Visapusė TIS2 atitiktis – žingsnis po žingsnio
Visapusė TIS2 atitiktis – žingsnis po žingsnio
Pagal TIS2 (NIS2) direktyvą, visos svarbios ir esminės organizacijos turi ne tik taikyti pažangias saugumo priemones, bet ir užtikrinti savo veiklos tęstinumą ekstremalių įvykių, techninių gedimų ar kibernetinių atakų metu. MDP Cloud padeda įmonėms įgyvendinti visus reikalavimus, taikant modernius technologinius sprendimus bei dokumentuotus procesus. Mūsų tikslas – ne tik įgyvendinti technines priemones, bet ir padėti sukurti tvirtą, veikiančią ir nuolat testuojamą tęstinumo sistemą, kuri būtų suprantama, patikima ir audituojama.
Parengiame visą reikiamą dokumentaciją, atitinkančią TIS2 reikalavimus
Padedame organizacijoms įgyvendinti TIS2 direktyvos reikalavimus – nuo techninių sprendimų iki būtinų dokumentų parengimo.
Jeigu jūsų įmonė patenka į „svarbių“ arba „esminių“ subjektų sąrašą – TIS2 taikoma ir jums. Žemiau pateikiamos reikalingos politikos.
Informacinių sistemų saugumo politika (Security Policy)
Aprašo įmonės požiūrį į IT saugumą, tikslus, atsakomybes ir naudojamas priemones.
Rizikų analizė ir valdymo planas (Risk Assessment & Treatment Plan)
Įvertinamos techninės ir veiklos rizikos, jų tikimybė, poveikis, valdymo priemonės.
Incidentų valdymo procedūra (Incident Response Plan)
Kaip įmonė reaguoja į kibernetinius incidentus, kas atsakingas, kaip vykdomas reagavimas ir atsakymas CERT/LRV.
Veiklos tęstinumo planas ir „Disaster Recovery“ (Business Continuity & DR Plan)
Ką daryti IT sistemos sutrikimo metu: atsarginės kopijos, atkūrimas, RTO/RPO, kritinių sistemų sąrašas.
Prieigos valdymo politika (Access Control Policy)
Kaip tvarkomos vartotojų teisės, naudojamas MFA, Just-in-Time, sąlyginė prieiga ir slaptažodžių politika.
Tiekimo grandinės saugumo tvarka (Supply Chain Security Policy)
Kokie reikalavimai keliami IT tiekėjams, kaip vertinami jų saugumo pajėgumai, kokie SLA ir atsakomybės.
Sistemų ir įrenginių apsaugos procedūros (System & Endpoint Security Plan)
Apima EDR, patch management, antivirus, OS atnaujinimus – viską, ką dengia Bitdefender + RMM.
Darbuotojų mokymų planas (Security Awareness Training Plan)
Nustato mokymų periodiškumą, temas (phishing, slaptažodžiai, įrenginių sauga), žinių vertinimą.
TIS2 – ar Jus tai paveiks?
Jei Jūsų veikla susijusi su visuomenei būtinų poreikių užtikrinimu, Jūs tikrai patenkate į šį sąrašą. Atkreipkite dėmesį, kad į direktyvos subjektų sąrašą patenka įmonės, kurių metinė apyvarta - daugiau nei 10 mln. EUR.
| Sektorius | Klasifikacija | Pavyzdžiai |
|---|---|---|
|
Sveikatos sektorius
|
Būtina
|
Gydymo įstaigos, ligoninės laboratorijos
|
|
Skaitmeninė infrastruktūra
|
Būtina
|
Interneto, Cloud paslaugų teikėjai
|
|
Transportas
|
Būtina
|
Oro eismo kontrolė, vandens eismo kontrolė, geležinkelių infrastruktūra
|
|
Energetika
|
Būtina
|
Elektros, dujų, naftotiekio tiekėjai
|
|
Finansai
|
Būtina
|
Bankai, kreditų įstaigos, investavimo platformos
|
|
Skaitmeninių paslaugų teikėjai
|
Svarbi
|
Elektroninės prekybos platformos internete, Cloud pasulgų teikėjai
|
|
Viešasis administravimas
|
Svarbi
|
Vastybinės paslaugos
|
|
Gamyba
|
Svarbi
|
Vaistai, mediciniai prietaisai
|
|
Kosminė erdvė
|
Svarbi
|
Palydovų operatoriai
|
|
Maistas
|
Svarbi
|
Maisto tiekimo grandinės
|
|
Pašto ir pristatymo paslaugos
|
Svarbi
|
Kurjerių paslaugos
|
|
Nuotekos ir atliekų tvarkymas
|
Svarbi
|
Vandens valymo įrenginiai, atliekų tvarkymo paslugos
|
|
Viešų elektroninių komunikacių paslaugų teikėjai
|
Svarbi
|
Elektroninės platformos, kolokacijos paslaugos
|
|
Kritinių produktų gamyba
|
Svarbi
|
Kritinės žaliavos
|
Dažniausiai užduodami klausimai apie TIS2
Ar vien techninių sprendimų (EDR, MFA, backup) užtenka, kad atitikčiau TIS2?
