Nauja TIS2 (NIS2) era – nuo biurokratijos prie automatizuoto saugumo

Įsigaliojus TIS2 (NIS2) direktyvai, kibernetinio saugumo valdymas peržengia statinio atitikties vertinimo ribas. Organizacijoms tai reiškia ne tik sugriežtintus reikalavimus, bet ir būtinybę mažinti „administracinę trintį“, kurią sukelia sudėtingi reglamentavimo procesai. Šioje naujoje eroje atitiktis privalo evoliucionuoti iš „popierinės“ biurokratijos į operacinį saugumą. Strateginis dirbtinio intelekto (DI) panaudojimas tampa kritiniu veiksniu, leidžiančiu transformuoti atitiktį į dinamišką, realiuoju laiku veikiantį procesą.

Daugelyje organizacijų vis dar gajus mitas, kad TIS2 reikalavimų įgyvendinimas neišvengiamai reikalauja tūkstančių valandų rankinio darbo ir milžiniškų išlaidų išorės konsultantams. Tačiau DI varomi valdymo, rizikos ir atitikties (GRC) sprendimai leidžia pasiekti pradinę atitiktį „per kelias minutes“. Tai įmanoma automatizuojant pirminį spragų vertinimą, užduočių generavimą ir dokumentų analizę, taip atlaisvinant saugumo specialistus nuo rutininio darbo ir leidžiant jiems susikoncentruoti į realų grėsmių valdymą.

Tiltas tarp strateginių tikslų ir jų praktinio įgyvendinimo prasideda nuo granuliuoto esamos saugumo būsenos supratimo.

Išmanioji analizė: Esamo saugumo lygio ir spragų identifikavimas

Objektyvus spragų vertinimas (Gap Assessment) yra bet kurios atitikties strategijos pamatas. Be tikslaus identifikavimo, kur organizacijos procesai neatitinka reguliuotojo lūkesčių, neįmanoma suformuoti efektyvaus rizikos valdymo plano.

CYBORA platforma šį procesą operacionalizuoja naudodama specializuotą spragų savęs vertinimo įrankį (Gap Self-Assessment Tool), pagrįstą 22 specifiniais TIS2 kontrolės mechanizmais. DI gebėjimas automatiškai analizuoti vidinius dokumentus ir politikas leidžia akimirksniu aptikti neatitikimus tarp esamos būsenos ir direktyvos reikalavimų, taip panaikinant subjektyvaus vertinimo klaidas.

Remiantis TIS2 21 straipsniu, platforma padeda užtikrinti atitiktį 10 esminių kibernetinio saugumo rizikos valdymo priemonių:

• Rizikos valdymas ir analizė: bendrosios grėsmių identifikavimo strategijos.
• Incidentų valdymas: procedūros, užtikrinančios pranešimų teikimą ir valdymą.
• Verslo tęstinumas: atsarginių kopijų valdymas, atkūrimas po nelaimių ir krizių valdymas.
• Tiekimo grandinės saugumas: santykių su tiesioginiais tiekėjais užtikrinimas.
• Tinklo ir informacinių sistemų saugumas: saugumas įsigyjant ir plėtojant sistemas.
• Kibernetinės higienos praktikos: nulinio pasitikėjimo (Zero-trust) principai ir programinės įrangos atnaujinimai.
• Kriptografijos naudojimas: tvirtų šifravimo standartų diegimas.
• Žmogiškųjų išteklių saugumas ir prieigos kontrolė: turto valdymo ir prieigos politikos.
• Daugiafaktorinis autentiškumo patvirtinimas (MFA): daugiasluoksnės tapatybės patikros sprendimai.
• Kibernetinio saugumo mokymai: nuolatinis darbuotojų ir vadovybės švietimas.

Identifikuotos vidinės spragos tampa pagrindu tolimesniems veiksmams, ypač valdant kritinę tiekimo grandinės riziką.

Tiekimo grandinės saugumo automatizavimas: Nuo klausimynų iki rizikos valdymo

Šiuolaikinės kibernetinės atakos vis dažniau nutaikomos į tiekimo grandines, todėl reglamentavimo dėmesys nukrypsta nuo „sutartinio deramo patikrinimo“ link griežtos „reguliacinės kontrolės“. Tai patvirtina 2026 m. vasario 13 d. priimtas ES IRT tiekimo grandinės saugumo priemonių rinkinys (EU ICT Supply Chain Security Toolbox), kuris įveda standartizuotą požiūrį į rizikos vertinimą.

CYBORA transformuoja tiekėjų peržiūras (Supplier Reviews) per automatizuotas darbo eigas (automation-workflows) ir 11 iš anksto nustatytų pasikartojančių užduočių (recurring tasks). Svarbus technologinis pranašumas – programinės įrangos specifikacijų (SBOM – Software Bill of Materials) palaikymas, leidžiantis skaidriai identifikuoti pažeidžiamumus trečiųjų šalių komponentuose.

Operaciniai duomenys iš tiekėjų vertinimų tiesiogiai integruojami į privalomą atitikties dokumentaciją.

