TIS2 direktyva: 2 metų veiksmų planas įmonėms

Gavote laišką iš NKSC. Perskaitėte: „kibernetinio saugumo subjektų registras”, „TIS2 direktyva”, „reikalavimai”. Ir pirmoji mintis: „Kas tai? Ką turiu daryti? Nuo ko pradėti?” Tai normali reakcija. Tačiau nuo to momento, kai laiškas gaunamas, prasideda 24 mėnesiai – ir jie nėra begaliniai.

Šiame straipsnyje pateikiame detalų, praktika paremtą TIS2 direktyvos įgyvendinimo planą: kas ką daro, kada ir kodėl kiekvienas žingsnis yra svarbus. Ne teoriškai, o taip, kaip realiai atrodo šis procesas Lietuvos įmonėse.

I etapas: Situacijos supratimas ir analizė (balandis–liepa, 1–3 mėn.)

Pirmasis žingsnis nėra dokumentų pildymas. Tai – savo padėties supratimas.

• Išsiaiškinkite, kur patekote. Ar esate būtinojo, ar svarbus subjektas? Tai lemia, kokie reikalavimai jums taikomi ir kokie terminai galioja.
• Pasikonsultuokite su NKSC. Nacionalinis kibernetinio saugumo centras teikia informaciją ir turi nemokamus įrankius pradiniame etape.
• Paskirite atsakingą asmenį. Kažkas organizacijoje turi prisiimti atsakomybę už TIS2 įgyvendinimo koordinavimą – nesvarbu, ar tai IT vadovas, ar samdomas specialistas.
• Supraskite savo IT aplinką. Kokios naudojamos sistemos? Kokius valdote duomenis? Kas turi prieigą? Tai bus visų tolesnių žingsnių pagrindas.

Kodėl tai svarbu dabar: nesupratę, kur esate, negalėsite planuoti, kur turite patekti. Šis etapas – ne biurokratija, o strateginis pagrindas.

Mūsų pagalba: nemokama konsultacija padės greitai orientuotis situacijoje ir suprasti, kokie reikalavimai jūsų organizacijai yra aktualiausi.

II etapas: Sprendimas – samdysite specialistą įmonės viduje ar rinksitės išorinį partnerį? (liepa–rugpjūtis, 3–5 mėn.)

Tai kritinis sprendimo momentas, kurį daugelis organizacijų atidėlioja – ir vėliau apgailestauja.

A. Vidinis specialistas – samdote kibernetinio saugumo žmogų organizacijos viduje.

• Darbo skelbimas, atranka, bandomasis laikotarpis: 1–2 mėnesiai
• Privalumas: nuolatinis vidinis žmogus, gilus organizacijos pažinimas
• Trūkumai: aukšta kaina (vidutiniškai 60–100 tūkst. EUR per metus su papildomomis išlaidomis), sunki atranka, nepastovumas

B. Išorinis partneris – samdote kibernetinio saugumo paslaugas teikiančią įmonę.

• Greitesnis startas
• Privalumas: vietoje vieno žmogaus, turite komandą su praktine patirtimi. ~3–5 kartus mažesnė kaina
• Trūkumai: reikalingas tinkamas partnerio parinkimas

III etapas: Auditas ir trūkumų analizė (rugsėjis–lapkritis, 5–8 mėn.)

Kai atsakingas asmuo ar partneris yra – pradedamas realus darbas.

Kibernetinio saugumo auditas atskleidžia:

• Kokios saugumo priemonės jau įgyvendintos
• Ko konkrečiai trūksta TIS2 reikalavimams atitikti
• Kokie yra prioritetiniai trūkumai (aukšta / vidutinė / žema rizika)
• Preliminarus darbų ir investicijų įvertinimas

Audito rezultatai – tai ne bausmės sąrašas, o darbo programa. Kuo aiškesnis vaizdas, tuo ramiau galima planuoti.

Kodėl lapkritis yra strategiškai svarbus:

Dauguma Lietuvos įmonių lapkritį pradeda kitų metų biudžeto planavimą. Jei iki šiol neturite aiškių skaičių, kiek kainuos TIS2 reikalavimų įgyvendinimas, šie darbai nepateks į biudžetą. O sausį klausite: iš kur gauti pinigų?

Auditas turi būti atliktas iki kitų metų biudžeto sudarymo – ne po jo.

IV etapas: Dokumentacija ir strategija (sausis–kovas, 9–12 mėn.)

