Organizacija įtraukta į Kibernetinio saugumo subjektų registrą: kaip užtikrinti, kad saugumas netaptų našta?

2025 m. balandžio 17 d. Nacionalinis kibernetinio saugumo centras sudarė Kibernetinio saugumo subjektų registrą, į kurį įtraukė visas ypatingos svarbos ir kituose itin svarbiuose sektoriuose veikiančias Lietuvos įmones ir organizacijas.

Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė atkreipia dėmesį, kad šiuo metu į registrą įtrauktiems subjektams jau pradėtas skaičiuoti 12 mėnesių pereinamasis laikotarpis organizaciniams reikalavimams įgyvendinti ir 24 mėnesių pereinamasis laikotarpis techniniams reikalavimams įgyvendinti.

Vienas iš esminių TIS 2 direktyvoje keliamų reikalavimų, kurį turi įgyvendinti į registrą įtrauktos įmonės ir organizacijos – imtis tinkamų ir proporcingų techninių, operatyvinių ir organizacinių priemonių ir užkirsti kelią incidentų poveikiui paslaugų gavėjams ir kitoms paslaugoms arba juos sumažinti iki minimumo.

Tam, kad nustatytų reikalavimų įgyvendinimas būtų sklandus ir efektyvus, įmonių ir organizacijų vadovams advokato padėjėja A. Laurinaitytė rekomenduoja veikti kryptingai ir sudaryti bei laikytis veiksmų plano, t. y.:

  • Apibrėžti, parengti ir įgyvendinti kibernetinio saugumo dokumentaciją –nustatyti aiškias atsakomybes už kibernetinio saugumo priemonių įgyvendinimą, vykdyti reguliarią dokumentacijos peržiūrą ir korekcijų atlikimą, nuolat informuoti vadovus apie kibernetinio saugumo padėtį įmonės ar organizacijos viduje;
  • Sukurti kibernetinio saugumo rizikos valdymo mechanizmus –sukurti ir taikyti rizikos analizės, sistemų, tiekėjų saugumo, šifravimo, prieigos kontrolės, turto valdymo ir žmogiškųjų išteklių saugumo politiką ir procedūras, jas nuolat peržiūrėti ir, esant poreikiui, koreguoti;
  • Bendradarbiauti su valdžios institucijomis ir kitais suinteresuotais subjektais – dalintis informacija ir rekomendacijomis su kibernetinio saugumo bendruomene ir Nacionaliniu kibernetinio saugumo centru Kibernetinio saugumo informacinėje sistemoje (KSIS), teikti ataskaitas bei kitą prašomą informaciją įgaliotoms institucijoms, užtikrinti privalomų nurodymų vykdymą;
  • Atlikti periodinius kibernetinio saugumo auditus;
  • Planuoti, kurti ir įgyvendinti kibernetinio saugumo sprendimus ir kontrolės priemones pagal gautus rizikos vertinimo ir kibernetinio saugumo audito rezultatus;
  • Organizuoti kibernetinio saugumo mokymus – mokyti darbuotojus ir vadovus apie kibernetinio saugumo riziką, grėsmes ir jų poveikį įmonei ar organizacijai. Primename, kad darbuotojams kibernetinio saugumo mokymai turėtų būti organizuojami ne rečiau kaip kartą per vienerius metus, o vadovams ir (ar) jų įgaliotiems asmenims – ne rečiau kaip kartą per dvejus metus. Vadovų ir (ar) jų įgaliotų asmenų mokymų trukmė turi būti ne trumpesnė kaip dvi akademinės valandos. Išklausius mokymus, gautas pažymas vadovai ir (ar) jų įgalioti asmenys turės patalpinti Kibernetinio saugumo informacinėje sistemoje (KSIS).
  • Rinkti ir analizuoti informaciją, siekiant identifikuoti įmonės ar organizacijos viduje egzistuojančias grėsmes;
  • Užtikrinti veiksmingą reagavimą į kibernetinio saugumo incidentus, įdiegti pranešimų apie kibernetinio saugumo incidentus teikimo įgaliotoms institucijoms procedūrą bei turėti veikiantį veiklos tęstinumo valdymo planą;
  • Atlikti saugumo vertinimo testus (įsilaužimo testus (angl. penetration testing), pažeidžiamumų vertinimus (angl. vulnerability assessment) ir kt.), siekiant įvertinti taikomų kibernetinio saugumo sprendimų veiksmingumą.

Advokato padėjėja primena, kad į Kibernetinio saugumo subjektų registrą įtrauktos įmonės ir organizacijos savo komandas taip pat turės papildyti kvalifikuotais kibernetinio saugumo specialistais, kurie padės užtikrinti aukščiau nurodytų veiksmų įgyvendinimą. Įmonėse ir organizacijose turės būti paskirtas kibernetinio saugumo vadovas (CISO (angl. Chief Information Security Officer)), saugos įgaliotinis (-iai), administratoriai tinklams ir informacinėms sistemoms prižiūrėti, jų veikimui užtikrinti bei Saugumo operacijų centras (SOC). Šias pareigas galės atlikti tiek atitinkamų kompetencijų ir žinių turintys darbuotojai, tiek išorės paslaugų teikėjai.

Jei Jūsų įmonė ar organizacija sulaukė pranešimo iš Nacionalinio kibernetinio saugumo centro apie įtraukimą į Kibernetinio saugumo subjektų registrą, advokatų profesinės bendrijos „NEWTON LAW“ komanda yra pasirengusi Jums padėti, parengiant reikiamą kibernetinio saugumo dokumentaciją, atliekant Jūsų turimos dokumentacijos peržiūrą ir kartu padedant rasti Jūsų atveju tinkamiausius sprendimus, tam, kad naujojo etapo pradžia kibernetinio saugumo srityje būtų kuo sklandesnė.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866

Akvilė

Laurinaitytė

a.laurinaityte@newtonlaw.lt +37064653727