Pasirengimo Europos Parlamento ir Tarybos direktyvai (ES) 2022/2555 (TIS 2) paslaugos

2022 m. gruodžio 14 d. buvo priimta direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Europos Sąjungoje (tinklo ir informacinių sistemų saugumo direktyva, toliau – TIS 2). TIS 2 direktyva siekiama esminio nacionalinėje valstybėje veikiančių organizacijų veiklos pokyčio kibernetinio saugumo srityje, plečiant subjektų, kuriems taikoma direktyva, skaičių, nustatant privalomas priemones ir numatant griežtesnes sankcijas.

Į TIS 2 direktyvos taikymo apimtį patenkantys subjektai turi imtis tinkamų ir proporcingų priemonių, siekdami valdyti jų veiklai ar paslaugų teikimui naudojamų tinklų ir informacinių sistemų saugumui kylančią riziką ir užkirsti kelią informacijos ir kibernetinio saugumo incidentams arba sumažinti incidentų poveikį teikiamoms paslaugoms ir paslaugų gavėjams.

Organizacijos, siekiančios tinkamai pasirengti TIS 2 direktyvos įgyvendinimui, turi įsivertinti informacijos ir kibernetinio saugumo rizikas ir joms valdyti pasirinkti ir įgyvendinti tinkamas ir proporcingas priemones leidžiančias užtikrinti tinklų ir informacinių sistemų saugumą.

Organizacijos TIS 2 direktyvos reikalavimų įgyvendinimui gali pasirengti savarankiškai arba pasinaudoti mūsų teikiama paslauga – Pasirengimo (EU) 2022/2555 (TIS 2) direktyvai paslauga.

• Atliekame trūkumų (atotrūkio) TIS 2 direktyvos reikalavimams analizę (angl. GAP analysis), kurios metu: Įvertiname esamą organizacijos informacijos ir kibernetinio saugumo valdymo būseną ir valdymą reglamentuojančius vidaus teisės aktus; Nustatome ir išanalizuojame informacijos ir kibernetinio saugumo valdymo organizacinę struktūrą; Parengiame ir suderiname rengiamų ir koreguojamų informaciją ir kibernetinį saugumą įgyvendinančių vidaus teisės aktų sąrašą; Parengiame veiklų, būtinų užtikrinti TIS 2 direktyvos reikalavimus, įgyvendinimo planą
• Pagal poreikį atliekame reikalavimų TIS 2 direktyvai atitikties vertinimą
• Parengiame arba koreguojame organizacijos informacijos ir kibernetinio saugumo valdymą reglamentuojančius vidaus teisės aktus (politikas, tvarkas, procedūras)
• Organizuojame TIS 2 direktyvos reikalavimų ir jų įgyvendinimo organizacijoje mokymus darbuotojams
• Atliekame informacijos saugumo rizikų vertinimą, parengiame rizikų valdymo priemonių planą
• Atliekame veiklos tęstinumo išbandymo pratybas
• Konsultuojame dėl būtinų veiklų atlikimo, pasiruošimo direktyvos įgyvendinimui metu

• Parengta trūkumų (atotrūkio) TIS 2 direktyvos reikalavimams analizės (angl. GAP analysis) ataskaita ir parengiamas veiklų, būtinų užtikrinti TIS 2 direktyvos reikalavimus, įgyvendinimo planas
• Parengti arba pakoreguoti ir suderinti organizacijos informacijos ir kibernetinio saugumo valdymą reglamentuojantys vidaus teisės aktai (politikos, tvarkos, procedūros), taip pat įsakymų projektai dėl grupių sudarymo ir atsakingų asmenų paskyrimo
• Parengta ir suderinta informacijos saugumo rizikų vertinimo ataskaitas ir rizikos valdymo priemonių planas
• Parengta mokymų medžiaga ir pravesti TIS 2 direktyvos reikalavimų ir jų įgyvendinimo organizacijoje mokymai darbuotojams
• Parengta ir suderinta veiklos tęstinumo išbandymo pratybų ataskaita
• Suteiktos konsultacijos pasiruošimo TIS 2 direktyvos įgyvendinimo metu

