Kibernetinio saugumo politika – pirmas žingsnis organizacijos kibernetinio atsparumo link

„Nacionalinio kibernetinio saugumo centro duomenimis, 2024 metais užregistruota net 63 procentais daugiau kibernetinių incidentų nei 2023 metais” – pastebi advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė.

Praėjusiais metais pagrindinė kibernetinių incidentų priežastis buvo piktavalių socialinės inžinerijos metodų taikymas, siekiant išvilioti jautrią informaciją – išaugo apgaulingų laiškų, dirbtinio intelekto sugeneruotų balso skambučių ir QR kodų sukčiavimo atakų skaičius, taip pat vis dažniau buvo imituojamos IT paslaugos, pavyzdžiui, siunčiant prisijungimo prie „Microsoft 365“ ar „Outlook“ nuorodas, tokiu būdu siekiant gauti prieigą prie organizacijos vidinių išteklių, konfidencialios informacijos arba apsimesti teisėtais vartotojais (su 2024 m. Nacionaline kibernetinio saugumo būklės ataskaita plačiau galite susipažinti čia: https://www.nksc.lt/doc/Nacionaline-kibernetinio-saugumo-ataskaita-2024.pdf).

Vienas iš pagrindinių vidaus dokumentų, įtvirtinančių esminius organizacijos siekius ir įsipareigojimus, užtikrinant kibernetinį atsparumą kylančioms grėsmėms, yra kibernetinio saugumo politika.

Advokato padėjėja A. Laurinaitytė primena, kad 2025 m. balandžio 17 d. buvo sudarytas Kibernetinio saugumo subjektų registras, kuriame šiuo metu yra 1443 organizacijos. Šios organizacijos per nustatytą terminą privalo įgyvendinti Kibernetinio saugumo reikalavimų apraše įtvirtintus reikalavimus, įskaitant ir kibernetinio saugumo politikos parengimą ir patvirtinimą. Vidaus dokumentacijai parengti organizacijoms numatytas 12 mėnesių terminas nuo įtraukimo į Kibernetinio saugumo subjektų registrą, t. y. visi Kibernetinio saugumo reikalavimų apraše nurodyti dokumentai įmonėse turės būti parengti vėliausiai iki 2026 m. balandžio 17 d.

Kibernetinio saugumo politikoje turi būti įtvirtinti bent šie aspektai:

  • Veiklos užtikrinant kibernetinį saugumą tikslai, suformuluoti pagal Kibernetinio saugumo įstatyme nustatytus kibernetinio saugumo principus;
  • Kibernetinį saugumą reglamentuojančių teisės aktų, kuriais vadovaujamasi, sąrašas;
  • Kiti organizacijos vidaus dokumentai, kuriais vadovaujamasi įgyvendinant kibernetinio saugumo politiką;
  • Įpareigojimai, kurių turi laikytis organizacijos darbuotojai ir trečiosios šalys.

Be nurodytų aspektų, advokato padėjėja pažymi, kad organizacijoms yra suteikiama laisvė savarankiškai apsispręsti, kokios papildomos sudedamosios dalys gali papildyti kibernetinio saugumo politiką ir, atitinkamai, į šį vidaus dokumentą įtraukti kitus dokumentus, nurodytus Kibernetinio saugumo reikalavimų apraše.

Organizacijos per 5 darbo dienas nuo kibernetinio saugumo politikos patvirtinimo turės informuoti Nacionalinį kibernetinio saugumo centrą, per Kibernetinio saugumo informacinę sistemą pateikdamos reikiamą informaciją (kibernetinio saugumo politikos pavadinimą, patvirtinimo datą, registracijos numerį).

Svarbu atkreipti dėmesį, kad kibernetinio saugumo politika turės būti reguliariai, tačiau ne rečiau kaip kartą per vienerius metus arba pasikeitus aplinkybėms, peržiūrima ir atnaujinama. Po atliktos peržiūros ir pakeitimų organizacijos taip pat turės informuoti Nacionalinį kibernetinio saugumo centrą, pateikdamos aukščiau nurodytą informaciją. Nacionalinis kibernetinio saugumo centras, atlikdamas patikrinimus, turės teisę pareikalauti organizacijų pateikti kibernetinio saugumo politikos ir kitų vidaus dokumentų kopijas susipažinimui.

Organizacijos vadovai turės užtikrinti tinkamą Kibernetinio saugumo įstatymo reikalavimų, įskaitant ir kibernetinio saugumo politikos, įgyvendinimą, o, pažeidus nustatytas pareigas, vadovams gali grėsti ir asmeninė atsakomybė. Taigi, raginame vadovus nuo pat pradžių įsitraukti į įmonės kibernetinio saugumo užtikrinimo ir atsparumo gerinimo procesus, skirti pakankamai žmogiškųjų ir finansinių resursų bei neperleisti atsakomybės dėl šių procesų įgyvendinimo vien tik organizacijos IT specialistams.

Galiausiai, advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė paaiškina, kad net jeigu Jūsų organizacija nesulaukė pranešimo iš Nacionalinio kibernetinio saugumo centro apie įtraukimą į Kibernetinio saugumo subjektų registrą, vis tiek rekomenduojame skirti dėmesio savo įmonės kibernetinio atsparumo ir pajėgumų lygio įvertinimui bei turėti patvirtintą kibernetinio saugumo dokumentaciją, kuri ne tik atskleistų Jūsų organizacijos brandą ir aiškią poziciją kibernetinio saugumo užtikrinimo kontekste, bet ir padėtų kryptingai veikti, įvykus kibernetiniam incidentui organizacijos viduje.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866

Akvilė

Laurinaitytė

a.laurinaityte@newtonlaw.lt +37064653727