2025 m. balandžio mėn. Lietuvos nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) sudarė naująjį Kibernetinio saugumo subjektų registrą. Šiuo metu jame yra 1443 organizacijos iš 11 ypatingos svarbos ir 7 kitų itin svarbių sektorių. Visos jos, pagal atnaujintą Kibernetinio saugumo įstatymą, privalės užtikrinti aukštesnius kibernetinio saugumo standartus.
Pagrindiniai pokyčiai ir reikalavimai
Registras sudarytas remiantis naująja Kibernetinio saugumo įstatymo redakcija, įsigaliojusia 2024 m. spalio 18 d. Šiuo įstatymu į Lietuvos teisę perkeliama Europos Parlamento ir Tarybos direktyva (TIS2 arba NIS2), kuria siekiama suvienodinti bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje.
Visi į Kibernetinio saugumo subjektų registrą įtraukti subjektai privalo laikytis Kibernetinio saugumo įstatyme ir 2024 m. lapkričio 6 d. Lietuvos Vyriausybės nutarime dėl šio įstatymo įgyvendinimo įtvirtintų reikalavimų.
Įstatymas ne tik sustiprino kibernetinio saugumo reikalavimus, bet ir išplėtė sektorių, kuriems jie taikomi, sąrašą. Be jau anksčiau privalomus reikalavimus vykdžiusių energetikos, finansų, sveikatos, skaitmeninės infrastruktūros ir viešojo valdymo sektorių, prie registro prisijungė ir nuotekų bei atliekų tvarkymo, mokslinių tyrimų bei kitų itin svarbių sektorių organizacijos.
Lyginant su ankstesniu subjektų sąrašu, registre esančių organizacijų skaičius išaugo beveik penkis kartus. Dauguma naujai įtrauktų subjektų priklauso privačiam sektoriui.
Kibernetinio saugumo subjektų registras yra tikslinamas ne rečiau kaip kartą per metus
Visi registruoti subjektai privalo įgyvendinti teisės aktuose nustatytus reikalavimus. Jiems taikomas pereinamasis laikotarpis:
- 12 mėn. – organizaciniams reikalavimams įgyvendinti;
- 24 mėn. – tam tikriems techniniams reikalavimams įgyvendinti,
skaičiuojant nuo įtraukimo į registrą dienos.
Reikalavimai kibernetinio saugumo subjektams
Lietuvoje kibernetinio saugumo užtikrinimas tampa vis svarbesne valstybės ir organizacijų atsakomybės dalimi. Siekiant apsaugoti tinklus, informacines sistemas bei skaitmeninius duomenis, kibernetinio saugumo subjektams keliami aiškūs reikalavimai. Šie reikalavimai apima tiek vidaus politikos kūrimą, tiek techninius sprendimus bei žmonių pasirengimą reaguoti į grėsmes.
Pirmiausia organizacijos turi atlikti kibernetinių rizikų analizę ir parengti išsamią saugumo politiką, kurioje būtų aiškiai apibrėžtos šifravimo, naudotojų prieigos, bei procedūrų, leidžiančių įvertinti saugumo priemonių veiksmingumą, taisyklės. Turi būti nustatytos aiškios prieigos teisės darbuotojams, administratoriams, tiekėjams ir kitiems susijusiems subjektams.
Ne mažiau svarbu yra aiški organizacinė struktūra – privaloma paskirti atsakingus asmenis, tokius kaip kibernetinio saugumo vadovas ar saugos įgaliotinis. Vadovybė turi užtikrinti, kad visi teisės aktuose numatyti reikalavimai būtų tinkamai įgyvendinti ir nuolat prižiūrimi.
Kibernetinis saugumas neatsiejamas nuo tinkamos techninės infrastruktūros. Organizacijos privalo užtikrinti, kad veiktų saugumo operacijų centras (SOC), būtų diegiami kelių veiksnių tapatybės patvirtinimo sprendimai bei užtikrintas saugus vidinis ir avarinis ryšys. Svarbu ir tai, kad kai kuriais atvejais, ypač esminių subjektų atveju, būtina sudaryti sąlygas Nacionaliniam kibernetinio saugumo centrui diegti papildomas saugumo priemones.
