Straipsniai

Straipsniai

Straipsniai

Rizikų vertinimas pagal TIS2: kaip tinkamai pasiruošti organizacijai

Sep 23, 2025

Rizikų vertinimas šiandien yra ne tik formalus reikalavimas, bet ir kertinis procesas, lemiantis organizacijos atsparumą kibernetinėms grėsmėms, reputacijos apsaugą ir veiklos tęstinumą.

Nacionalinis kibernetinio saugumo centras (NKSC) neseniai pristatė ketvirtąją praktinę rekomendaciją dėl rizikų vertinimo, kurioje pabrėžia, kad šis procesas yra vienas svarbiausių žingsnių siekiant atitikti naujus Kibernetinio saugumo įstatymo reikalavimus.

Tačiau ką tai reiškia praktiškai, ypač tiems, kurie turi ruoštis TIS2 direktyvos įgyvendinimui?

Kodėl rizikų vertinimas yra būtinas vadovams?

  • Teisinė prievolė - organizacijos, patenkančios į kibernetinio saugumo registrą, privalo kasmet atlikti rizikų vertinimą.

  • Strateginis valdymas - rizikų analizė padeda vadovams suprasti, kurie ištekliai (IT, žmonės, procesai) yra kritiški verslo tęstinumui.

  • Pasitikėjimo stiprinimas - brandus rizikų valdymas didina klientų, partnerių ir investuotojų pasitikėjimą.

  • Reali apsauga - tai priemonė pasiruošti ne tik teorinėms, bet ir praktinėms grėsmėms: tiekimo grandinės sutrikimams, reputacijos krizėms, kibernetinėms atakoms.

Praktiniai žingsniai, kaip pasiruošti rizikų vertinimui pagal TIS2

  1. Išteklių identifikavimas

    • Sudarykite sąrašą: informaciniai ištekliai, IT sistemos, procesai, žmonės, fizinė infrastruktūra.

    • Įtraukite ir trečiųjų šalių paslaugas (cloud, tiekėjus).

  2. Rizikos apetito nustatymas

    • Aiškiai apsibrėžkite: kokią riziką jūsų organizacija gali priimti, o kokia nepriimtina.

    • Pavyzdys: trumpalaikis el. pašto sutrikimas gali būti toleruojamas, bet CRM ar mokėjimų sistemos prastova – ne.

  3. Grėsmių identifikavimas ir vertinimas

    • Nustatykite vidines grėsmes (pvz., darbuotojų klaidos, IT resursų trūkumas).

    • Įvertinkite išorines (pvz., ransomware atakos, tiekimo grandinės problemos).

    • Įvertinkite rizikos poveikį: poveikis vartotojams, pardavimams, EBIT.

  4. Kontrolės priemonių pasirinkimas

    • Techninės: ugniasienės, atsarginės kopijos, šifravimas.

    • Organizacinės: aiškiai paskirtos atsakomybės, procesų dokumentavimas, mokymai.

    • Teisinės: sutarčių peržiūra su tiekėjais, atsakomybės pasidalinimas.

  5. Veiksmų plano sudarymas

    • Aiškiai įrašykite, kas atsakingas už kokių rizikų valdymą.

    • Sudarykite veiksmų tvarkaraštį, pridėkite matuojamus KPI.

  6. Nuolatinė stebėsena ir atnaujinimas

    • Rizikų vertinimas turi būti dinaminis procesas, peržiūrimas bent kartą per metus arba atsiradus pokyčiams (pvz., nauja sistema, įvykęs incidentas).

    • Vadovybei reguliariai teikite ataskaitas apie pagrindines rizikas.

Praktiniai patarimai vadovams

  • Įtraukite visas suinteresuotas šalis - IT, teisininkus, verslo vadovus, net tiekimo grandinės atstovus.

  • Naudokite vieningą metodiką (pvz., ISO 27005 ar NIST rizikos valdymo modelį), kad rezultatai būtų lyginami metai iš metų.

  • Nepamirškite, kad rizikų vertinimas yra ir kultūros klausimas - darbuotojai turi suprasti, kad jų veiksmai turi tiesioginę įtaką organizacijos atsparumui.

  • Automatizuokite procesą - TrustGuru platforma leidžia greitai identifikuoti rizikas, sukurti ataskaitas ir užtikrinti dokumentacijos atitiktį TIS2.

Išvada

Rizikų vertinimas yra vienas svarbiausių TIS2 direktyvos reikalavimų. Tai ne tik formalumas - tai strateginis procesas, padedantis apsaugoti organizacijos veiklą, reputaciją ir užtikrinti konkurencinį pranašumą.

Jeigu norite atlikti rizikų vertinimą efektyviai, rekomenduojame pasinaudoti NKSC parengta rekomendacija - visą dokumentą rasite čia.