Dokumentacijos ir incidentų valdymo automatizavimas

TIS2 21 straipsnis reikalauja realaus laiko atskaitomybės, o tai neįmanoma be struktūrizuoto valdymo. CYBORA sistema automatiškai generuoja 12 TIS2 suderintų politikų (pvz., Kibernetinio saugumo rizikos politiką), kurios tampa pagrindu visiems saugumo procesams.

Incidentų valdymo srityje DI padeda suvaldyti griežtus terminus. Nors standartinis NIS2 reikalavimas numato pradinį pranešimą per 24 valandas, o galutinį – per 72 valandas, sistema taip pat atsižvelgia į „Digital Omnibus“ pasiūlymo niuansus, kurie tam tikrais atvejais (pvz., asmens duomenų saugumo pažeidimų) terminus gali pratęsti iki 96 valandų per „vieno langelio“ principą.

Pagrindiniai pranašumai:

• „Dvigubos priežiūros“ (Double-maintenance) panaikinimas: atnaujinus kontrolę CYBORA sistemoje, pakeitimai automatiškai propaguojami susijusiems standartams (ISO 27001, GDPR, DORA).
• CSIRT veiklos sinchronizavimas: užduočių priskyrimas incidentų tyrimo grupėms (CSIRT) ir sprendimo monitoringas vyksta vieningoje platformoje.
• Centralizuota atskaitomybė: istorinė rizikos mažinimo pastangų apžvalga palengvina audito procesus.

Efektyvus incidentų valdymas ir dokumentavimas yra tiesiogiai susiję su vadovybės strategine atsakomybe.

Strateginis pasirengimas: Valdybos atskaitomybė ir PQC ateitis

Vienas reikšmingiausių TIS2 pokyčių – asmeninė vadovybės atsakomybė. Už reikalavimų nesilaikymą ar „didelį aplaidumą“ vadovams gali būti taikomos ne tik administracinės, bet ir baudžiamosios sankcijos. Todėl valdybos nariams būtina turėti nepertraukiamą prieigą prie rizikos mažinimo pastangų istorijos, kurią suteikia CYBORA.

Strateginis planavimas taip pat apima pasirengimą post-kvantinei kriptografijai (PQC). Siekiant apsisaugoti nuo „surink dabar, iššifruok vėliau“ (harvest now, decrypt later) tipo atakų, PQC tampa artimiausio laikotarpio prioritetu. ES nustatyti terminai yra aiškūs: 2030 m. ypatingos svarbos atvejams ir 2035 m. žemesnės rizikos subjektams. DI padeda šiuos ilgalaikius tikslus integruoti į kasmetines rizikos vertinimo užduotis jau šiandien.

Šis strateginis pasirengimas yra esminis adaptuojant globalius reikalavimus vietinėje rinkoje.

NIS2 atitiktis Lietuvoje: Nuo mažų įmonių iki ypatingos svarbos subjektų

Lietuvai perkeliant TIS2 į nacionalinę teisę, tūkstančiai subjektų pirmą kartą patenka į reguliavimo lauką. Tai ypač aktualu vidutinio dydžio įmonėms (Mid-caps), kurios gali neturėti didelių saugumo departamentų.

CYBORA pranašumai Lietuvos organizacijoms:

• Lietuvių kalbos palaikymas: supaprastina užduočių valdymą ir dokumentacijos rengimą vietinėms komandoms.
• Išteklių optimizavimas: 11 pasikartojančių užduočių framework’as leidžia mažoms komandoms veikti kaip dideliems saugumo padaliniams.
• Atitiktis nacionalinėms institucijoms: supaprastintas incidentų pranešimo formatas atitinka nacionalinių CSIRT lūkesčius.

Trys įžvalgos „svarbiems“ subjektams:

1. Saugumas yra valdybos klausimas: vėlavimas diegti kontrolę gali lemti asmeninę atsakomybę už aplaidumą.
2. Tiekėjų rizikos valdymas yra privalomas: naudokite SBOM ir automatizuotus klausimynus pasitikėjimui sukurti.
3. Automatizavimas yra išteklių daugiklis: nustokite valdyti atitiktį skaičiuoklėse; DI yra vienintelis būdas suvaldyti 22 kontroles be klaidų.

Išvada: Nuolatinis monitoringas kaip konkurencinis pranašumas

Dirbtinis intelektas transformuoja TIS2 atitiktį iš vienkartinio audito į nuolatinį, dinamišką procesą. Tai leidžia organizacijoms ne tik atitikti įstatymų reikalavimus, bet ir įgyti realų konkurencinį pranašumą stiprinant skaitmeninį atsparumą.

Raginame organizacijas nebijoti TIS2 sudėtingumo, o išnaudoti DI teikiamas automatizavimo galimybes kaštų mažinimui ir procesų standartizavimui. Šiuolaikinėje verslo aplinkoje skaitmeninis atsparumas yra ne tik teisinė prievolė, bet ir stabilus verslo augimo pagrindas.