Telekomunikacijų sektoriaus pasirengimas NIS2: vadovo kontrolinis sąrašas
Telekomunikacijų įmonės patenka į TIS2 (NIS2) direktyvos „esminių subjektų“ kategoriją. Nuo 2024 m. spalio 18 d. jos privalo įgyvendinti kibernetinio saugumo reikalavimus – kitaip gresia milijoninės baudos, reputacijos krizės ir net laikinas vadovų suspendavimas. Šiame straipsnyje rasite aiškų kontrolinį sąrašą vadovams, padėsiantį pasirengti NIS2. O su Baltic Amadeus pagalba – visą šį sąrašą galite įgyvendinti sistemingai ir saugiai.
Kodėl telekomunikacijos yra TIS2 prioritetas?
Telekomunikacijų sektorius palaiko visų kitų sektorių skaitmeninę infrastruktūrą. Jei ryšio operatorius patiria incidentą – tai paveikia bankus, ligonines, viešąjį sektorių ir net gynybą. Todėl:
- Telekomunikacijos priskiriamos prie „esminių subjektų“;
- Taikomi aukščiausi saugumo ir atsakomybės standartai;
- Reikalaujama užtikrinti tiek IT, tiek paslaugų tiekimo saugumą.
Kontrolinis sąrašas: kaip vadovui pasiruošti NIS2
1. Patvirtinkite, kad jūsų organizacija patenka į NIS2 taikymo sritį
Patikrinkite, ar jūsų įmonė įtraukta į „esminių subjektų“ sąrašą pagal Lietuvos NCSC. Telekomunikacijų paslaugų teikėjai – paprastai taip.
2. Įvertinkite kibernetines rizikas ir atnaujinkite saugumo politiką
NIS2 reikalauja aiškios rizikų valdymo strategijos: nuo incidentų aptikimo iki reagavimo. Neužtenka dokumento stalčiuje – tai turi būti aktyviai veikianti sistema.
3. Užtikrinkite tinklo segmentavimą ir duomenų šifravimą
Duomenų nutekėjimas ar tinklo pažeidžiamumas gali sukelti sistemines problemas. CTO ar IT vadovas turi pasirūpinti saugiomis infrastruktūros praktikomis.
✔ 4. Peržiūrėkite sutartis su tiekėjais ir partneriais
NIS2 taikomas ir tiekimo grandinei. Jei naudojate debesijos paslaugas, išorines stebėjimo ar komunikacijos sistemas – jų saugumas tampa jūsų atsakomybe.
✔ 5. Paruoškite incidentų valdymo planą (IRP)
Reikšmingus incidentus reikia pranešti per 24 valandas. Jei neturite aiškaus protokolo, tai bus pirmoji spraga auditui.
✔ 6. Atlikite testavimus ir auditus
Bent kartą per 2 metus turite atlikti saugumo auditą. Įtraukti reikia ir OT/IT testavimus, socialinės inžinerijos simuliacijas, atsparumo tikrinimus.
✔ 7. Apmokykite vadovybę ir technines komandas
NIS2 įpareigoja valdybos narius žinoti kibernetinio saugumo principus. Už pažeidimus jie gali būti asmeniškai atsakingi.
Kuo čia padeda Baltic Amadeus?
Baltic Amadeus turi telekomunikacijų sektoriaus konsultavimo patirtį ir siūlo:
- Rizikų ir tiekėjų analizę;
- Saugumo strategijų kūrimą pagal TIS2;
- Saugumo priemonių įgyvendinimą (MFA, šifravimas, stebėsena);
- Incidentų valdymo planų parengimą ir testavimą;
- Vadovybės ir IT komandų mokymus;
- Pagalbą pasirengiant auditui ar priežiūros institucijų vertinimui.
DUK: Telekomunikacijos ir NIS2
➤ Ar mažesni vietiniai operatoriai taip pat turi taikytis prie NIS2?
Taip, jei jų paslaugos yra reikšmingos nacionaliniam ar regioniniam ryšio pasiekiamumui – jie laikomi esminiais subjektais.
➤ Ar reikia atskiro personalo tik TIS2 įgyvendinimui?
Ne visada, bet būtina turėti atsakingus asmenis ir IT partnerį, kuris užtikrintų, kad viskas būtų įgyvendinta pagal reikalavimus.
➤ Ką daryti, jei dalį paslaugų (pvz., duomenų centrą) valdo trečiosios šalys?
Peržiūrėti sutartis, reikalauti saugumo SLA ir vertinti jų atsparumą. Jūsų tiekėjas = jūsų rizika.
Apibendrinimas
NIS2 nėra laikinareguliacija – tai ilgalaikė kibernetinio saugumo kultūros transformacija. Telekomunikacijų vadovai turi veikti ne dėl formos, o dėl esmės: kiekviena sekundė be saugaus ryšio = reali žala visuomenei.
