūros saugumą įvairiuose sektoriuose, įskaitant transporto. Lietuvos transporto sektoriaus įmonėms ši direktyva kelia naujus saugumo reikalavimus, pabrėžiant ne tik skaitmeninės apsaugos svarbą, o taip pat fizinės infrastruktūros, kaip geležinkelių, oro uostų ir uostų, saugumą.

Transporto sektoriuje didžiausias dėmesys skiriamas perimetro kontrolės, įeigos kontrolės, vaizdo stebėjimo sistemų patikimumui ir nuolatinei jų priežiūrai, siekiant užtikrinti kritinių paslaugų nepertraukiamumą. Tai reiškia, kad šios sistemos turi atitikti aukščiausius saugumo standartus ir būti reguliariai atnaujinamos, kad apsaugotų nuo vis didėjančių kibernetinių grėsmių ir fizinių atakų.

Pagrindiniai pokyčiai ir dėmesys transporto sektoriuje

Didesnis organizacijų skaičius įtrauktas į reguliavimo sritį

NIS2 direktyva apima platesnį transporto sektoriaus subjektų spektrą – nuo geležinkelių infrastruktūros iki oro uostų ir viešojo transporto paslaugų teikėjų. Tai reikalauja didesnio dėmesio kibernetiniam saugumui bei fizinės infrastruktūros apsaugai, kad būtų užtikrintas transporto sistemų stabilumas ir atsparumas grėsmėms.

Aukštesni saugumo standartai

Transporto sektoriui numatyti aukštesni IT ir fizinės saugos standartai. Tai apima griežtus reikalavimus, susijusius su kibernetinėmis grėsmėmis, IT infrastruktūros apsauga ir reguliariu saugumo auditų vykdymu. Transporto paslaugos, tokios kaip oro, jūrų ir sausumos transportas, yra kritinės, tad direktyva įpareigoja didinti jų atsparumą prieš galimas kibernetines atakas.

Stiprėjantys atsakomybės reikalavimai vadovams

Direktyva numato, kad vadovai ir IT specialistai transporto sektoriuje yra atsakingi už naujų reikalavimų įgyvendinimą. Tai įpareigoja reguliariai vertinti rizikas ir užtikrinti, kad būtų taikomos tinkamos kibernetinės ir fizinės saugos priemonės.

Pagrindiniai veiksmai, kurių turi imtis įmonės

1. Sistemų ir infrastruktūros atnaujinimas

Transporto organizacijos turi modernizuoti savo infrastruktūrą, įskaitant duomenų apsaugos priemones, prieigos kontrolę ir vaizdo stebėjimo sistemas, kad jos atitiktų naujus NIS2 direktyvos reikalavimus.

2. Kibernetinio saugumo stiprinimas

Privaloma stiprinti IT saugumo priemones, užtikrinant, kad transporto paslaugų teikėjų sistemos būtų atsparios kibernetinėms atakoms. Tai apima maršrutų valdymo, bilietavimo ir transporto priemonių stebėjimo sistemas.

3. Incidentų valdymo sistema

Transporto organizacijos privalo parengti aiškias procedūras kibernetinių ir fizinių incidentų valdymui. Tai leis greitai ir efektyviai reaguoti į grėsmes bei užtikrins paslaugų tęstinumą.

4. Trečiųjų šalių tiekėjų vertinimas

Privaloma užtikrinti, kad transporto sektoriuje naudojamos technologijos bei įranga, įskaitant IT sistemų ir transporto priemonių tiekėjus, atitiktų NIS2 direktyvos saugumo standartus.

Konkretūs veiksmai transporto sektoriuje

Patikra ir atnaujinimas

Visos transporto infrastruktūros sistemos turi būti reguliariai tikrinamos ir atnaujinamos, kad atitiktų naujus reikalavimus.​

Sukurti fizinės saugos užtikrinimo strategiją

Transporto organizacijos privalo sukurti ilgalaikę skaitmeninės ir fizinės apsaugos strategiją, apimančią tiek kibernetinę apsaugą, tiek fizinės infrastruktūros saugumą.

Užtikrinti nuolatinį naujų saugos sistemų atnaujinimą

 bei auditus.

Paskirti atsakingus asmenis arba departamentus

kurie prižiūrėtų, kad būtų laikomasi naujųjų ES NIS2 reikalavimų.

Naujoji direktyva reglamentuoja šių fizinės saugos priemonių būtinybę:

Perimetro apsauga, įeigos kontrolė, apšvietimas, vaizdo stebėjimas, vaizdo stebėjimas su operatoriumi, apsauginės durys, apsaugos sistemų integracijos sąsaja, signalizacija su operatoriumi, įėjimo kontrolės sistema, aukšto saugumo prieigos kontrolės sistema, apsaugos punktas ir jo darbuotojai.


Kiekvienam iš šių komponentų taikomi specialūs sertifikatai, ypač vaizdo stebėjimo ir prieigos kontrolės sistemoms. Jų komponentai turi atitikti naujus ES standartus ir konkrečius naujausius teisės aktus, pavyzdžiui, būtina atkreipti dėmesį, ar stebėjimo įranga pagaminta draugiškoje Lietuvai šalyje. 


Šis kriterijus padeda išvengti visų esminių problemų, nes ES, P. Korėjoje ar JAV pagaminti saugumo sprendimai visada yra aukščiausio patikimumo lygmens.

Patikimi apsaugos įrangos gamintojai

Kurie atitinka NIS2 reikalavimus