TIS 2 direktyva (1 dalis)
TIS 2 direktyva įpareigoja Europos Sąjungos (toliau – ES) organizacijas stiprinti kibernetinio saugumo rizikos valdymą. Pagrindinis tikslas – užtikrinti, kad organizacijos efektyviai valdytų rizikas, susijusias su tinklų ir informacinių sistemų veikla, kurios būtinos esminių paslaugų teikimui.
9/27/20242 min read
TIS 2 direktyva įpareigoja Europos Sąjungos (toliau – ES) organizacijas stiprinti kibernetinio saugumo rizikos valdymą. Pagrindinis tikslas – užtikrinti, kad organizacijos efektyviai valdytų rizikas, susijusias su tinklų ir informacinių sistemų veikla, kurios būtinos esminių paslaugų teikimui. Rizikos valdymo priemonės pagal TIS 2 direktyvą Organizacijos turi įdiegti aiškias ir efektyvias rizikos valdymo priemones, kurios užtikrintų tinklų ir informacinių sistemų apsaugą. Pagal TIS 2 reikalavimus, šios priemonės apima:
Nuolatinė rizikos analizė – organizacijos privalo nuolat atlikti tinklų ir informacinių sistemų rizikų vertinimus, siekdamos nustatyti ir pašalinti pažeidžiamumus, keliančius grėsmę sistemų vientisumui, konfidencialumui ir prieinamumui.
Incidentų valdymo planai – direktyva įpareigoja organizacijas parengti efektyvius planus, skirtus kibernetinių incidentų aptikimui ir operatyviam atsakui. Incidentų valdymo mechanizmai turi užtikrinti, kad grėsmės būtų greitai aptinkamos, o jų poveikis – minimalizuojamas.
Atsakomybė už rizikos valdymą – organizacijos turi aiškiai apibrėžti atsakomybę už rizikos valdymo priemonių įgyvendinimą ir užtikrinti, kad vadovybė reguliariai peržiūrėtų ir tobulintų šiuos procesus bei veiksmus.
Tiekimo grandinės saugumo rizikos valdymas TIS 2 direktyva pabrėžia tiekimo grandinės rizikų svarbą. Organizacijos turi stebėti savo tiekėjų ir paslaugų teikėjų saugumo lygį, nes tiekimo grandinės pažeidžiamumai gali kelti tiesioginę grėsmę organizacijos tinklų ir informacinių sistemų saugumui.
Veiklos tęstinumo užtikrinimas TIS 2 direktyva taip pat reikalauja, kad organizacijos parengtų ir įgyvendintų veiklos tęstinumo planus, kurie užtikrintų esminių paslaugų teikimą net ir kibernetinių incidentų metu. Šie planai padeda organizacijoms minimalizuoti veiklos sutrikimus ir išlaikyti paslaugų teikimą net esant kritinėms kibernetinėms grėsmėms.
Sankcijos
Baudos už rizikos valdymo trūkumus Jei organizacijos nesilaiko TIS 2 reikalavimų dėl rizikos valdymo, gali būti taikomos griežtos finansinės baudos, siekiančios iki 10 mln. EUR arba 2 % metinių pasaulinių pajamų, atsižvelgiant į tai, kuri suma yra didesnė.
Išvados
TIS 2 direktyva reikalauja, kad ES organizacijos imtųsi griežtų ir nuolatinių veiksmų valdant kibernetines rizikas. Reguliari rizikos analizė, aiškiai apibrėžta atsakomybė ir veiksmingi incidentų valdymo planai padeda organizacijoms apsisaugoti nuo grėsmių ir užtikrinti stabilų veiklos tęstinumą.
ISO 31000:2018
certified
DCRO Certified in Cyber Risk Governance