Ne. TIS2 reikalauja ne tik technologijų, bet ir dokumentuotų procedūrų: saugumo politika, rizikų analizė, incidentų valdymo planas, tiekimo grandinės vertinimas, mokymai ir kt.
Kas yra atsakingas už TIS2 įgyvendinimą organizacijoje – IT skyrius ar vadovybė?
Atsakomybė tenka vadovybei. IT skyrius ar išorinis partneris gali įgyvendinti priemones, tačiau sprendimus, biudžetą ir rizikų toleranciją nustato vadovybė.
Kokius dokumentus būtina turėti, kad galėčiau pagrįsti TIS2 atitiktį?
Minimaliai: saugumo politika, rizikų analizė, incidentų valdymo planas, veiklos tęstinumo planas (DR), prieigos valdymo politika, mokymų planas ir tiekimo rizikų vertinimas.
Kaip dažnai turiu peržiūrėti savo TIS2 dokumentus ir testuoti planus?
Rekomenduojama bent 1 kartą per metus. Kritiniai procesai – kas ketvirtį (pvz., atsarginės kopijos, incidentų testavimas).
Ar galima naudoti trečiųjų šalių sprendimus (pvz., Microsoft 365, SentinelOne, Veeam)?
Taip, net rekomenduojama. Svarbu, kad sprendimai būtų tinkamai integruoti, o duomenys – saugomi ES arba pagal BDAR reikalavimus.
Ką tikrina priežiūros institucijos TIS2 kontekste?
Institucijos vertina: dokumentaciją, atsakomybių paskirstymą, incidentų registravimą, prevencines priemones, tiekimo grandinės kontrolę ir mokymų įrodymus.
Kaip turiu reaguoti į kibernetinį incidentą pagal TIS2?
Priklausomai nuo incidento tipo – per 24 ar 72 val. reikia pranešti nacionaliniam CERT. Būtina turėti incidentų klasifikavimo ir informavimo planą.
Kiek kainuoja TIS2 įgyvendinimas ir palaikymas mažai/mid dydžio įmonei
Kaina priklauso nuo esamos IT brandos. Technologinė dalis (Microsoft 365 Premium, EDR, backup) – nuo kelių šimtų EUR/mėn. Dokumentacijos ir procesų paruošimas – nuo kelių tūkstančių vienkartinai arba prenumeratos pagrindu.
Ar TIS2 reikalavimai sutampa su ISO 27001?
Taip, daug sričių sutampa. Jei turite ISO 27001, TIS2 atitikimą pasiekti daug lengviau, bet vis tiek būtina peržiūrėti papildomus aspektus.
Ką daryti, jei neturiu vidaus IT skyriaus?
Galite pasitelkti išorinį TIS2 partnerį, kuris įgyvendins tiek technologijas, tiek dokumentaciją ir padės pasiruošti auditui – būtent tai siūlo MDPCLOUD.
Kaip TIS2 direktyva susijusi su GDPR?
Nors TIS2 ir GDPR direktyvos turi skirtingus tikslus (TIS2 yra skirta kibernetiniam saugumui, o GDPR – duomenų apsaugai), jos yra glaudžiai susijusios, nes abu reikalauja aukšto lygio apsaugos ir pranešimo apie incidentus.
Ką organizacijos turėtų daryti, jei įvyksta kibernetinis incidentas?
Organizacijos privalo nedelsdamos pranešti apie incidentą atitinkamoms institucijoms, įgyvendinti incidento valdymo planą ir imtis veiksmų siekiant sumažinti poveikį bei užkirsti kelią panašiems įvykiams ateityje.
Klientai
Gaukite asmeninį pasiūlymą
Užpildykite formą, ir susisieksime su jumis per 1 darbo dieną.
Susisiekite su mumis 24/7