KIBERNETINIO SAUGUMO ĮSTATYMAS. TIS2 DIREKTYVOS ĮGYVENDINIMAS

2024 m. spalio 18 d. įsigaliojo atnaujintas Kibernetinio saugumo įstatymas, kuriuo į Lietuvos teisę perkeliama Europos Parlamento ir Tarybos direktyva (TIS2 arba NIS2), kuria siekiama suvienodinti bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje.

2024 m. lapkričio 6 d. LR Vyriausybė patvirtino naujus Kibernetinio saugumo reikalavimus, Nacionalinį kibernetinių incidentų valdymo planą ir specialiuosius reikalavimus, kurie papildo Kibernetinio saugumo įstatymas įtvirtintus reikalavimus.

Kam tai aktualu?

Organizacijos veikiančioms:

• ypatingos svarbos sektoriuose, kaip energetika, transportas, bankininkystė, finansų rinkos infrastruktūra, sveikatos priežiūra, geriamojo vandens bei nuotekų tvarkymas, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas.
• Kituose itin svarbiuose sektoriuose, kaip pašto paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbinimas ir platinimas, informacinės skaitmeninės paslaugos, moksliniai tyrimai.

Nacionalinis kibernetinio saugumo centras (NKSC) pagal nustatytus bendruosius ir specialiuosius kriterijus iki 2025 m. balandžio 17 d.  įtrauks subjektus į Kibernetinio saugumo subjektų registrą ir susisieks su visais registre esančiais subjektais elektroniniu pranešimu.

Šiuo metu subjektai gali patys įsivertinti arba sistemoje pasitikrinti ar patenka į registrą. Išreiškus norą ir susisiekus su NKSC, į registrą subjektai taip pat gali būti įtraukti savanoriškai.

Pereinamasis laikotarpis

Kibernetinio saugumo įstatymo nuostatos pradedamos taikyti nuo 2024 spalio 18 d., tačiau kibernetinio saugumo reikalavimai identifikuotiems kibernetinio saugumo subjektams bus pradėti taikyti per ne trumpesnį kaip 12 mėnesių pereinamąjį terminą, skaičiuojamą nuo jų įtraukimo į Kibernetinio saugumo subjektų registrą momento.

Per šiuos 12 mėn. kibernetinio saugumo subjektai turės atitikti organizacinius reikalavimus , o per 24 mėn. įgyventų techninius reikalavimus.

Pagrindinės kibernetinio saugumo rizikos valdymo priemonės

• Tinklų ir informacinių sistemų kibernetinio saugumo politika;
• Kibernetinio saugumo rizikos vertinimo ir valdymo tvarka, rizikos vertinimo ataskaita, rizikos valdymo planas;
• Kibernetinio saugumo vadovo ir už konkrečias saugumo funkcijas atsakingų administratorių paskyrimas;
• Kibernetinių incidentų valdymas;
• Veiklos tęstinumas;
• Tiekimo grandinės saugumas (įskaitant organizacijos ir jos tiesioginių tiekėjų/paslaugų teikėjų santykius);
• Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumas, įskaitant spragų (pažeidžiamumų) valdymą ir atskleidimą;
• Politika ir procedūros kibernetinio saugumo reikalavimų veiksmingumui įvertinti;
• Kibernetinės higienos praktika, reguliariai kibernetinio saugumo mokymai;
• Kriptografijos ir šifravimo naudojimo politika ir procedūros;
• Žmogiškųjų išteklių saugumas, prieigos prie tinklų ir informacinių sistemų kontrolės politika ir turto valdymas;
• Kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimai;
• Saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų naudojimas organizacijos viduje;
• Pareigų nustatymas: organizacijos vadovo ar jo įgalioto asmens, kibernetinio saugumo vadovo, saugos įgaliotinio/įgaliotinių;
• Naudotojų, administratorių, tiekėju ir kitų šalių teisės ir prieigos prie organizacijos informacinių resursų suteikimo ir valdymo politika;
• Galimi papildomi reikalavimai atskiriems sektoriams arba atskiroms subjekto grupėms, atsižvelgiant į identifikuotas rizikas.

Detalesni reikalavimai yra nurodyti 2024 m. lapkričio 6 d. LR Vyriausybė patvirtintuose Kibernetinio saugumo reikalavimuose, Nacionalinį kibernetinių incidentų valdymo plane.

Taikomos sankcijos

Gali būti skiriamos baudos už Kibernetinio saugumo įstatymo pažeidimus:

1) esminiam subjektui – iki 10 000 000 Eur arba iki 2 procentų juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma didesnė;

2) svarbiam subjektui – iki 7 000 000 Eur arba iki 1,4 procento juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma didesnė;

3) biudžetinei įstaigai, kuri yra esminis subjektas, – iki 1 procento biudžetinės įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 60 000 Eur;

4) biudžetinei įstaigai, kuri yra svarbus subjektas, – iki 0,5 procento biudžetinės įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 30 000 Eur.

Taip pat  Nacionalinis kibernetinio saugumo centras turi teisę taikyti vieną ar kelias vykdymo užtikrinimo priemones, kaip įspėjimus, nurodymus.

Kibernetinio saugumo įstatymo numatytas atvejais, gali būti taikomas esminio subjekto vadovo laikinas nušalinimas nuo pareigų, teisės užsiimti dalimi esminio subjekto vykdomos veiklos ar visa jo vykdoma veikla arba teisės teikti paslaugas laikinas sustabdymas.

ECOVIS ProventusLaw pagalba įgyvendinant NIS2 direktyvą

ECOVIS ProventusLaw teisininkai padeda verslui užtikrinti atitiktį NIS2 reikalavimams, taip sumažinant galimas pasekmes ir reguliavimo rizikas. Mūsų paslaugos:

• Teisinė analizė ir atitikties vertinimas. Jūsų organizacijos vidinių politikų, sutarčių ir procesų peržiūra bei atitikties įvertinimas NIS2 reikalavimams.
• Kibernetinio saugumo valdymo dokumentacija. Ecovis ProventusLaw ekspertai padeda parengti politikas ir procedūras, įgyvendinant NIS2 reikalavimus.
• Tiekimo grandinės saugumas. Pagalba rengiant Jūsų organizacijos tiekimo grandinės saugumo valdymo tvarką, peržiūrint sutartis su tiekėjais.
• NIS2 atitikties savitikros įrankis. Prieigos suteikimas prie mūsų įrankio, kuris leidžia nuodugniai įvertinti Jūsų organizacijos atitiktį.

Klausimyną sudaro tiksliniai klausimai, kurie užtikrina išsamų kibernetinio saugumo ir veiklos rizikos valdymo vertinimą. Jis suteikia aiškią struktūrą jūsų dabartinės situacijos analizei ir padeda nustatyti tobulintinas sritis..

Nors klausimyno užpildymas užima laiko, tai yra būtina priemonė, padedanti pasiruošti teisinių reikalavimų įgyvendinimui  ir sudaryti tolimesnį tobulinimo veiksmų planą.

Norite atlikti NIS2 atitikties savitikrą? Susisiekite su mumis rašydami [email protected] ir mes suteiksime jums prieigą.

Reikia konsultacijos? Susisiekite su mūsų partnere ir eksperte Loreta Andziulyte.