Kibernetinio saugumo įstatymas ir jo reikšmė įmonėms

Vyriausybei siekiant plėsti kibernetinės erdvės saugumą, tobulinti kibernetinio saugumo reguliavimą nacionaliniu lygmeniu bei norint užtikrinti ES Tinklų ir informacinių sistemų direktyvą dėl priemonių aukštam bendram kibernetinio saugumo lygiui įgyvendinimo Europos Sąjungos ribose (toliau – TIS 2 direktyva), Seimas priėmė naująjį Kibernetinio saugumo įstatymą.

Kibernetinio saugumo įstatymo paskirtis yra tobulinti nacionalinio kibernetinio saugumo reguliavimą, kartu įgyvendinant TIS 2 direktyvą. Pagrindiniai tikslai – kelti tiek viešojo, tiek privataus sektoriaus atsparumą kibernetinėms grėsmėms, didinti įmonių bei viešojo sektoriaus institucijų kompetenciją, slopinti jose kibernetinių incidentų poveikį, reaguoti į minėtus incidentus ir šiais būdais intensyvinti valstybės visuotinį pajėgumą pasirengti bei imtis atitinkamų veiksmų susidūrus su rimtais kibernetiniais incidentais ar krizėmis.

Įstatymo taikymas

Kibernetinio saugumo įstatymas pritaikytas įmonėms, veikiančioms ypatingos svarbos ir itin svarbiose srityse. Organizacijų klasifikavimas į esminius ar svarbius subjektus vykdomas remiantis bendrais identifikavimo kriterijais (tokiais kaip dydis, pajamos, veiklos sritis) ir specialiais kriterijais. Į kritines sritis patenka tokios sritys kaip transportas, bankininkystė, energetika, sveikatos apsauga ir kiti sektoriai, išvardyti Kibernetinio saugumo įstatymo I priede. Maisto gamyba, perdirbimas, platinimas, atliekų tvarkymas, paštas, chemijos pramonė ir kiti sektoriai, nurodyti Kibernetinio saugumo įstatymo II priede, taip pat laikomi itin svarbiais.

Esminiai pakeitimai

Įstatyme nustatyta kelių etapų pranešimų procedūra apie pačius pavojingiausius didelius incidentus, skirta užtikrinti sklandų ir tikslų svarbiausios informacijos perdavimą Nacionaliniui kibernetinio saugumo centrui (NKSC).

Kibernetinio saugumo įstatymu nustatyta platesnės kibernetinio saugumo užtikrinimo prievolės. Pačios bendriausios sritys, kaip kibernetinio saugumo politikų nustatymas bei kibernetinė higiena, yra apimamos, tačiau lieka vietos ir siauresniems, konkretesniems, minimaliais laikomais reikalavimams, pvz. prieigų ar kriptografijos valdymo sritis.

Pagal įstatymą organizacijoje privalu deleguoti už kibernetinį saugumą atsakingus asmenis(į), taip pat yra numatyta vadovo atsakomybė už kibernetinio saugumo reikalavimų laikymąsi.

Kontrolė ir potencialūs padariniai

Priežiūrą vykdanti institucija ir toliau liks NKSC, tačiau jai bus suteikti papildomi ir įvairūs įgaliojimai subjektų priežiūros metu. Be to, bus plečiamos priemonės, kurios bus taikomos NKSC reikalavimų neišpildžius ir/arba juos pažeidus, pavyzdžiui, bet tuo neapsiribojant: įspėjimai, stebėsenos pareigūnų paskyrimas, finansinės sankcijos (baudos), laikinas esminio subjekto vadovo pašalinimas iš pareigų, teisė sustabdyti dalinai arba visiškai esminio subjekto veiklą ar teikti paslaugas.

Įstatyme numatytos baudos, siekiančios iki 10 000 000 Eur (arba 2 proc. metinės apyvartos) arba iki 7 000 000 Eur (arba iki 1,4 proc. metinės apyvartos), priklausomai nuo to, kuriame sektoriuje veikia įmonė. Svarbu akcentuoti, jog pačios griežčiausios priemonės galės būti taikomos tik tuomet, kai NKSC nurodymai sistemingai nebus vykdomi arba pakartotinų pažeidimų atveju. Vis dėlto tikimasi, kad tokių priemonių panaudojimui būtinybės neatsiras.

Naujasis Kibernetinio saugumo įstatymas ir su jo įgyvendinimu susiję įrankiai, platformos ir reikalavimai įsigalios nuo 2024 m. spalio 18 d. NKSC privalo iki 2025 m. balandžio 17 d. identifikuoti kibernetinio saugumo subjektus atitinkamuose sektoriuose ir įtraukti juos į Kibernetinio saugumo informacinę sistemą. Nauji subjektai turi per 12 mėnesių laikotarpį nuo duotos datos užtikrinti savo tinklų ir informacinių sistemų saugumą.