Kibernetinio saugumo reikalavimams Lietuvoje – žalia šviesa. Kaip atrodys TIS 2 direktyvos įgyvendinimas?

2024 m. spalio 18 d. įsigaliojo naujos redakcijos Lietuvos Respublikos kibernetinio saugumo įstatymas, kuriuo perkeltos esminės TIS 2 direktyvos nuostatos.

Vos po kelių savaičių Lietuvos Respublikos Vyriausybėje buvo priimtas nutarimas, kuriuo patvirtinti šį atnaujintą Kibernetinio saugumo įstatymą įgyvendinantys teisės aktai:

  • Nacionalinis kibernetinių incidentų valdymo planas;
  • Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika;
  • Kibernetinio saugumo reikalavimų aprašas;
  • Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas;
  • Saugiojo valstybinio duomenų perdavimo tinklo naudotojų sąrašas;
  • Atlyginimo už naudojimąsi Saugiuoju valstybiniu duomenų perdavimo tinklu teikiamomis papildomomis elektroninių ryšių ir kibernetinio saugumo paslaugomis dydžių nustatymo kriterijų ir atlyginimo apskaičiavimo tvarkos aprašas.

Pasak advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėjos Akvilės Laurinaitytės, vienas iš svarbiausių Vyriausybės nutarimu patvirtintų dokumentų verslui – Kibernetinio saugumo reikalavimų aprašas. Šiame dokumente numatomi konkretūs organizaciniai ir techniniai reikalavimai, kuriuos turės įgyvendinti į TIS 2 direktyvos taikymo apimtį patenkančios įmonės ir organizacijos.

Advokato padėjėja Akvilė Laurinaitytė primena, kad sektorių, kuriuose veikiančios įmonės ir organizacijos patenka į TIS 2 direktyvos apimtį, sąrašas nurodytas TIS 2 direktyvos I ir II prieduose. Lietuvoje šios įmonės ir organizacijos bus registruojamos Kibernetinio saugumo subjektų registre, kuris bus tvarkomas Kibernetinio saugumo informacinėje sistemoje (KSIS).

Nacionalinio kibernetinio saugumo centro interneto puslapyje galima rasti naudingą įrankį, kuriame, įvedus įmonės kodą, veiklos sektorių, darbuotojų skaičių, pajamas ir balansą, galima preliminariai patikrinti, ar įmonė ir organizacija bus įtraukta į Kibernetinio saugumo subjektų registrą. Įrankį galite rasti čia: https://www.nksc.lt/kssregistras/

Iki 2025 m. balandžio 17 d. Lietuvoje bus parengtas visų į TIS 2 direktyvą patenkančių įmonių ir organizacijų sąrašas. Nacionalinio kibernetinio saugumo centro atstovai su įtrauktomis įmonėmis ir organizacijomis susisieks asmeniškai raštu.

Nuo įregistravimo KSIS įmonėms ir organizacijoms bus pradedamas skaičiuoti 12 mėn. terminas įgyvendinti Kibernetinio saugumo reikalavimų apraše numatytus organizacinius reikalavimus ir 24 mėn. terminas įgyvendinti atitinkamuose Kibernetinio saugumo reikalavimo aprašo punktuose nurodytus techninius reikalavimus.

Vadovaujantis Kibernetinio saugumo reikalavimų aprašu, įmonėse ir organizacijose turės būti parengti ir patvirtinti žemiau nurodyti dokumentai:

  • Tinklų ir informacinių sistemų kibernetinio saugumo politika;
  • Tinklų ir informacinių sistemų rizikos vertinimo ir valdymo tvarka;
  • Kibernetinių incidentų valdymo planas;
  • Tinklų ir informacinių sistemų veiklos tęstinumo valdymo planas;
  • Tiekimo grandinės saugumo valdymo tvarka;
  • Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo užtikrinimo tvarka;
  • Kibernetinio saugumo reikalavimų veiksmingumo vertinimo tvarka;
  • Kibernetinės higienos praktikos organizavimo ir kibernetinio saugumo mokymų organizavimo ir vykdymo tvarka;
  • Kriptografijos ir šifravimo naudojimo tvarka;
  • Žmogiškųjų išteklių saugumas, turto valdymo tvarka, tinklų ir informacinių sistemų fizinės prieigos reikalavimai;
  • Prieigos valdymo tvarka, kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų naudojimo tvarka.

Tačiau įmonėms ir organizacijoms bus suteikiama laisvė pasirinkti, t. y. nurodytus dokumentus apjungti į vieną dokumentą arba juose numatytus reikalavimus išdėstyti skirtinguose dokumentuose.

Advokato padėjėja Akvilė Laurinaitytė pažymi, jog, be reikiamos vidaus dokumentacijos parengimo ir patvirtinimo, įmonės ir organizacijos taip pat turės pasirūpinti, kad būtų:

  • Paskirtas kibernetinio saugumo vadovas (CISO (angl. Chief Information Security Officer)), atsakingas bendrai už įmonės ar organizacijos atitikties kibernetinio saugumo reikalavimams įgyvendinimo organizavimą;
  • Paskirtas saugos įgaliotinis (galimybė šio asmens funkcijas pavesti atlikti kibernetinio saugumo vadovui), atsakingas už įmonės ar organizacijos konkrečios tinklų ir informacinės sistemos ar kelių tinklų ir informacinių sistemų atitikties kibernetinio saugumo reikalavimams įgyvendinimo organizavimą;
  • Sudarytas Saugumo operacijų centras (SOC), atsakingas už centralizuotą įmonės ar organizacijos kibernetinių incidentų valdymo organizavimą;
  • Paskirti kiti atsakingi asmenys (administratoriai) tinklams ir informacinėms sistemoms prižiūrėti, jų veikimui užtikrinti.

Labai svarbu atkreipti dėmesį, jog kibernetinio saugumo vadovo, saugos įgaliotinio, Saugumo operacijų centro funkcijos negalės būti pavedamos asmenims, kurie įmonėje ar organizacijoje rūpinasi tinklų ir informacinių sistemų administravimu, techninės kompiuterinės įrangos ar programinės įrangos priežiūra ir valdymu.

Jei Jums kyla abejonių, ar Jūsų įmonė ar organizacija gali patekti į TIS 2 direktyvos taikymo apimtį, ir, ar Jums bus taikomi numatyti kibernetinio saugumo reikalavimai, kviečiame kreiptis į advokatų profesinės bendrijos „NEWTON LAW“ teisininkus. Susipažinę su teisinio reglamentavimo specifika, esminėmis tarptautinių standartų rekomendacijomis ir su partneriais sėkmingai įgyvendinę ne vieną projektą šioje srityje, mes galime padėti Jums įvertinti Jūsų turimus vidaus dokumentus, pateikti naudingų įžvalgų ir, esant poreikiui, parengti reikiamą dokumentaciją.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866

Akvilė

Laurinaitytė

a.laurinaityte@newtonlaw.lt +370 668 33866