Šis etapas – TIS2 organizacinių reikalavimų šerdis. Čia rengiami dokumentai, kurių reikalauja direktyva:

• Informacinių sistemų saugumo politika – kaip organizacija valdo kibernetinę saugą
• Rizikų vertinimas ir valdymo planas – identifikuotos grėsmės ir jų valdymo priemonės
• Incidentų valdymo procedūros – kas ką daro, kai incidentas įvyksta; kaip ir per kiek laiko pranešama NKSC
• Veiklos tęstinumo planas – kaip organizacija veikia po rimto incidento
• Tiekimo grandinės saugumo politika – kokie reikalavimai taikomi jūsų tiekėjams ir partneriams

Daugiau apie tai, ko reikalauja TIS2 organizaciniu lygmeniu, skaitykite čia.

Tikslas iki balandžio 17 d. (pirmi metai): turėti parengtą dokumentaciją ir organizacinę strategiją – tai pirmojo TIS2 įgyvendinimo etapo reikalavimas.

V etapas: Techniniai darbai ir galutinis pasiruošimas (antri metai)

Ką reikia padaryti:

Antri metai skirti techninių priemonių diegimui – tam, ko nespėjote ar negalėjote padaryti per pirmuosius metus.

Tipiniai techniniai TIS2 reikalavimai:

• MFA (daugiafaktoris autentifikavimas) – privaloma visoms kritinėms sistemoms
• EDR (galinių įrenginių apsauga) – nuolatinis stebėjimas ir grėsmių aptikimas
• Atsarginės kopijos – reguliarios, testuotos, saugomos atskirai nuo pagrindinės sistemos
• Tinklo segmentavimas – kritinių sistemų atskyrimas nuo bendro tinklo
• Šifravimas – jautrių duomenų apsauga
• Pažeidžiamumų valdymas – reguliarus programinės įrangos atnaujinimas ir saugumo testavimas

Daugiau apie technines priemones – mūsų sprendimų puslapyje.

Darbuotojų mokymai taip pat yra privaloma TIS2 dalis. Sistemos ir technologijos nepadės, jei darbuotojai neatpažįsta grėsmių.

Galutinis terminas: Visiškas atitikimas (balandis +2 metai)

Iki šios datos organizacija turi būti pasiruošusi tiek organizaciniu, tiek techniniu lygmeniu. Tai reiškia:

• Visa reikalinga dokumentacija parengta ir aktuali
• Techninės apsaugos priemonės įdiegtos ir veikiančios
• Darbuotojai apmokyti
• Incidentų valdymo procesai realiai veikiantys (ne tik popieriuje)

Jei NKSC atliks patikrinimą ir ras reikšmingų trūkumų – laukia finansinės baudos ir kitos sankcijos.

Kodėl negalima laukti „iki paskutinės minutės”?

Tai klausimas, kurį girdime dažnai: „Turime dar daug laiko. Kodėl skubėti?”.  Atsakymas paprastas: kiekvienas vėluojantis etapas stums kitus.

Ekspertai pabrėžia: 2026-ieji daugeliui įmonių bus kritiniai – arba pasirengimo įtvirtinimo, arba vėlavimo metai. Kiekvienas pavėluotas mėnuo didina klaidų riziką.

Be to, vėlavimas kainuoja finansiškai. Skubotai samdomi specialistai kainuoja daugiau. Skubotai atliekami darbai daromi prasčiau. Panikoje priimami sprendimai – brangiau.

Du metai yra duoti ne tam, kad viską padarytumėte per paskutinį mėnesį. Jos duotos tam, kad galėtumėte viską padaryti ramiai, tvarkingai ir biudžeto ribose.

Kur kreiptis pagalbos?

Jei gavote laišką iš NKSC ir nežinote nuo ko pradėti – mes padėsime.

Cyber Spektras teikia visą TIS2 įgyvendinimui reikalingų paslaugų spektrą:

• Konsultacijos – pirmoji konsultacija nemokama. Išsiaiškinsime jūsų situaciją ir pasakysime, kokie žingsniai aktualiausi.
• Kibernetinio saugumo auditas – išsamus įvertinimas, kokie reikalavimai įvykdyti ir ko trūksta.
• Mokymai darbuotojams – phishing simuliacijos, kibernetinio saugumo sąmoningumo mokymai.
• Testavimas – įsiskverbimo testai, pažeidžiamumų analizė.
• TIS2 paslaugų paketas – kompleksinis palydėjimas nuo audito iki dokumentacijos ir techninių sprendimų diegimo.

Susisiekite dėl nemokamos konsultacijos: info@cyberspektras.lt | +370 686 08269 arba palikite užklausą čia: cyberspektras.lt/kontaktai