2024 m. spalio 18 d. Lietuvoje įsigaliojo atnaujintas Kibernetinio saugumo įstatymas, kuris atnešė reikšmingų pokyčių nemažai daliai bendrovių Lietuvoje ir Europos Sąjungoje (ES). Šie pakeitimai yra perkelti iš Europos Parlamento ir Tarybos (ES) direktyvos dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti (NIS 2), kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 bei panaikinama Direktyva (ES) 2016/1148 (NIS 1). Šis pokytis žymi esminį lūžį tiek ES, tiek Lietuvos kibernetinio atsparumo politikoje ir įpareigoja tūkstančius organizacijų imtis naujų saugumo priemonių. NIS 2 ne tik harmonizuoja kibernetinio saugumo reikalavimus visoje ES, bet ir įpareigoja organizacijas aktyviai stiprinti savo apsaugos priemones nuo vis dažnėjančių kibernetinių atakų. Tai reiškia, kad kibernetinis saugumas tampa strateginiu verslo prioritetu, o ne vien tik IT padalinio rūpesčiu.
Kas taps kibernetinio saugumo subjektais?
Ankstesnė NIS 1 direktyva buvo taikoma tik ribotam sektorių skaičiui, tačiau NIS 2 išplečia taikymo sritis. Pagal naująjį reguliavimą, bendrovės bus skirstomos į esminius ir svarbius kibernetinio saugumo subjektus (KSS). Šie subjektai bus įtraukti į Kibernetinio saugumo subjektų registrą. Nacionalinis kibernetinio saugumo centras (NKSC) identifikavo apie 1 500 kibernetinio saugumo subjektų ir informavimo juos apie patekimą į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d. Planuojama, kad KSS registras bus tikslinamas ne rečiau kaip kartą per metus.
Vadovaujantis NIS 2 ir Kibernetinio saugumo įstatymo nuostatomis išskiriami pagrindiniai subjektai kuriems kibernetinio saugumo reguliavimas yra taikomas, t.y.:
Esminiai kibernetinio saugumo subjektai - tos organizacijos, kurios veikia kritinėse srityse (energetikos, transporto, sveikatos apsaugos, viešojo administravimo, vandens tiekimo, informacinių ir ryšių technologijų paslaugų, bankininkystės sektoriuose) ir:
- turi daugiau nei 250 darbuotojų
- arba jų metinė apyvarta viršija 50 mln. Eur ir balansas viršija 43 mln. Eur (t.y. atitinka didesnės nei vidutinės bendrovės sąvoką vadovaujantis Lietuvos Respublikos smulkiojo ir vidutinio verslo plėtros įstatymu).
Svarbūs subjektai - jais pripažįstamos bendrovės, teikiančios pašto, atliekų tvarkymo paslaugas, vykdančios maisto ir cheminių medžiagų gamybos ir platinimo veiklą, atliekančios mokslinius tyrimus, užsiimančios gamyba ar valdančios jautrią informaciją ir:
turinčios daugiau nei 50 darbuotojų
arba kurių metinė apyvarta ir balansas viršija 10 mln. Eur (t.y. atitinka didesnės nei mažos bendrovės sąvoką vadovaujantis Lietuvos Respublikos smulkiojo ir vidutinio verslo plėtros įstatymu).
Nauji reikalavimai kibernetinio saugumo subjektams
Naujasis įstatymas numato griežtesnius organizacinius ir techninius reikalavimus, kuriuos privalės įgyvendinti kibernetinio saugumo subjektai:
Kibernetinio saugumo politikos dokumentai: KSS turės parengti ir patvirtinti politikos dokumentus, nustatančius saugumo strategijas bei veiksmus.
Rizikų valdymas: Privaloma reguliariai atlikti kibernetinio saugumo rizikų vertinimus ir diegti prevencines priemones.
Atsakingų asmenų paskyrimas: KSS vadovas turės paskirti kibernetinio saugumo vadovus (CISO) ir saugos įgaliotinius, atsakingus už numatytų kibernetinio saugumo priemonių įgyvendinimą.
Kibernetinių incidentų valdymas ir ataskaitų teikimas: KSS bus įpareigoti turėti incidentų valdymo planus ir pranešti apie grėsmes NKSC.
