Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėjos Akvilės Laurinaitytės teigimu, vis dažniau iš valstybinių institucijų atstovų lūpų pasigirsta pasisakymai apie artėjančius nacionalinio teisinio reglamentavimo pokyčius, susijusius su TIS 2 direktyvos (kitaip – Tinklų ir informacinių sistemų direktyvos) (angl. NIS 2 Directive) nuostatų įgyvendinimu.

Teisininkė primena, kad 2023 m. sausio 16 d. įsigaliojo TIS 2 direktyva, kurios pagrindinės idėjos į Lietuvos teisinę sistemą turės būti perkeltos iki šių metų spalio 17 d. Atitinkamai, iki šio termino, organizacijos, patenkančios į direktyvos taikymo apimtį, privalo būti sėkmingai įvykdžiusios visus reikiamus kibernetinio saugumo rizikos valdymo priemonių diegimo procesus.

Pagrindinės pareigos, numatytos TIS 2 direktyvoje – tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių įgyvendinimas bei informavimas apie organizacijoje įvykusius kibernetinius incidentus. Pažymėtina, kad būtent šių reikalavimų nevykdymas ar netinkamas vykdymas užtrauks organizacijoms ir jų vadovams teisinę atsakomybę.

Atkreiptinas dėmesys, jog skiriamų administracinių baudų dydis priklausys nuo to, ar organizacija bus laikoma esminiu, ar svarbiu subjektu TIS 2 direktyvos kontekste.

Norint įsivertinti, ar Jūsų organizacija patenka į TIS 2 direktyvos reguliavimo apimtį ir kurios kategorijos subjektu būtų laikoma, rekomenduojame pasinaudoti Lietuvos Respublikos krašto apsaugos ministerijos parengta preliminaria TIS 2 direktyvos subjektų klasifikavimo lentele, kurią galima rasti šiuo adresu: https://kam.lt/wp-content/uploads/2023/05/NIS2_Identifikavimo-kriterijai.pdf, – nurodo advokato padėjėja.

Esminiams subjektams, pažeidusiems TIS 2 direktyvos reikalavimus, bus skiriamos administracinės baudos, kurių didžiausia turėtų būti bent 10 000 000 eurų arba bent 2 proc. įmonės bendros pasaulinės metinės apyvartos praėjusiais metais (atsižvelgiant į tai, kuri suma yra didesnė).

Svarbiems subjektams, pažeidusiems TIS 2 direktyvos reikalavimus, bus skiriamos administracinės baudos, kurių didžiausia turėtų būti bent 7 000 000 eurų arba bent 1,4 proc. įmonės bendros pasaulinės metinės apyvartos praėjusiais metais (atsižvelgiant į tai, kuri suma yra didesnė).

TIS 2 direktyvoje numatoma ir tiesioginė asmeninė organizacijų vadovų atsakomybė – šiems asmenims numatoma prievolė patvirtinti kibernetinio saugumo rizikos valdymo priemones ir nuolat prižiūrėti jų įgyvendinimą, todėl, nesugebėjus užtikrinti reikiamo lygio tinklų ir informacinių sistemų apsaugos organizacijos viduje, vadovai bus pripažįstami pažeidusiais šią direktyvą, – pažymi teisininkė.

Tokiu atsakomybės perkėlimu vadovams iš esmės yra siekiama sumažinti šiuo metu organizacijų IT skyrių specialistų patiriamą pernelyg didelę naštą ir pakeisti iškreiptą suvokimą apie tai, kam turėtų tekti pagrindinė atsakomybė už kibernetinio saugumo užtikrinimą įmonėse ar įstaigose. Kita vertus, tam, kad vadovai galėtų priimti pagrįstus ir racionalius sprendimus kibernetinio saugumo srityje, svarbu, jog jie reguliariai gilintų kibernetinio saugumo žinias, dalyvautų mokymuose ir glaudžiai bendradarbiautų su IT komandomis.

Teisininkė Akvilė Laurinaitytė nurodo, kad organizacijų vadovų asmeninė atsakomybė kils tuo atveju, jei bus įrodyta, jog vadovai aplaidžiai vykdė pareigą rūpintis organizacijos kibernetiniu saugumu. Taip gali atsitikti, pavyzdžiui, jei įmonėje ar įstaigoje įvyktų kibernetinis incidentas, o atlikus tyrimą, paaiškėtų, kad nebuvo įgyvendintos visos reikiamos saugumo priemonės, nebuvo įvertintos visos galimos rizikos arba nesudaryti nenumatytų atvejų planai.

Viena iš poveikio priemonių, kuri galės būti skiriama vadovams dėl netinkamo TIS 2 direktyvoje numatytų pareigų įgyvendinimo – laikinas draudimas eiti vadovaujamas pareigas tol, kol nustatyti pažeidimai nebus ištaisyti.

Tačiau, atsižvelgiant į tai, kad direktyvoje įtvirtinami tik minimalūs reikalavimai, o konkrečios sankcijų skyrimo taisyklės bus nustatytos kompetentingų nacionalinių institucijų, apie tikslias poveikio priemones, kurios bus taikomos vadovams, bus galima spręsti tik ateityje.

Nepaisant to, vadovai jau šiandien turėtų imtis veiksmų, padėsiančių apsaugoti tiek save, tiek organizacijas nuo galinčios kilti atsakomybės už TIS 2 direktyvos reikalavimų nevykdymą.

Taigi, advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėja Akvilė Laurinaitytė pataria nuo ko pradėti:

1. Pirmas žingsnis – įvertinti, ar Jūsų organizacija patenka į TIS 2 direktyvos taikymo apimtį;

2. Jei patenka, rekomenduojama susipažinti su TIS 2 direktyvos keliamais reikalavimais ir atlikti esamos padėties Jūsų organizacijoje analizę;

3. Jei nustatysite, kad Jūsų organizacijos tinklų ir informacinių sistemų apsauga neatitinka TIS 2 direktyvos reikalavimų, rekomenduojama nedelsiant pradėti trūkumų šalinimo procedūrų įgyvendinimą.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866