• Nustatyti ir pašalinti trūkumai ir neatitiktys TIS 2 direktyvos reikalavimams
• Parengti ir patvirtinti organizacijos informacijos ir kibernetinio saugumo valdymą reglamentuojantys vidaus teisės aktai, paskirti atsakingi asmenys
• Organizacijos darbuotojai supažindinti su TIS 2 direktyvos reikalavimais ir jų įgyvendinimo procesu organizacijoje
• Nustatytos galimos informacijos ir kibernetinio saugumo rizikos bei parinktos tinkamos ir proporcingos rizikos valdymo priemonės
• Išbandytas veiklos tęstinumo valdymo planas
• Užtikrintas TIS 2 direktyvos reikalavimų įgyvendinimas

Siekiant tinkamai įgyvendinti TIS 2 direktyvos reikalavimus rekomenduojame pilna apimtimi įsidiegti informacijos saugumo valdymo sistemą (ISVS) pagal standarto ISO/IEC 27001 reikalavimus.

Subjektai patenka į TIS 2 direktyvos taikymo sritį priklausomai nuo sektoriaus, kuriame jie veikia ir nuo subjekto dydžio (priklausomai nuo personalo skaičiaus bei metinės apyvartos). Pagal pateiktus kriterijus į TIS 2 direktyvos taikymo sritį patenkantys subjektai yra priskiriami vienai iš dviejų kategorijų – esminiai ar svarbūs subjektai. TIS 2 direktyva yra taikoma šiems sektoriams:

• Energija (elektra, centralizuotas šildymas ir vėsinimas, nafta, dujos, vandenilis)
• Transportas (oro, geležinkelių, vandens, kelių)
• Bankininkystė
• Finansų rinkų infrastruktūros objektai
• Sveikatos priežiūra
• Geriamasis vanduo
• Nuotekos
• Skaitmeninė infrastruktūra
• IRT paslaugų valdymas (verslas verslui)
• Viešasis administravimas
• Kosmosas
• Pašto ir kurjerių paslaugos
• Atliekų tvarkymas
• Cheminių medžiagų gamyba ir platinimas
• Maisto gamyba, perdirbimas ir platinimas
• Gamyba
• Skaitmeninių paslaugų teikėjai
• Moksliniai tyrimai

Išvardytuose sektoriuose veikiantis subjektas patenka į TIS 2 direktyvos taikymo sritį, jei tai yra didelė ar vidutinė įmonė (įmonėje dirba 50 ar daugiau darbuotojų bei jos metinės pajamos / metinio balanso suma yra 10 mln. EUR ar daugiau). Išskyrus tam tikras išimtis, TIS 2 direktyva netaikoma mažoms ir labai mažoms įmonėms.

Tinkamai neįgyvendinus TIS 2 direktyvos reikalavimų, subjektams gali būti taikomos tokios baudos: Kritinio sektoriaus įmonėms ir organizacijoms baudos gali siekti 10 000 000 EUR arba 2% metinių praėjusių metų pajamų (didesnė reikšmė); Svarbaus sektoriaus įmonėms ir organizacijoms baudos gali siekti 7 000 000 EUR arba 1,4% metinių praėjusių metų pajamų (taikoma didesnė reikšmė).

• cV Group vykdytas ISVS, atitinkančios standarto ISO/IEC 27001:2017 reikalavimus, diegimo ir pasirengimo sertifikavimui paslaugų projektas
• UAB „Pigu“ įgyvendintas ISVS, atitinkančios ISO/IEC 27001:2017 standarto reikalavimus, kūrimo ir diegimo bei konsultavimo sertifikavimo metu paslaugų projektas