2022 m. pabaigoje buvo priimtas ES teisės aktų leidėjų sprendimas, patvirtinantis antrąją Tinklo ir informacinių sistemų saugumo direktyvą (NIS2), kuria siekiama sustiprinti kibernetinį atsparumą visoje Europos Sąjungoje. Naujasis teisės aktas yra atsakas į didėjančią kritinių sektorių priklausomybę nuo skaitmenizacijos ir didesnį jų pažeidžiamumą kibernetinėms grėsmėms.

Poreikis naujiems reikalavimams kilo iš to, kad dabartiniai teisės aktai sunkiai įgyvendinami visose ES valstybėse narėse ir jie taikomi nenuosekliai. Nors pirminiai teisės aktai pagerino bendrą Europos kibernetinio saugumo padėtį, vis dar yra spragų, kurias reikia pašalinti.

Naujoji direktyva pakeičia 2016 m. priimtą tinklų ir informacinių sistemo saugumo direktyvą, kuri yra pirmasis ES masto teisės aktas dėl kibernetinio saugumo. NIS2 nustatoma platesnė veiksmų taikymo sritis, daranti poveikį didesniam skaičiui subjektų, veikiančių „itin svarbiuose“ sektoriuose: tiek viešajame, tiek privačiame, pavyzdžiui, energetikos, transporto, bankininkystės bei kituose. Dar kituose „ypatingos svarbos“ sektoriuose, pavyzdžiui, gamybos, maisto, cheminių medžiagų, atliekų tvarkymo, pašto paslaugų, veikiantiems subjektams nustatyti nauji įpareigojimai. Trumpai tariant, teisės aktu siekiama ilgainiui padidinti kibernetinio saugumo lygį Europoje.

Kritinės svarbos įmonėms, siekiant užtikrinti veiklos tęstinumą, bus taikomas reikalavimas imtis techninių ir praktinių priemonių, kad būtų laikomasi NIS2 reikalavimų, įskaitant reagavimą į incidentus, tiekimo grandinės saugumą, šifravimo naudojimą, pažeidžiamumų atskleidimą, tinkamą rizikos analizę, kibernetinio saugumo strategijų testavimą ir auditą bei krizių valdymo planavimą. Kibernetinio incidento atveju šie subjektai taip pat privalės per 24 valandas pateikti pirminį pranešimą, o per 72 valandas – išsamesnę informaciją. NIS2 taip pat nustatomos baudos už reikalavimų nesilaikymą, įskaitant sertifikavimo sustabdymą ir vadovaujančias pareigas užimantiems asmenims tiesioginę atsakomybę pagal nacionalinius įstatymus.

Apibendrinant, iš paminėtų pramonės sektorių organizacijų bus tikimasi, kad vadovybė bus atsakinga ir atskaitinga už:

• kibernetinio saugumo rizikos valdymo priemonių patvirtinimą C lygmeniu;
• rizikos valdymo priemonių įgyvendinimo savalaikę priežiūrą;
• specialių, reguliarių mokymų ir informuotumo didinimo, siekiant įgyti kibernetinio atsparumo gebėjimus ir įvertinti susijusias rizikas organizacijai, užtikrinimą;
• bet kokį organizacijos neatitikimą reikalavimams.

Taip pat direktyva įsteigiamas Europos kibernetinių krizių ryšių palaikymo organizacijų tinklas (EU-CyCLONe), kad už kibernetinį saugumą atsakingos nacionalinės institucijos galėtų efektyviau bendradarbiauti: kiekviena valstybė narė privalės aiškiai nurodyti vieną kontaktinį centrą, kuriam būtų galima pranešti apie kibernetinius incidentus.

ESET Lietuva kibernetinio saugumo specialistas Ramūnas Liubertas teigia, jog didelio masto pakeitimai iš pradžių gali išgąsdinti ilgai besitęsiančiais sudėtingais procesais, tačiau reikia suvokti, kokią didelę naudą direktyvos įveiklinimas atneš ne tik šalies, bet ir visos Europos Sąjungos kontekste. „Glaudus šalių ir institucijų tarpusavio bendradarbiavimas reikš greitesnę gerųjų praktikų, kaip suvaldyti kibernetinius incidentus, sklaidą, tokiu būdu apsaugotumėte ne tik savo, bet ir klientų bei partnerių verslo tęstinumą. Taip pat NIS2 daugiausiai dėmesio skiriama integruotam rizikos valdymui visoje tiekimo grandinėje, tai užtikrins efektyvesnį rizikos valdymo koordinavimą ir atsparesnę, geriau apsaugotą pasaulio ekonomiką.” – sako kibernetinio saugumo ekspertas. Galiausiai R. Liubertas pabrėžia, jog didesnis dėmesys visos įstaigos kibernetiniam saugumui paskatins edukuoti darbuotojus, jog jie būtų budresni ir žinotų, kaip elgtis susidūrus su potencialiomis grėsmėmis.

NIS2 bus pradėta taikyti po to, kai ES valstybės narės direktyvą perkels į savo nacionalinę teisę – iki 2024 m. rugsėjo mėn. Vis dėlto tikėtina, jog organizacijos norės pasiruošti anksčiau nei vėliau – ne tik tam, kad laiku įsitrauktų į įgyvendinimo procesą, bet ir tam, kad galėtų išbandyti įvairias gerąsias incidentų nagrinėjimo, valdymo politikos ir ataskaitų teikimo metodikų praktikas. Galima teigti, jog NIS2 apibrėžia minimalų bendrą kibernetinio saugumo lygį Europoje, kuris turėtų būti laikomas tvirtu pagrindu po kojomis.