LIETUVOS RESPUBLIKOS KIBERNETINIO SAUGUMO ĮSTATYMAS. TINKLŲ IR INFORMAINIŲ SISTEMŲ (TIS2) DIREKTYVOS ĮGYVENDINIMAS
2024 m. spalio 18 d. įsigaliojo atnaujintas Kibernetinio saugumo įstatymas, kuriuo į Lietuvos teisę perkeliama Europos Parlamento ir Tarybos direktyva (TIS2 arba NIS2), kuria siekiama suvienodinti bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje.
2024 m. lapkričio 6 d. LR Vyriausybė patvirtino naujus Kibernetinio saugumo reikalavimus, Nacionalinį kibernetinių incidentų valdymo planą ir specialiuosius reikalavimus, kurie papildo Kibernetinio saugumo įstatymas įtvirtintus reikalavimus.
Kam tai aktualu?
Organizacijos veikiančioms:
- ypatingos svarbos sektoriuose, kaip energetika, transportas, bankininkystė, finansų rinkos infrastruktūra, sveikatos priežiūra, geriamojo vandens bei nuotekų tvarkymas, skaitmeninė infrastruktūra, IRT paslaugų valdymas, viešasis administravimas, kosmosas;
- kituose itin svarbiuose sektoriuose, kaip pašto paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbinimas ir platinimas, informacinės skaitmeninės paslaugos, moksliniai tyrimai.
Nacionalinis kibernetinio saugumo centras (NKSC) pagal nustatytus bendruosius ir specialiuosius kriterijus iki 2025 m. balandžio 17 d. įtrauks subjektus į Kibernetinio saugumo subjektų registrą ir susisieks su visais registre esančiais subjektais elektroniniu pranešimu.
Šiuo metu subjektai gali patys įsivertinti arba sistemoje pasitikrinti ar patenka į registrą. Išreiškus norą ir susisiekus su NKSC, į registrą subjektai taip pat gali būti įtraukti savanoriškai.
Kibernetinio saugumo ir atitikties užtikrinimas
ECOVIS ProventusLaw teisininkai specializuojasi TIS2 (NIS2), DORA, BDAR, Dirbtinio intelekto ir Skaitmeninių paslaugų aktų reikalavimuose, padėdami įmonėms užtikrinti teisinę atitiktį ir valdyti rizikas.
Mūsų kibernetinio saugumo ekspertų komanda siūlo aiškius, praktiškus ir verslui pritaikytus sprendimus, padedančius ne tik atitikti reguliacinius reikalavimus, bet ir stiprinti organizacijos saugumą bei reputaciją.
Atsižvelgdami į jūsų įmonės specifinius poreikius, siūlome skirtingus paslaugų paketus – nuo bazinio atitikties įvertinimo iki visapusiško teisinio ir kibernetinio saugumo užtikrinimo.
TIS2, kaip ir BDAR grindžiamas subjektų atskaitomybės principu. Tai reiškia, kad organizacijos pačios privalo įvertinti, ar joms taikomas TIS2, taip pat įsivertinti savo techninį ir organizacinį pasirengimą – tiek siekiant užkirsti kelią kibernetiniams incidentams, tiek užtikrinant jų efektyvų suvaldymą įvykus pažeidimui.
TIS2 atitikties įsivertinimo įrankis – pirmas žingsnis atitikties link
ECOVIS TIS2 atitikties įsivertinimo įrankis suteikia galimybę pasitikrinti atitiktį Kibernetinio saugumo įstatyme bei 2024 m. lapkričio 6 d. Lietuvos Vyriausybės nutarime dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo įtvirtintiems reikalavimams. Įrankyje pateikti klausimynai suteikia galimybę patogiai naviguoti per išsamius klausimus ir, užpildžius klausimyną, įsivertinti atitikties statusą.
Norėdami pasinaudoti ECOVIS TIS2 savitikros įrankiu susisiekite su mumis rašydami [email protected] ir mes suteiksime jums prieigą.
Pagrindiniai TIS2 direktyvos reikalavimai
Kokios rizikos valdymo priemonės reikalaujamos?
