ATMINTINĖ


Kaip savivaldybėms pasiruošti naujiems NIS2 saugumo reikalavimams?

Noriu sužinoti daugiau 

Naujoji Europos kibernetinio saugumo NIS2 direktyva įsigaliojo 2024 m. spalio 18 d. Ji siekia gerinti skaitmeninę viešojo sektoriaus organizacijų bei savivaldybių apsaugą. 

​Lietuvos savivaldybėms ir jų kontroliuojamoms įmonėms ši direktyva reikšmingai keičia saugumo reguliavimą bei reikalavimus, ypač didelis dėmesys skiriamas saugos sistemų – perimetro kontrolės, įeigos kontrolės, stebėjimo kamerų – patikimumui ir nuolatinei priežiūrai. 

Pagrindiniai pokyčiai ir dėmesys savivaldybėms

Didesnis organizacijų skaičius įtrauktas į reguliavimo sritį

NIS2 direktyva plečia sektorius ir organizacijas, kurias apima reguliavimas. Tai reiškia, kad daugiau savivaldybių ir viešojo sektoriaus institucijų gali būti tiesiogiai įtrauktos į šios direktyvos taikymo sritį. Tai apima institucijas, kurios užtikrina pagrindines viešąsias paslaugas, tokias kaip vandens tiekimas, sveikatos apsauga, atliekų tvarkymas ir pan.

Aukštesni saugumo standartai

Nauji ES reikalavimai nustato aukštesnius kibernetinio saugumo reikalavimus ir standartus, kuriuos privalo įgyvendinti savivaldybės ir kitos viešojo sektoriaus organizacijos. Reikalaujama patikimų technologinių sprendimų, skaitmeninio įsilaužimo prevencijos strategijų ir procedūrų, kurios būtų reguliariai atnaujinamos.

Atsakomybės ir kontrolės stiprinimas

Vadovai ir savivaldybių IT skyrių vadovai privalo imtis iniciatyvos užtikrinant atitiktį naujiems skaitmeninio saugumo reikalavimams. Naujasis įstatymas apibrėžia atsakomybę už skaitmeninių saugumo incidentų valdymą, taip pat baudų ir kitų sankcijų grėsmę, jei nesiimama tinkamų priemonių.

Pagrindiniai veiksmai, kurių turi imtis savivaldybės

1. Technologinės saugumo priemonės

Savivaldybės privalo atnaujinti ir stiprinti savo IT infrastruktūrą, savivaldybių valdomų kompanijų apsaugą. Tai apima ne tik stipresnių ugniasienių įdiegimą, duomenų šifravimą, bet ir prieigos kontrolės stiprinimą ir kitus saugumo sprendimus. Taip pat būtina reguliariai atnaujinti stebėjimo kamerų, perimetro, įeigos, gaisro kontrolės įrenginių programinę įrangą, kad būtų pašalintos žinomos saugumo spragos.

2. Saugumo rizikų vertinimas

Savivaldybės privalo reguliariai atlikti saugos sistemų saugumo rizikos vertinimus, kad identifikuotų potencialias grėsmes ir jų poveikį. Šios rizikos turėtų būti valdomos atsižvelgiant į svarbiausias viešąsias paslaugas, kurios gali būti sutrikdytos.

3. Incidentų valdymo sistema

Savivaldybės privalo įgyvendinti tinkamas incidentų aptikimo, pranešimo ir reagavimo procedūras. Nauji ES įstatymai numato privalomus incidentų pranešimus per nustatytą laiką. Tai reiškia, kad savivaldybės privalo turėti aiškų veiksmų planą, kaip informuoti nacionalines kibernetinio saugumo tarnybas apie bet kokius rimtus incidentus.

4. Darbuotojų mokymai

Viena iš silpniausių vietų užtikrinant skaitmeninį saugumą yra jūsų darbuotojai. Todėl savivaldybės turi užtikrinti, kad darbuotojai būtų tinkamai apmokyti atpažinti kibernetines grėsmes, tokias kaip sukčiavimo el. laiškai ar kenkėjiškos programos.

5. Tiekimo grandinės saugumas

Nauji įstatymai pabrėžia saugos įrenginių tiekimo grandinės saugumo svarbą. Savivaldybės privalo įvertinti trečiųjų šalių teikėjus, ypač IT įrangos ir paslaugų teikėjus, ir užtikrinti, kad jie taip pat atitinka aukštus kibernetinio saugumo standartus.

Konkretūs veiksmai savivaldybėms

Patikrinti naudojamą įrangą

Savivaldybės IT ir apsaugos skyriai turi vertinti saugos sistemų atitiktį naujiems reikalavimams ir, jei reikia, nedelsiant keisti neatitinkančią įrangą.

Sukurti fizinės saugos užtikrinimo strategiją

 ir integruoti ją į savivaldybės kasdienę veiklą.

Užtikrinti nuolatinį naujų saugos sistemų atnaujinimą

 bei auditus.

Paskirti atsakingus asmenis arba departamentus

kurie prižiūrėtų, kad būtų laikomasi naujųjų ES NIS2 reikalavimų.

Naujoji direktyva reglamentuoja šių fizinės saugos priemonių būtinybę:

Perimetro apsauga, įeigos kontrolė, apšvietimas, vaizdo stebėjimas, vaizdo stebėjimas su operatoriumi, apsauginės durys, apsaugos sistemų integracijos sąsaja, signalizacija su operatoriumi, įėjimo kontrolės sistema, aukšto saugumo prieigos kontrolės sistema, apsaugos punktas ir jo darbuotojai.


Kiekvienam iš šių komponentų taikomi specialūs sertifikatai, ypač vaizdo stebėjimo ir prieigos kontrolės sistemoms. Jų komponentai turi atitikti naujus ES standartus ir konkrečius naujausius teisės aktus, pavyzdžiui, būtina atkreipti dėmesį, ar stebėjimo įranga pagaminta draugiškoje Lietuvai šalyje. 


Šis kriterijus padeda išvengti visų esminių problemų, nes ES, P. Korėjoje ar JAV pagaminti saugumo sprendimai visada yra aukščiausio patikimumo lygmens.

Patikimi apsaugos įrangos gamintojai

Kurie atitinka NIS2 reikalavimus