Spalio 18 d. įsigaliojo atnaujintas Kibernetinio saugumo įstatymas (KSĮ), kuriuo į Lietuvos teisę perkeliama Europos Parlamento ir Tarybos direktyva (TIS 2), ja siekiama suvienodinti bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje. Pagrindiniai pokyčiai palies reikšmingą dalį Lietuvos įmonių ir organizacijų.
„Kibernetinio saugumo įstatymas yra esminis žingsnis stiprinant mūsų šalies kibernetinį atsparumą, kuris yra kritiškai svarbus mūsų šalies saugumui. Jis ne tik sukuria tvirtesnius pagrindus kibernetinės erdvės gynybai, bet ir užtikrina glaudesnį valstybės bei kritines paslaugas teikiančių privačių organizacijų bendradarbiavimą. Dabar mūsų kartu su viešuoju ir privačiu sektoriumi laukia svarbūs darbai, susiję su šio įstatymo įgyvendinimu, tačiau juos įvykdę būsime stipresni ir padidinsime atgrasymą prieš į mus besitaikančius agresorius“, – sakė krašto apsaugos ministras Laurynas Kasčiūnas.
KSĮ įgyvendinamųjų teisės aktų projektuose, kuriuos KAM pateikė Vyriausybei, numatyti aiškūs veiksmų algoritmai, kaip pranešti ir su NKSC pagalba valdyti kibernetinius incidentus, išdėstyti kibernetinio saugumo reikalavimai bei įstatymo vykdymo užtikrinimo priemonės.
Kokie yra pirmieji darbai?
Siekiant palengvinti įstatymo įgyvendinimą buvo nustatytos tam tikrų reikalavimų įgyvendinimo datos, pereinamieji laikotarpiai bei veiksmai.
Pirmiausia vyksta įmonių identifikavimas pagal NKSC renkamus duomenis. NKSC vertina Lietuvoje veikiančias įmones remdamasis bendraisiais ir specialiaisiais kriterijais. Identifikavus, jos bus skirstomi į dvi kategorijas: esminius kibernetinio saugumo subjektus ir svarbius kibernetinio saugumo subjektus.
NKSC renka duomenis remdamasis ne tik pačių įmonių pateiktais duomenimis, bet ir kitų valstybės institucijų, įstaigų, valstybės valdomų bei viešųjų įstaigų, savivaldybių įmonių ir įstaigų turimais duomenimis. Iki 2025 m. balandžio 17 d. NKSC įtrauks įmones į Kibernetinio saugumo subjektų registrą ir susisieks su visais registre esančiais subjektais elektroniniu pranešimu.
Šiuo metu įmonės gali pačios įsivertinti, ar patenka į registrą. Išreiškus norą ir susisiekus su NKSC, į registrą jos taip pat gali būti įtrauktos savanoriškai.
Ką reikia daryti gavus pranešimą?
Gavus patvirtinimą iš NKSC, jog įmonė buvo įtraukta į kibernetinio saugumo subjektų registrą, reikės atlikti tam tikrus darbus. Pirmiausia, įmonė turės prisijungti prie Kibernetinio saugumo informacinės sistemos (KSIS), reikės pateikti duomenis, apimančius žinias apie įmonės veiklą, teikiamų paslaugų pobūdį, veiklos sektorių, įmonės dydį, pajamas, kt.
Kokie yra tolesni veiksmai?
Kibernetinio saugumo įstatymo nuostatos pradedamos taikyti nuo 2024 spalio 18 d., tačiau kibernetinio saugumo reikalavimai identifikuotoms kibernetinio saugumo įmonėms bus pradėti taikyti per ne trumpesnį kaip 12 mėnesių pereinamąjį terminą, skaičiuojamą nuo jų įtraukimo į Kibernetinio saugumo subjektų registrą momento.
Siekiama, kad įmonės per šiuos 12 mėn. atitiktų organizacinius reikalavimus (pvz., turėti organizacijos kibernetinio saugumo vadovą), o per 24 mėn. įgyventų techninius reikalavimus. Kibernetinio saugumo lygiui palaikyti subjektai ne rečiau kaip kartą per 3 metus atliks kibernetinio saugumo auditą pagal NKSC tvirtinamą kibernetinio saugumo auditų atlikimo metodiką. Įmonės turės valdyti kibernetinius incidentus bei užtikrinti veiklos tęstinumą, organizuoti mokymus.