Rizikos valdymo priemones galima suskirstyti į šiuos segmentus:
| Politika ir valdymas | Incidentų valdymas ir veiklos tęstinumas
|
Tiekimo grandinės ir sistemų saugumas
|
Kibernetinė higiena ir šifravimas
|
Prieigos kontrolė ir tapatumo nustatymas
|
| Tinklų ir informacinių sistemų kibernetinio saugumo politika. | Kibernetinių incidentų valdymas. | Tiekimo grandinės saugumas (įskaitant organizacijos ir jos tiesioginių tiekėjų/paslaugų teikėjų santykius). | Kibernetinės higienos praktika, reguliarūs kibernetinio saugumo mokymai.
|
Žmogiškųjų išteklių saugumas, prieigos prie tinklų ir informacinių sistemų kontrolės politika ir turto valdymas. |
| Kibernetinio saugumo rizikos analizės politika. | Veiklos tęstinumas. | Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumas, įskaitant spragų (pažeidžiamumų) valdymą ir atskleidimą. | Kriptografijos ir šifravimo naudojimo politika ir procedūros.
|
Kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimai. |
| Politika ir procedūros kibernetinio saugumo reikalavimų veiksmingumui įvertinti. | Saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų naudojimas organizacijos viduje.
|
Pareigų nustatymas: organizacijos vadovo ar jo įgalioto asmens, kibernetinio saugumo vadovo, saugos įgaliotinio/įgaliotinių. | ||
| Naudotojų, administratorių, tiekėjų ir kitų šalių teisės ir prieigos prie organizacijos informacinių resursų suteikimo ir valdymo politika. | ||||
| Galimi papildomi reikalavimai atskiriems sektoriams arba atskiroms subjekto grupėms, atsižvelgiant į identifikuotas rizikas. |
Detalesni reikalavimai yra nurodyti 2024 m. lapkričio 6 d. LR Vyriausybė patvirtintuose Kibernetinio saugumo reikalavimuose, Nacionalinį kibernetinių incidentų valdymo plane.
Taikomos sankcijos bei asmeninė vadovo atsakomybė
Gali būti skiriamos baudos už Kibernetinio saugumo įstatymo pažeidimus:
| Esminiam subjektui | Svarbiam subjektui | Biudžetinei įstaigai, kuri yra esminis subjektas | Biudžetinei įstaigai, kuri yra svarbus subjektas |
| iki 10 000 000 Eur arba iki 2 procentų juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma didesnė. | iki 7 000 000 Eur arba iki 1,4 procento juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma didesnė. | iki 1 procento biudžetinės įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 60 000 Eur. | iki 0,5 procento biudžetinės įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 30 000 Eur. |
| Kibernetinio saugumo įstatymo numatytas atvejais, gali būti taikomas esminio subjekto vadovo laikinas nušalinimas nuo pareigų, teisės užsiimti dalimi esminio subjekto vykdomos veiklos ar visa jo vykdoma veikla arba teisės teikti paslaugas laikinas sustabdymas. | |||
Taip pat Nacionalinis kibernetinio saugumo centras turi teisę taikyti vieną ar kelias vykdymo užtikrinimo priemones, kaip įspėjimus, nurodymus.
Pereinamais laikotarpis
Kibernetinio saugumo įstatymo nuostatos pradedamos taikyti nuo 2024 spalio 18 d., tačiau kibernetinio saugumo reikalavimai identifikuotiems kibernetinio saugumo subjektams bus pradėti taikyti per ne trumpesnį kaip 12 mėnesių pereinamąjį terminą, skaičiuojamą nuo jų įtraukimo į Kibernetinio saugumo subjektų registrą momento.
Per šiuos 12 mėn. kibernetinio saugumo subjektai turės atitikti organizacinius reikalavimus , o per 24 mėn. įgyventų techninius reikalavimus.
Reikia konsultacijos? Susisiekite su mūsų partnere, kibernetinio saugumo ir duomenų apsaugos eksperte Loreta Andziulyte.
Loreta Andziulytė
Partnerė, advokatė, CIPP/E.
+370 5 212 40 84
Naujienos
Žinios yra mažavertės be patirties. Todėl didžiuojamės, kad kalbėdami su Jumis galime dalintis savo patirties pavyzdžiais
Naujienlaiškio prenumerata
Susisiekti