Jau minėjome apie priežiūros pareigą, taikomą kritinės svarbos bei svarbių paslaugų teikėjams, tačiau, ką tiksliai ji reiškia?
Ši pareiga numato imtis tinkamų ir pagrįstų techninių ir organizacinių priemonių tinklo ir informacinių sistemų saugumo rizikos valdymui. Priemonės turėtų būti proporcingos kritinės svarbos arba svarbaus subjekto rizikos laipsniui ir incidento sukeltam visuomeniniam bei ekonominiam poveikiui. Taip pat reikėtų tinkamai atsižvelgti į subjekto svarbą, dydį ir incidentų pasireiškimo tikimybę.
Šiame kontekste saugumas reiškia tinklo ir informacinių sistemų gebėjimą atlaikyti veiksmus, pažeidžiančius prieinamumą, tapatumą, vientisumą ir konfidencialumą. Komisijos įgyvendinimo reglamente (Reglamentas (ES) 2018/151) toliau nurodomi saugumo elementai, kurių reikia laikytis: sistemų ir įrenginių saugumas, incidentų valdymas, veiklos tęstinumo valdymas, stebėsena, kontrolė ir testavimas bei tarptautiniai standartai.
Būtinos priemonės
TIS2 direktyvoje išvardintas būtiniausių priemonių rinkinys, įskaitant rizikos analizės atlikimą ir informacinių sistemų saugumą, incidentų ir krizių valdymą, veiklos tęstinumo užtikrinimą, tiekimo grandinės saugumą, tinklo ir informacinių sistemų pirkimą ir kūrimą bei priežiūros saugumo politikos nustatymą. Taip pat rizikos valdymo priemonių veiksmingumo vertinimo politiką ir procedūras bei kriptografijos ir šifravimo naudojimą.
Kritinės svarbos bei svarbūs subjektai taip pat turėtų taikyti įvairią bazinę kibernetinės saugos praktiką, pavyzdžiui, nulinio pasitikėjimo principus, programinės įrangos atnaujinimus, įrenginių konfigūraciją, tinklo segmentavimą, tapatybės ir prieigos valdymą ar naudotojų sąmoningumą, organizuoti darbuotojų mokymus ir didinti informuotumą apie kibernetines grėsmes, sukčiavimo ar socialinės inžinerijos metodus. Be to, šie subjektai turėtų iš naujo įvertinti savo kibernetinio saugumo pajėgumą ir, jei reikia, siekti integruoti kibernetinį saugumą stiprinančias technologijas, pavyzdžiui, dirbtinio intelekto ar mašininio mokymosi sistemas.
Siekdamos įrodyti atitiktį šioms priemonėms, valstybės narės gali reikalauti, kad esminiai ir svarbūs subjektai naudotų konkrečius IRT (angl. ICT) produktus, paslaugas ar procesus, kurie bus sertifikuoti pagal Europos kibernetinio saugumo sertifikavimo sistemas, priimtas pagal Kibernetinio saugumo aktą (Reglamentas (ES) 2019/881).
Svarbu paminėti, jog Europos Komisija yra įgaliota priimti įgyvendinimo ir deleguotuosius aktus, kuriais būtų išsamiau apibrėžtos rizikos valdymo priemonės. Taigi, įpareigojimai gali būti labiau apibrėžti, atsižvelgiant į naujas kibernetines grėsmes, technologinius pokyčius ar sektoriaus ypatumus.
Stebėsena ir įgyvendinimas
Valstybės narės turi užtikrinti veiksmingą priežiūrą ir direktyvos reikalavimų laikymąsi. Kritinės svarbos subjektams tai reiškia aktyvią priežiūrą. Priešingai, svarbių subjektų priežiūra turi būti reaktyvi: gali būti pradėta vykdyti gavus įrodymų, požymių ar informacijos, kad subjektas tariamai neatitinka direktyvos reikalavimų. Pastaruoju atveju veiksmų turėtų būti imamasi tik tada, kai valstybei narei paaiškėja, kad svarbus subjektas nesilaiko direktyvoje nustatytų įpareigojimų. Šiam tikslui priežiūros institucijos turi išsamų priežiūros įgaliojimų ir vykdymo užtikrinimo priemonių rinkinį. TIS2 direktyva taip pat išplečiama atsakomybė fiziniams asmenims, kurie gali būti patraukti atsakomybėn už priežiūros pareigos pažeidimą. Taigi, atsakinga gali būti laikoma ne tik įmonė bet ir organizacijos vadovas.