Gyvename laikais, kai duomenys yra ne tik naujasis auksas, bet ir silpniausia šiuolaikinės infrastruktūros styga. Viena klaida gali sutrikdyti tinklų veiklą, ištuštinti sąskaitas, paralyžiuoti ligoninių sistemas, sustabdyti verslus, panardinti visuomenę į netikrumo bangą. Šiame kontekste sprendimų ieško ne tik mums jau pažįstamas Bendrasis duomenų apsaugos reglamentas (BDAR), bet ir naujieji Europos Sąjungos saugumo ramsčiai: Tinklų ir informacinių sistemų kibernetinio saugumo direktyva (TIS2 direktyva) bei Skaitmeninės veiklos atsparumo finansų sektoriuje reglamentas (DORA). Kiekvienas jų iškelia savitus reikalavimus, priklausomai nuo sektoriaus ir rizikų, tačiau visi kartu jie kuria visapusišką, darnų skaitmeninio atsparumo orkestrą.

Nors vienoje organizacijoje dažniausiai taikomas tik vienas iš šių teisės aktų, vis dažniau tenka derinti kelių skirtingų saugumo reikalavimų ramsčius. TIS2 direktyva apima plačius sektorius ir kalba apie bendrą kibernetinį saugumą, o DORA labiau orientuodamasi į finansų sektorių, technologinį atsparumą ir testavimą. Kaip juos sujungti į veikiančią visumą? Kaip iš šių atskirų natų sudėlioti vieningą partitūrą? Atsakymą siūlo informacijos saugumo vadybos standartas ISO/IEC 27001, į kurį vertėtų žiūrėti ne kaip į dar vieną formalų reikalavimą, bet kaip į metodinį stuburą, kuris padeda saugumo simfonijai suskambėti aiškiai ir nuosekliai.

Pastebėtina, kad ISO/IEC 27001 savo pobūdžiu, apimtimi ir taikymo tikslais nėra nei tapatus, nei lygiavertis minėtuose teisės aktuose numatytiems privalomiems reikalavimams. Šis standartas pats savaime neužtikrina teisinės atitikties, tačiau jis aiškiai nubrėžia informacijos saugumo valdymo sistemos kūrimo, įgyvendinimo, priežiūros ir tobulinimo ciklą, o tai gali tapti tvirtu pagrindu sistemingam teisinių reikalavimų įgyvendinimui.

Kad saugumo sistema skambėtų be klaidų, organizacijoms reikia ne tik taisyklių ar technologinių įrankių, bet ir žmonių, kurie moka išversti teisės kalbą į techninius sprendimus ir atvirkščiai. Reikia bendros kalbos tarp teisininkų ir IT profesionalų. Čia į sceną žengia stipriausia komanda: teisininkai ir IT specialistai su ISO/IEC 27001 rankose. Teisininkai iššifruoja visus BDAR, TIS2 direktyvos ir DORA reikalavimus bei padeda juos suprasti ne kaip grėsmes, bet kaip galimybes. IT specialistai šiuos reikalavimus įgyvendina realybėje, kurdami gyvą, veikiančią apsaugą. ISO/IEC 27001 tampa ritmu ir tvarka, padedančia šiuos du pasaulius sujungti į vieną visumą.

Taigi, kai teisinė logika, technologinis įgyvendinimas ir struktūrinis metodas susijungia ir veikia iš vien, organizacija ne tik formaliai atitinka reikalavimus, bet tampa atsparia ir lanksčia. Investicija į šį trejetą tampa ne išlaidomis, o ilgalaike vertės kūrimo strategija, konkurenciniam pranašumui.

Europos Sąjunga vis daugiau dėmesio skiria kibernetiniam atsparumui, todėl organizacijoms teks vis dažniau integruoti atitikties, rizikos ir saugumo procesus į vieningą valdymo sistemą, todėl jau šiandien informacijos saugumas turėtų tapti natūralia organizacijos DNR dalimi, o ne papildoma našta. ISO/IEC 27001 gali padėti organizacijai suvaldyti saugumo vadybos ritmą ir paversti teisinius reikalavimus ne garsų kratiniu, o gyvybinga simfonija.