NIS2 direktyva viešajam sektoriui: savivaldybių IT vadovo veiksmų planas

Nuo 2024 m. spalio 18 d. visos Lietuvos savivaldybės ir kiti viešojo sektoriaus subjektai, priskirti „esminių“ ar „svarbių“ kategorijai, turi laikytis TIS2 (NIS2) direktyvos reikalavimų. Tai reiškia naujus įpareigojimus savivaldybių IT vadovams – nuo infrastruktūros saugumo iki incidentų valdymo ir vadovybės mokymų. Baltic Amadeus siūlo konkretų veiksmų planą, padedantį sėkmingai įgyvendinti reikalavimus be panikos.

Kas keičiasi viešajame sektoriuje dėl NIS2?

Savivaldybių IT komandos nebėra tik techninis palaikymas. Pagal TIS2 direktyvą jos tampa atsakingos už strateginį kibernetinio saugumo valdymą.
Priežastis paprasta: savivaldybės administruoja jautrią informaciją (pvz., socialinės paramos, gyventojų registrų, mokestinius duomenis), o jų sistemų sutrikimai daro įtaką šimtams tūkstančių gyventojų.

TIS2 reikalauja:

  • Įvertinti kibernetines rizikas;
  • Užtikrinti tiekimo grandinės saugumą;
  • Įdiegti incidentų valdymo mechanizmus;
  • Apmokyti vadovybę ir užtikrinti jų įsitraukimą;
  • Užtikrinti verslo tęstinumą ir atsargines kopijas.

IT vadovo veiksmų planas: nuo audito iki atitikties

Baltic Amadeus siūlo struktūrizuotą žingsnių seką, kurią savivaldybių IT vadovai gali naudoti kaip atskaitos tašką:

1. Rizikų analizė

Įvertinkite, kurie IT aspektai yra kritiniai, kokie jų pažeidžiamumai, ir kur slypi didžiausios rizikos. Įtraukite tiek techninius, tiek žmogiškuosius veiksnius.

2. Tiekimo grandinės patikra

NIS2 reikalauja įvertinti ir trečiąsias šalis. Jei naudojatės IT paslaugų tiekėjais ar debesijos sprendimais – turite žinoti jų saugumo lygį.

3. Incidentų valdymo plano parengimas

Ką darysite, kai įvyks incidentas? Kas praneš? Kaip reaguosite per 24 valandas? TIS2 numato griežtus terminus ir komunikacijos reikalavimus.

4. Vadovybės įtraukimas

Neužtenka IT specialistų. Savivaldybių vadovybė turi būti informuota, apmokyta ir oficialiai įtraukta į kibernetinio saugumo sprendimų priėmimą TIS2 Lietuvoje.

5. Veiklos tęstinumo planas

Ar turite atsarginių kopijų strategiją? Ar testavote sistemos atkūrimą? Ar žinote, kaip užtikrinsite paslaugų teikimą net po kibernetinės atakos?

Kaip Baltic Amadeus padeda savivaldybėms?

Baltic Amadeus konsultuoja viešojo sektoriaus organizacijas visose NIS2 atitikties srityse:

  • Rizikų vertinimas ir IT sistemų auditas;
  • Šifravimo ir prieigos kontrolės diegimas;
  • Vadovybės ir darbuotojų mokymai;
  • Incidentų pranešimo ir atsako sistemų diegimas;
  • Tiekėjų saugumo vertinimas ir SLA papildymas;
  • Verslo tęstinumo (BCP) ir atsarginių kopijų strategija;
  • Kibernetinės higienos rekomendacijos ir pažeidžiamumų testai.

DUK: NIS2 ir savivaldybės

➤ Ar visos savivaldybės patenka į NIS2 taikymo sritį?
Taip, savivaldybės laikomos „esminiais subjektais“ pagal TIS2 direktyvą ir turi laikytis visų reikalavimų.

➤ Ar pakanka turėti ISO 27001 sertifikatą?
Ne. Nors ISO 27001 yra naudinga bazė, NIS2 numato papildomus procesus – ypač tiekimo grandinėje ir vadovybės atsakomybėje.

➤ Ar galima dalį veiksmų perduoti išoriniams tiekėjams?
Taip, bet atsakomybė vis tiek lieka pas jus. Todėl Baltic Amadeus rekomenduoja ne tik naudotis paslaugomis, bet ir stebėti tiekėjų saugumo brandą.

Pabaigai

Viešojo sektoriaus organizacijos – tikslingi taikiniai. Kibernetinis saugumas nebe „nice to have“, o teisinė ir moralinė pareiga. Jei esate savivaldybės IT vadovas – dabar jūsų veiksmai gali nulemti, ar institucija bus pasiruošusi kibernetinei krizei.

Nėra pranešimų, kad būtų rodomas

Naujienos iš interneto

Rekomenduojami video

Aktualijos

Featured

Ignalinos naujienos

Indraja

Įvairenybės

Jaunimas