Įgyvendinant Vyriausybės programos tikslą didinti kibernetinės erdvės saugumą, tobulinti nacionalinį kibernetinio saugumo reguliavimą bei siekiant perkelti ES Tinklų ir informacinių sistemų direktyvą dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Europos Sąjungoje užtikrinti (toliau – TIS 2 direktyva), Seimas pritarė Kibernetinio saugumo įstatymui.
Kibernetinio saugumo įstatymas iš esmės skirtas tobulinti nacionalinį kibernetinio saugumo reguliavimą, įgyvendinant TIS 2 direktyvos uždavinius. Kiekviena organizacija kibernetinį saugumą neišvengiamai turi įtraukti į kasdienės veiklos procesus ir taip prisidėti prie bendro visos valstybės atsparumo stiprinimo. Siekiama padidinti privataus ir viešojo sektoriaus atsparumą kibernetinėms grėsmėms, kelti įmonių ir viešojo sektoriaus institucijų kompetenciją, sušvelninti kibernetinių incidentų poveikį jose, užkardyti ir reaguoti į incidentus bei stiprinti kolektyvinį valstybės gebėjimą pasirengti ir reaguoti į didelius kibernetinius incidentus ar krizes.
„Džiaugiuosi, kad ir toliau stipriname vieną iš savo prioritetų – nacionalinį kibernetinį saugumą. Kibernetinio saugumo įstatymo įgyvendinimas yra komandinis žaidimas, kur valstybė ir įvairios organizacijos turi veikti kartu. Įgyvendinant naujosios direktyvos reikalavimus nesiekiama radikalaus pokyčio ar nepakeliamos administracinės naštos organizacijoms. Įvairios organizacijos tikrai nebus paliktos vienos ir drauge dirbsime vardan saugesnės ir atsparesnės Lietuvos“, – sako krašto apsaugos ministras Laurynas Kasčiūnas Seimui pritarus Kibernetinio saugumo įstatymui.
Kas keisis?
Siekiant matyti visą grėsmių žemėlapį, stebėti grėsmių dinamiką ir laiku reaguoti, Kibernetinio saugumo įstatymas išlaiko reikalavimą pranešti Nacionaliniam kibernetinio saugumo centrui (NKSC) apie visus kibernetinius incidentus, ypatingą dėmesį skiriant pranešimams apie pačius pavojingiausius didelius incidentus. Šiuo tikslu nustatyta kelių etapų pranešimų procedūra, užtikrinanti efektyvų svarbiausios informacijos perdavimą NKSC.
Kibernetinio saugumo įstatymas nustato platesnę kibernetinio saugumo reikalavimų skalę. Įstatymas apima bendriausias sritis, tokias kaip kibernetinio saugumo politikų nustatymas, kibernetinė higiena, bet taip pat ir siauresnius ir konkretesnius reikalavimus, pvz., kriptografijos ar prieigų valdymo sritis. Šie reikalavimai laikomi minimaliais. Organizacijos gali nustatyti papildomus reikalavimus, atsižvelgdamos į jų veiklai kylančias grėsmes.
Įstatymas nustato pareigą paskirti už kibernetinį saugumą atsakingus asmenis(-į) organizacijoje, taip pat numato tiesioginę organizacijos vadovo atsakomybę už kibernetinį saugumą, nustatant tiesiogines, tik vadovui skirtas pareigas.
Kam bus taikomas Kibernetinio saugumo įstatymas?
Kibernetinio saugumo įstatymas taikomas įmonėms, veikiančioms ypatingos svarbos ir itin svarbiuose sektoriuose. Ypatingos svarbos sektoriams priskiriami energetikos, transporto, bankininkystės, sveikatos apsaugos ir kiti Kibernetinio saugumo įstatymo I priede nurodyti sektoriai. Itin svarbiems sektoriams priskiriami pašto, chemijos pramonės, maisto gamybos, perdirbimo, platinimo, atliekų tvarkymo ir kitos įmonės bei Kibernetinio saugumo įstatymo II priede nurodyti sektoriai. Organizacijos bus priskiriamos prie esminių ar svarbių subjektų, taikant bendruosius identifikavimo kriterijus (dydis, pajamos, veiklos sektorius) ir specialiuosius kriterijus.
Priežiūra ir pasekmės
Pagrindine priežiūros institucija išlieka NKSC, kuri įgyja daugiau ir įvairesnių įgaliojimų vykdant priežiūrą, tokių kaip, patikrinimai ir auditai. Atitinkamai išplečiamos priemonės, kurias NKSC taikys subjektams neatitikties reikalavimams ar jų pažeidimo atveju.
Numatomos administracinės baudos iki 7 mln. eurų svarbiems ir iki 10 mln. eurų esminiams subjektams. Baudos gali būti taikomos ir viešojo sektoriaus institucijoms ar įstaigoms. Norima pabrėžti, kad griežčiausios priemonės gali būti taikomos tik už piktybinį NKSC nurodymų nevykdymą ir pakartotinius nusižengimus, tačiau tikimasi, kad tokių priemonių neprireiks.
Ar Kibernetinio saugumo įstatymas sukurs papildomą naštą?
Organizacijoms, jau dabar patenkančioms po esamu Kibernetinio saugumo įstatymo reguliavimu, našta iš esmės neturėtų didėti. Svarbu paminėti, kad naujiems subjektams numatomam reguliavimui įgyvendinti bus reikalingos papildomos administracinės, finansinės ir organizacinės priemonės. Siekiama, kad organizacijos vadovybė turėtų daugiau kibernetinio saugumo žinių, o visi darbuotojai turėtų įgūdžių ir gebėjimų, reikalingų kibernetiniam saugumui gerinti. Dėl tos priežasties patys vadovai turės pareigą dalyvauti kibernetinio saugumo mokymuose ir užtikrinti darbuotojų nuolatinį švietimą kibernetinio saugumo srityje. Bus galima pasinaudoti ir NKSC suteikiama galimybe išklausyti mokymus nemokamai.
Laiko ašis – iki kada ir kam pasiruošti?
TIS 2 direktyvos perkėlimo data į nacionalinę teisę yra 2024 m. spalio 17 d. NKSC turi identifikuoti kibernetinio saugumo subjektus atitinkamuose sektoriuose ir įtraukti juos į Kibernetinio saugumo informacinę sistemą iki 2025 m. balandžio 17 d. Nuo šios datos nauji subjektai per ne trumpesnį nei 12 mėnesių terminą privalės užtikrinti savo tinklų ir informacinių sistemų saugumą. Ypatingos svarbos informacinės infrastruktūros valdytojai, jau įtraukti į Vyriausybės patvirtintą sąrašą, privalės užtikrinti esamus kibernetinio saugumo reikalavimus, iki kol jie bus įtraukti į Kibernetinio saugumo informacinę sistemą ir iki kol jiems įsigalios nauji kibernetinio saugumo reikalavimai.