Lietuva

NIS2 Lietuvoje: kokias pareigas turės vadovai ir valdyba?

Autorius Ukmergės žinios
NIS2 Lietuvoje: kokias pareigas turės vadovai ir valdyba?

NIS2 direktyva (angl. Network and Information Security Directive 2) yra vienas iš svarbiausių Europos Sąjungos teisės aktų, skirtų kibernetiniam saugumui stiprinti. Ji pakeičia ankstesnę NIS direktyvą ir gerokai išplečia tiek sektorių, tiek organizacijų ratą, kurioms keliami nauji reikalavimai.

Lietuvoje ši direktyva bus privalomai įgyvendinama per artimiausius kelerius metus, todėl klausimas tampa ypač aktualus: kokias pareigas pagal NIS2 turės įmonių vadovai ir valdybos nariai?

Kodėl NIS2 keičia atsakomybės logiką?

Iki šiol daugelyje Lietuvos organizacijų kibernetinis saugumas buvo laikomas technine IT sritimi. Už jį atsakydavo IT skyrius, o vadovybė dažnai turėjo tik bendrą supratimą.

NIS2 direktyva keičia paradigmą – ji aiškiai nurodo, kad vadovai ir valdybos nariai turi tiesioginę atsakomybę už saugumo politikos kūrimą, įgyvendinimą ir stebėseną.

Tai reiškia, kad valdybos lygmens sprendimai, kaip biudžeto skirstymas, tiekėjų pasirinkimas, rizikos tolerancija, taps vienodai svarbūs kaip ir technologinės priemonės.

Kokios yra pagrindinės vadovų pareigos pagal NIS2?

Vadovai Lietuvoje turės užtikrinti:

  1. Kibernetinio saugumo politikos patvirtinimą. Įmonė turi turėti aiškią, dokumentuotą strategiją, patvirtintą valdybos ar direktoriaus.
  2. Rizikų analizę ir valdymą. Vadovybė privalės užtikrinti, kad reguliariai atliekami rizikos vertinimai, o išvados taikomos praktikoje.
  3. Incidentų valdymo planus. Organizacija privalo turėti testuotą planą, kaip reaguoti į kibernetines atakas, ir jį pritaikyti realioms situacijoms.
  4. Resursų paskirstymą. Valdyba turi užtikrinti, kad saugumui skiriami tiek finansiniai, tiek žmogiškieji ištekliai.
  5. Mokymus vadovams. NIS2 numato, kad vadovai privalo būti apmokyti, kaip suprasti kibernetinę riziką ir kaip teisingai priimti sprendimus.
  6. Ataskaitų teikimą. Vadovybė turi gauti reguliarias ataskaitas apie saugumo būklę ir priimti veiksmus, jei nustatomi trūkumai.

Asmeninė atsakomybė: nauja realybė

Viena svarbiausių NIS2 naujovių – asmeninė vadovų atsakomybė.

Jeigu įmonė neatitiks reikalavimų arba ignoruos direktyvą, baudos ir sankcijos gali būti taikomos ne tik juridiniam asmeniui, bet ir atsakingiems vadovams ar valdybos nariams. Tai žymiai keičia situaciją: kibernetinis saugumas tampa tokia pat valdybos atsakomybe, kaip ir finansų kontrolė ar atitiktis darbo teisės normoms.

Ką rodo kitų ES šalių patirtis?

  • Vokietijoje valdybos nariai privalo dalyvauti kibernetinio saugumo mokymuose ir reguliariai pasirašo ataskaitas dėl atitikties.
  • Prancūzijoje ypatingas dėmesys yra skiriamas vadovų vaidmeniui tiekimo grandinės saugumo klausimuose.
  • Skandinavijoje daug dėmesio yra skiriama vadovų „tabletop“ pratyboms – imituojamos realios atakos, o vadovai mokomi priimti sprendimus krizės akivaizdoje.

Pamoka Lietuvai: vadovų įsitraukimas yra kritinis. Formalus parašas ant dokumentų neužtenka – būtinas realus veikimas.

Kaip valdyba turėtų pasiruošti NIS2?

  1. Įtraukti kibernetinį saugumą į strateginę darbotvarkę. Tai ne papildomas punktas, o verslo išlikimo sąlyga.
  2. Paskirti atsakingą asmenį (CISO). Net jei tokios pozicijos nebuvo, ją reikės sukurti arba priskirti.
  3. Užtikrinti reguliarų monitoringą. Vadovai turėtų gauti ketvirtines ataskaitas apie saugumą.
  4. Organizuoti valdybos mokymus. Vadovybė turi gebėti suprasti terminus, rizikas ir sprendimų pasekmes.
  5. Atlikti nepriklausomą auditą. Prieš oficialią patikrą svarbu patiems identifikuoti spragas.

NIS2 Lietuvoje: ką tai reiškia verslo vadovams?

Lietuvos įmonės turės:

  • Pripažinti, kad kibernetinis saugumas yra strateginis prioritetas.
  • Iš naujo peržiūrėti biudžetą ir užtikrinti pakankamus resursus.
  • Sukurti kultūrą, kurioje saugumas yra visų darbuotojų atsakomybė, bet sprendimus inicijuoja vadovybė.

Tai bus esminis pokytis, nes iki šiol daug organizacijų saugumą laikė IT funkcija, o ne valdybos klausimu.

Baltic Amadeus: konsultacijos aukščiausio lygio vadovams

Baltic Amadeus yra viena iš pirmųjų Lietuvos įmonių, aktyviai konsultuojančių NIS2 klausimais vadovų ir valdybų lygmeniu.

Bendrovės ekspertai padeda:

  • Suprasti NIS2 direktyvos reikalavimus ne techniniu, o strateginiu lygmeniu.
  • Integruoti kibernetinį saugumą į įmonės valdymo struktūrą.
  • Parengti individualius vadovų mokymų planus.
  • Užtikrinti, kad valdyba turėtų visą informaciją sprendimų priėmimui.

NIS2 direktyva Lietuvoje taps vienu svarbiausių reguliacinių pokyčių, paveiksiančių ne tik IT skyrius, bet ir įmonių vadovybes. Valdybos nariai turės užtikrinti, kad kibernetinis saugumas būtų integruotas į organizacijos strategiją, kultūrą ir biudžetą.

Tiems, kurie pradės ruoštis jau dabar, tai taps konkurenciniu pranašumu – užtikrins klientų pasitikėjimą, apsaugos reputaciją ir leis išvengti didelių baudų.

Dalintis

Naujienos iš interneto

Parašykite komentarą

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Reklama