TIS2 – ar Jus tai paveiks?
Jei Jūsų veikla susijusi su visuomenei būtinų poreikių užtikrinimu, Jūs tikrai patenkate į šį sąrašą. Atkreipkite dėmesį, kad į direktyvos subjektų sąrašą patenka įmonės, kurių metinė apyvarta - daugiau nei 10 mln. EUR.
| Sektorius | Klasifikacija | Pavyzdžiai |
|---|---|---|
| Sveikatos sektorius | Būtina | Gydymo įstaigos, ligoninės laboratorijos |
| Skaitmeninė infrastruktūra | Būtina | Interneto, Cloud paslaugų teikėjai |
| Transportas | Būtina | Oro eismo kontrolė, vandens eismo kontrolė, geležinkelių infrastruktūra |
| Energetika | Būtina | Elektros, dujų, naftotiekio tiekėjai |
| Finansai | Būtina | Bankai, kreditų įstaigos, investavimo platformos |
| Skaitmeninių paslaugų teikėjai | Svarbi | Elektroninės prekybos platformos internete, Cloud pasulgų teikėjai |
| Viešasis administravimas | Svarbi | Vastybinės paslaugos |
| Gamyba | Svarbi | Vaistai, mediciniai prietaisai |
| Kosminė erdvė | Svarbi | Palydovų operatoriai |
| Maistas | Svarbi | Maisto tiekimo grandinės |
| Pašto ir pristatymo paslaugos | Svarbi | Kurjerių paslaugos |
| Nuotekos ir atliekų tvarkymas | Svarbi | Vandens valymo įrenginiai, atliekų tvarkymo paslugos |
| Viešų elektroninių komunikacių paslaugų teikėjai | Svarbi | Elektroninės platformos, kolokacijos paslaugos |
| Kritinių produktų gamyba | Svarbi | Kritinės žaliavos |
Kaip pasiruošti / atitikti TIS2?
MDP CLOUD siūlo išdirbtus, integruotus ir efektyvius sprendimus TIS2 atitikčiai.
Dažniausiai užduodami klausimai apie TIS2
Kas yra TIS2 direktyva?
TIS2 direktyva yra ES teisės aktas, skirtas pagerinti tinklų ir informacinių sistemų saugumą visoje Europos Sąjungoje.
Kokie yra pagrindiniai TIS2 reikalavimai?
Organizacijos turi įgyvendinti kibernetinės saugos priemones, vykdyti rizikos valdymą, užtikrinti incidentų valdymą ir pranešimą apie incidentus, atlikti reguliarias saugumo auditus ir laikytis griežtų tiekimo grandinės saugumo reikalavimų.
Kuo TIS2 skiriasi nuo TIS1?
Palyginti su TIS1, naujoji direktyvos versija išplečia įmonių, kurios patirs jos taikymą, ratą ženkliai. Be kritinių sričių išplėtimo, pridėtos ir svarbios sritys. Direktyvos taikymas šioms sritims pasireikš tuo, kad kritiniams sektoriams priklausančios organizacijos turės nuolat pateikti įrodymus dėl savo kibernetinio saugumo būklės, o svarbios organizacijos bus tikrinamos įvykus incidentui.
Kritinio sektoriaus organizacijos yra tas, kurios turi daugiau nei 250 darbuotojų ir metines pajamas viršijančias 50 milijonų eurų; svarbios organizacijos - tas, kurios turi mažiau nei 50 darbuotojų ir metines pajamas iki 10 milijonų eurų. Kriterijai gali skirtis priklausomai nuo sektoriaus. Organizacija gali būti laikoma kritine nepriklausomai nuo dydžio, jei ji yra vienintelis kritinės paslaugos tiekėjas.
Be to, dalį įmonių tai paveiks netiesiogiai, nes jos veiks kaip šių įmonių paslaugų teikėjai (trečiosios šalys), kurioms taip pat bus tikrinamas jų skiriamas dėmesys kibernetiniam saugumui.
Kurioms organizacijoms taikoma TIS2 direktyva?
TIS2 taikoma svarbių ir esminių paslaugų teikėjams įvairiuose sektoriuose, įskaitant energetiką, sveikatos priežiūrą, transportą, finansus ir kitas kritines infrastruktūras.
Kas nutiks, jei neatitiksite TIS2 reikalavimų po 2024 m. spalio 18d.?
Nepriimdami tinkamų saugumo priemonių, jūs nepasitraukiate iš padidėjusios kibernetinės atakos rizikos. Tokios atakos gali sutrikdyti jūsų veiklą ir/arba pakenkti įmonės reputacijai.
Be to, jei laiku nebus įgyvendinti būtini organizacijos pokyčiai, gresia baudos:
- Kritinio sektoriaus įmonėms ir organizacijoms baudos gali siekti iki 10 000 000 Eur arba 2% metinių praėjusių metų pajamų (parenkama didesnė piniginė suma);
- Svarbaus sektoriaus įmonėms ir organizacijoms baudos gali siekti iki 7 000 000 Eur arba 1,4% metinių praėjusių metų pajamų (parenkama didesnė piniginė suma).
Kada TIS2 direktyva įsigalios?
TIS2 direktyva buvo patvirtinta 2022 m., o valstybės narės privalo ją įgyvendinti savo nacionalinėje teisėje iki 2024 m. pabaigos.
Kaip TIS2 direktyva paveikia mažas ir vidutines įmones (MVĮ)?
Nors NIS2 daugiausia skirta svarbioms ir esminėms paslaugų teikėjams, tam tikros MVĮ, ypač tos, kurios veikia kritinėse infrastruktūrose ar turi didelę įtaką kibernetiniam saugumui, taip pat turės laikytis direktyvos reikalavimų.
Kaip TIS2 reikalavimai keičia kibernetinio incidento pranešimų tvarką?
Pagal TIS2, organizacijos privalo nedelsdamos pranešti apie bet kokius reikšmingus kibernetinius incidentus per tam tikrą laikotarpį (dažniausiai per 24-72 valandas), įskaitant informaciją apie incidento mastą ir galimą poveikį.
Ar TIS2 direktyva taikoma tik ES organizacijoms?
TIS2 direktyva taikoma visoms organizacijoms, kurios teikia esmines paslaugas ES viduje, nepriklausomai nuo to, ar jos yra įsikūrusios ES, ar už jos ribų.
Kaip TIS2 paveiks tiekimo grandinės saugumą?
TIS2 direktyva įpareigoja organizacijas vertinti ir valdyti tiekimo grandinės kibernetinio saugumo rizikas, įskaitant reikalavimą užtikrinti, kad jų tiekėjai laikytųsi panašių saugumo standartų.
Kaip TIS2 direktyva susijusi su GDPR?
Nors TIS2 ir GDPR direktyvos turi skirtingus tikslus (TIS2 yra skirta kibernetiniam saugumui, o GDPR – duomenų apsaugai), jos yra glaudžiai susijusios, nes abu reikalauja aukšto lygio apsaugos ir pranešimo apie incidentus.
Ką organizacijos turėtų daryti, jei įvyksta kibernetinis incidentas?
Organizacijos privalo nedelsdamos pranešti apie incidentą atitinkamoms institucijoms, įgyvendinti incidento valdymo planą ir imtis veiksmų siekiant sumažinti poveikį bei užkirsti kelią panašiems įvykiams ateityje.
Klientai