Tiekimo grandinės saugumas: KSS privalės užtikrinti, kad tiekimo partneriai taip pat laikytųsi kibernetinio saugumo standartų.
Techninių priemonių diegimas: Bus privaloma naudoti patikimas technologines apsaugos priemones, tokias kaip ugniasienės, šifravimas ir grėsmių aptikimo sistemos.
Dalyvavimas mokymuose: KSS valdymo organų nariai, vadovas privalo ne rečiau kaip kartą per 2 metus NKSC vadovo nustatyta tvarka išklausyti kibernetinio saugumo mokymus.
Auditas: KSS privalo ne rečiau kaip kartą per 3 metus atlikti kibernetinio saugumo auditą pagal NKSC tvirtinamą kibernetinio saugumo auditų atlikimo metodiką.
„Viešojoje erdvėje ir žiniasklaidoje aktyviai nagrinėjama dilema susijusi su CISO poreikiu ir šių specialistų trūkumu Lietuvoje. Pastebima tendencija, kad dalis bendrovių ieško ne nuolatinių kibernetinio saugumo strategų, bet laikinų ekspertų, galinčių greitai sutvarkyti dokumentaciją. Dalis bendrovių neturi arba neplanuoja turėti atskirų informacijos saugumo komandų, tačiau esami reikalavimai skatina šių pozicijų poreikį. NIS 2 perkelta į Kibernetinio saugumo įstatymą reikalauja, kad įmonės laikytųsi aiškių saugumo procedūrų. Šių reikalavimų įgyvendinimas įmonėms kelia iššūkių ne tik kibernetinio saugumo vadovų, bet ir visos komandos formavime, siekiant stiprinti verslo kibernetinį saugumą ir skaitmeninį atsparumą.“
Atsakomybė ir poveikio priemonės
Kibernetinio saugumo subjekto vadovas privalės užtikrinti, kad organizacija laikytųsi visų nustatytų reikalavimų. Už reikalavimų nevykdymą ar kitus pažeidimus NKSC gali taikyti įvairias poveikio priemones:
Baudas esminiam subjektui iki 10 mln. eurų arba iki 2 % nuo KSS bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma yra didesnė
Baudas svarbiam subjektui iki 7 mln. eurų arba iki 1,4 % nuo KSS bendros metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma yra didesnė
Laikiną vadovų nušalinimą nuo pareigų
Laikiną veiklos sustabdymą
Kaip pasiruošti naujiems reikalavimams?
Kadangi naujieji reikalavimai gali reikalauti papildomų investicijų ir procesų keitimų, potencialiai į KSS registrą trauktinoms bendrovėms iš anksto rekomenduojama imtis šių veiksmų:
- Įvertinti dabartinę kibernetinio saugumo būklę – atlikti auditą ir nustatyti silpnąsias vietas
- Parengti veiksmų planą – numatyti reikalingas organizacines ir technines priemones
- Skirti atsakingus asmenis – paskirti CISO ir saugos įgaliotinį
- Rengti darbuotojų mokymus – didinti vidinę organizacijos kompetenciją saugumo srityje
- Investuoti į kibernetinio saugumo technologijas – naudoti ugniasienes, antivirusines programas, monitoringo sprendimus
- Parengti incidentų valdymo planus – užtikrinti, kad organizacija būtų pasiruošusi reaguoti į kibernetines grėsmes
Siekdama užtikrinti tinkamą kibernetinio saugumo reikalavimų įgyvendinimą, Lietuvos Respublikos Vyriausybė 2018 m. rugpjūčio 13 d. priėmė nutarimą Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nutarimas). Nutarime apibrėžiamas kibernetinio saugumo reikalavimų taikymas subjektams, įtrauktiems į kibernetinio saugumo subjektų registrą Lietuvoje.
Į Kibernetinio saugumo subjektų registrą patekę kibernetinio saugumo subjektai kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėnesių, o techninius kibernetinio saugumo reikalavimus – per 24 mėnesius.
Neatidėliokite – jei jūsų įmonė patenka į kibernetinio saugumo subjektų sąrašą, laikas veikti yra dabar.
Susisiekite su „PwC Legal“ advokatų kontoros ekspertais dabar ir užtikrinkite savo organizacijos atitiktį kibernetinio saugumo reikalavimams pagal naujausius teisės aktus.
Susisiekite su mumis