Nemažą dėmesį reikia skirti ir incidentų valdymui – turi būti parengti aiškūs veiksmų planai, kaip elgtis kibernetinių incidentų metu, o apie kiekvieną incidentą būtina laiku pranešti NKSC. Svarbu užtikrinti ne tik reagavimą į incidentus, bet ir veiklos tęstinumą po jų. Taip pat kas trejus metus turi būti atliekamas išsamus saugumo auditas, leidžiantis įvertinti, ar visos priemonės yra tinkamai įgyvendintos.
Kibernetinis saugumas priklauso ir nuo žmonių. Todėl būtina nuolat ugdyti darbuotojų kompetencijas, rengti mokymus, skatinti saugumo kultūrą ir užtikrinti prieigos kontrolę bei turto apskaitą. Mokymai turi būti reguliarūs, o darbuotojai turi laikytis kibernetinės higienos praktikų.
Galiausiai, saugumo reikalavimai taikomi ir tiekimo grandinei – turi būti užtikrintas tiekėjų patikimumas, spragų valdymas bei saugi sistemų priežiūra.
Šie reikalavimai sudaro pagrindą efektyviai apsaugai nuo kibernetinių grėsmių, tačiau svarbu suprasti, kad tai nėra baigtinis sąrašas – jis gali būti papildomas atsižvelgiant į konkretaus sektoriaus rizikas. Kibernetinio saugumo subjektų registras yra tikslinamas ne rečiau kaip kartą per metus, o įsipareigojimų nesilaikymas gali lemti atsakomybę ir sankcijas. Visuomenės, verslo ir valstybės pastangos šioje srityje yra būtinos norint užtikrinti patikimą ir saugią skaitmeninę aplinką.
Atsakomybė ir sankcijos
Pagal Kibernetinio saugumo įstatymą, skirtingiems subjektams, priklausomai nuo jų svarbos, gali būti taikomos skirtingo dydžio baudos už teisės aktų pažeidimus. Esminiams subjektams gali būti skiriama bauda iki 10 milijonų eurų arba iki 2 procentų juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma yra didesnė. Svarbiems subjektams ši riba siekia iki 7 milijonų eurų arba iki 1,4 procento pasaulinės metinės apyvartos, taip pat priklausomai nuo didesnės sumos.
Biudžetinėms įstaigoms, kurios yra laikomos esminiais subjektais, maksimali bauda gali sudaryti iki 1 procento jų einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, tačiau ne daugiau kaip 60 tūkstančių eurų. Tuo tarpu biudžetinėms įstaigoms, kurios laikomos svarbiais subjektais, taikoma bauda gali siekti iki 0,5 procento jų biudžeto ir pajamų, bet neviršyti 30 tūkstančių eurų.
Be finansinių sankcijų, įstatymas numato ir papildomas poveikio priemones. Esminio subjekto vadovas gali būti laikinai nušalintas nuo pareigų, gali būti laikinai sustabdyta teisė užsiimti dalimi ar visa vykdoma veikla, taip pat teisė teikti paslaugas.
Be to, Nacionalinis kibernetinio saugumo centras turi teisę taikyti vykdymo užtikrinimo priemones, tokias kaip įspėjimai ar privalomieji nurodymai. Šios priemonės užtikrina, kad subjektai laikytųsi kibernetinio saugumo reikalavimų ir veiktų atsakingai siekiant apsaugoti kritinę infrastruktūrą bei viešąjį interesą.
TIS2 atitikties įsivertinimo įrankis: žingsnis link atitikties
Siekdami padėti organizacijoms identifikuoti joms taikomus reikalavimus, nustatytus Kibernetinio saugumo įstatyme ir 2024 m. lapkričio 6 d. Lietuvos Vyriausybės nutarime, bei susidaryti aiškų jų turinio supratimą, parengėme TIS2 atitikties savitikros įrankį: https://tis2.ecovis.lt/
Šis įrankis:
- struktūrizuotas pagal teisės aktuose nurodytus kibernetinio saugumo reikalavimus;
- leidžia per klausimynus patogiai įsivertinti, ar Jūsų organizacija atitinka keliamus kriterijus;
- identifikuoja galimas spragas ir padeda planuoti tolesnius veiksmus;
- yra naudingas tiek pasirengimo, tiek nuolatinės atitikties užtikrinimo etapuose.