Naujoji Europos kibernetinio saugumo NIS2 direktyva įsigaliojo 2024 m. spalio 18 d. Ji siekia gerinti skaitmeninę viešojo sektoriaus organizacijų bei savivaldybių apsaugą.
Lietuvos savivaldybėms ir jų kontroliuojamoms įmonėms ši direktyva reikšmingai keičia saugumo reguliavimą bei reikalavimus, ypač didelis dėmesys skiriamas saugos sistemų – perimetro kontrolės, įeigos kontrolės, stebėjimo kamerų – patikimumui ir nuolatinei priežiūrai.
Pagrindiniai pokyčiai ir dėmesys savivaldybėms
Didesnis organizacijų skaičius įtrauktas į reguliavimo sritį
NIS2 direktyva plečia sektorius ir organizacijas, kurias apima reguliavimas. Tai reiškia, kad daugiau savivaldybių ir viešojo sektoriaus institucijų gali būti tiesiogiai įtrauktos į šios direktyvos taikymo sritį. Tai apima institucijas, kurios užtikrina pagrindines viešąsias paslaugas, tokias kaip vandens tiekimas, sveikatos apsauga, atliekų tvarkymas ir pan.
Aukštesni saugumo standartai
Nauji ES reikalavimai nustato aukštesnius kibernetinio saugumo reikalavimus ir standartus, kuriuos privalo įgyvendinti savivaldybės ir kitos viešojo sektoriaus organizacijos. Reikalaujama patikimų technologinių sprendimų, skaitmeninio įsilaužimo prevencijos strategijų ir procedūrų, kurios būtų reguliariai atnaujinamos.
Atsakomybės ir kontrolės stiprinimas
Vadovai ir savivaldybių IT skyrių vadovai privalo imtis iniciatyvos užtikrinant atitiktį naujiems skaitmeninio saugumo reikalavimams. Naujasis įstatymas apibrėžia atsakomybę už skaitmeninių saugumo incidentų valdymą, taip pat baudų ir kitų sankcijų grėsmę, jei nesiimama tinkamų priemonių.
Pagrindiniai veiksmai, kurių turi imtis savivaldybės
1. Technologinės saugumo priemonės
Savivaldybės privalo atnaujinti ir stiprinti savo IT infrastruktūrą, savivaldybių valdomų kompanijų apsaugą. Tai apima ne tik stipresnių ugniasienių įdiegimą, duomenų šifravimą, bet ir prieigos kontrolės stiprinimą ir kitus saugumo sprendimus. Taip pat būtina reguliariai atnaujinti stebėjimo kamerų, perimetro, įeigos, gaisro kontrolės įrenginių programinę įrangą, kad būtų pašalintos žinomos saugumo spragos.
2. Saugumo rizikų vertinimas
Savivaldybės privalo reguliariai atlikti saugos sistemų saugumo rizikos vertinimus, kad identifikuotų potencialias grėsmes ir jų poveikį. Šios rizikos turėtų būti valdomos atsižvelgiant į svarbiausias viešąsias paslaugas, kurios gali būti sutrikdytos.
3. Incidentų valdymo sistema
Savivaldybės privalo įgyvendinti tinkamas incidentų aptikimo, pranešimo ir reagavimo procedūras. Nauji ES įstatymai numato privalomus incidentų pranešimus per nustatytą laiką. Tai reiškia, kad savivaldybės privalo turėti aiškų veiksmų planą, kaip informuoti nacionalines kibernetinio saugumo tarnybas apie bet kokius rimtus incidentus.
4. Darbuotojų mokymai
Viena iš silpniausių vietų užtikrinant skaitmeninį saugumą yra jūsų darbuotojai. Todėl savivaldybės turi užtikrinti, kad darbuotojai būtų tinkamai apmokyti atpažinti kibernetines grėsmes, tokias kaip sukčiavimo el. laiškai ar kenkėjiškos programos.
5. Tiekimo grandinės saugumas
Nauji įstatymai pabrėžia saugos įrenginių tiekimo grandinės saugumo svarbą. Savivaldybės privalo įvertinti trečiųjų šalių teikėjus, ypač IT įrangos ir paslaugų teikėjus, ir užtikrinti, kad jie taip pat atitinka aukštus kibernetinio saugumo standartus.
Konkretūs veiksmai savivaldybėms
Patikrinti naudojamą įrangą
Savivaldybės IT ir apsaugos skyriai turi vertinti saugos sistemų atitiktį naujiems reikalavimams ir, jei reikia, nedelsiant keisti neatitinkančią įrangą.
Sukurti fizinės saugos užtikrinimo strategiją
ir integruoti ją į savivaldybės kasdienę veiklą.
Užtikrinti nuolatinį naujų saugos sistemų atnaujinimą
bei auditus.
Paskirti atsakingus asmenis arba departamentus
kurie prižiūrėtų, kad būtų laikomasi naujųjų ES NIS2 reikalavimų.
Naujoji direktyva reglamentuoja šių fizinės saugos priemonių būtinybę:
Perimetro apsauga, įeigos kontrolė, apšvietimas, vaizdo stebėjimas, vaizdo stebėjimas su operatoriumi, apsauginės durys, apsaugos sistemų integracijos sąsaja, signalizacija su operatoriumi, įėjimo kontrolės sistema, aukšto saugumo prieigos kontrolės sistema, apsaugos punktas ir jo darbuotojai.
Kiekvienam iš šių komponentų taikomi specialūs sertifikatai, ypač vaizdo stebėjimo ir prieigos kontrolės sistemoms. Jų komponentai turi atitikti naujus ES standartus ir konkrečius naujausius teisės aktus, pavyzdžiui, būtina atkreipti dėmesį, ar stebėjimo įranga pagaminta draugiškoje Lietuvai šalyje.
Šis kriterijus padeda išvengti visų esminių problemų, nes ES, P. Korėjoje ar JAV pagaminti saugumo sprendimai visada yra aukščiausio patikimumo lygmens.
Patikimi apsaugos įrangos gamintojai
Kurie atitinka NIS2 reikalavimus