TIS 2 direktyva jau Lietuvoje: įmonių laukia reikšmingi pokyčiai

2024 m. liepos 11 d. buvo žengtas pirmasis, itin reikšmingas ir su nekantrumu kibernetinio saugumo specialistų lauktas žingsnis – Lietuvos Respublikos Seimas uždegė žalią šviesą Kibernetinio saugumo įstatymo pakeitimams, kuriuose įtvirtintos esminės TIS 2 direktyvos nuostatos. Šios naujos redakcijos įstatymas įsigalioja 2024 m. spalio 18 d., – nurodo advokatų profesinės bendrijos „NEWTON LAW“ teisininkė, advokato padėjėja Akvilė Laurinaitytė.

Į kibernetinio saugumo reguliavimo sritį Lietuvoje pateks įmonės, veikiančios šiuose sektoriuose:

1. energetika, transportas, bankininkystė, finansų rinkų infrastruktūros objektai, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, informacinių ir ryšių technologijų paslaugų valdymas (paslaugos „verslas verslui“), viešasis administravimas, kosmosas – laikytini ypatingos svarbos sektoriais (esminiais subjektais);

2. pašto paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbimas ir platinimas, gamyba, informacinės visuomenės paslaugos, moksliniai tyrimai – laikytini kitais itin svarbiais sektoriais (svarbiais subjektais).

Teisininkė pažymi, kad šiose srityse veikiančioms įmonėms pareiga užtikrinti reikiamo lygio vidinę kibernetinio saugumo apsaugą bei atitiktį kitiems Kibernetinio saugumo įstatymo reikalavimams kils nuo jų įtraukimo į Kibernetinio saugumo subjektų registrą.

Iki 2025 m. balandžio 17 d. Nacionalinis kibernetinio saugumo centras turės identifikuoti visas įmones, patenkančias į kibernetinio saugumo reguliavimo sritį, ir įtraukti jas į minėtą registrą. Įmonės apie įregistravimą bus informuotos asmeniškai. Būtent nuo įregistravimo registre momento bus pradedamas skaičiuoti ne trumpesnis kaip 12 mėnesių pereinamasis laikotarpis, per kurį įmonės turės įgyvendinti ir įdiegti kibernetinio saugumo rizikos valdymo priemones. Atkreiptinas dėmesys, kad tuo atveju, jei įmonės nesutiks su jų įtraukimu į registrą, joms bus suteikiama galimybė prieštarauti ir skųsti tokį Nacionalinio kibernetinio saugumo centro sprendimą.

Įstatymo pataisomis iš TIS 2 direktyvos taip pat perkelta įmonių pareiga pranešti Nacionaliniam kibernetinio saugumo centrui apie įvykusius didelius incidentus, jei dėl jų įmonės patyrė arba galėjo patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių, arba, jei toks incidentas galėjo paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą. Įmonės taip pat privalės informuoti ir apie tokius incidentus, kurie, nors nelaikytini dideliais, tačiau dėl savo pobūdžio vis tiek sukėlė neigiamą poveikį vykdomai veiklai ir (ar) teikiamoms paslaugoms.

Įvykus dideliam kibernetiniam incidentui, įmonės Nacionaliniam kibernetinio saugumo centrui teiks informaciją palaipsniui, t. y.:

1. nedelsiant, bet ne vėliau kaip per 24 valandas nuo sužinojimo apie įvykusį incidentą, turės būti pateiktas ankstyvasis perspėjimas, jame nurodant, ar didelį incidentą sukėlė neteisėti ar piktavališki veiksmai, ir ar jis galėtų daryti tarpvalstybinį poveikį;

2. nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie įvykusį incidentą, turės būti pateiktas pranešimas apie kibernetinį incidentą, jame nurodant incidento pirminį vertinimą, pateikiant įsilaužimo įrodymus, jei tokių bus;

3. esant Nacionalinio kibernetinio saugumo centro prašymui, turės būti pateikta tarpinė atnaujintų duomenų ataskaita;

4. galiausiai, ne vėliau kaip per vieną mėnesį nuo ankstyvojo perspėjimo pateikimo, turės būti pateikta galutinė ataskaita apie įvykusį incidentą.

Teisininkė pažymi, kad įmonių vadovai taip pat turės paskirti už kibernetinį saugumą atsakingus asmenis, t. y. kibernetinio saugumo vadovą ir saugos įgaliotinį (tai galės būti ir tas pats asmuo). Kibernetinio saugumo vadovas bus atsakingas už bendrą kibernetinio saugumo rizikos valdymo priemonių įgyvendinimą ir integravimą įmonėje bei už pranešimų, įvykus kibernetiniam incidentui, teikimą, o saugos įgaliotinis – už konkrečios tinklų ir informacinės sistemos atitiktį minėtiems reikalavimams. Šie asmenys taip pat privalės atitikti Kibernetinio saugumo įstatyme numatytus kvalifikacijos reikalavimus.

Apibendrindama, advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė nurodo, kad nors pareiga užtikrinti atitiktį Kibernetinio saugumo įstatymo reikalavimams įmonėms kils tik nuo jų įregistravimo Kibernetinio saugumo subjektų registre, siūlome nedelsti ir iš anksto imtis reikiamų veiksmų – jau šiandien galite savarankiškai įvertinti, ar Jūsų įmonės veikla preliminariai patenka į įstatymo taikymo apimtį, bei nustatyti realią įmonės kibernetinio saugumo būklę. Anksčiau pradėję atlikti paruošiamuosius darbus, galėsite ne tik racionaliau paskirstyti laiko, žmogiškuosius ir finansinius resursus naujų priemonių ir procedūrų diegimui, bet ir turėsite pakankamai laiko išrinkti kompetentingus savo srities specialistus, kuriems patikėsite savo įmonių kibernetinio saugumo vairą, – pataria teisininkė.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866

Akvilė

Laurinaitytė

a.laurinaityte@newtonlaw.lt +370 668 33866