Spalio 18 d. įsigaliojo atnaujintas Kibernetinio saugumo įstatymas (KSĮ), kuriuo į Lietuvos teisę perkeliama Europos Parlamento ir Tarybos direktyva (TIS 2), ja siekiama suvienodinti bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje. Pagrindiniai pokyčiai palies reikšmingą dalį Lietuvos įmonių ir organizacijų.
„Kibernetinio saugumo įstatymas yra esminis žingsnis stiprinant mūsų šalies kibernetinį atsparumą, kuris yra kritiškai svarbus mūsų šalies saugumui. Jis ne tik sukuria tvirtesnius pagrindus kibernetinės erdvės gynybai, bet ir užtikrina glaudesnį valstybės bei kritines paslaugas teikiančių privačių organizacijų bendradarbiavimą. Dabar mūsų kartu su viešuoju ir privačiu sektoriumi laukia svarbūs darbai, susiję su šio įstatymo įgyvendinimu, tačiau juos įvykdę būsime stipresni ir padidinsime atgrasymą prieš į mus besitaikančius agresorius“, – sakė krašto apsaugos ministras Laurynas Kasčiūnas.
KSĮ įgyvendinamųjų teisės aktų projektuose, kuriuos KAM pateikė Vyriausybei, numatyti aiškūs veiksmų algoritmai, kaip subjektams pranešti ir su NKSC pagalba valdyti kibernetinius incidentus, išdėstyti kibernetinio saugumo reikalavimai bei įstatymo vykdymo užtikrinimo priemonės.
Kokie yra pirmieji darbai?
Siekiant palengvinti įstatymo įgyvendinimą buvo nustatytos tam tikrų reikalavimų įgyvendinimo datos, pereinamieji laikotarpiai bei veiksmai.
Pirmiausia vyksta subjektų identifikavimas pagal NKSC renkamus duomenis. NKSC vertina Lietuvoje veikiančius subjektus remdamasis bendraisiais ir specialiaisiais kriterijais. Identifikavus subjektus, jie bus skirstomi į dvi kategorijas: esminius kibernetinio saugumo subjektus ir svarbius kibernetinio saugumo subjektus.
NKSC renka duomenis remdamasis ne tik pačių subjektų pateikta informacija, bet ir kitų valstybės institucijų, įstaigų, valstybės valdomų bei viešųjų įstaigų, savivaldybių įmonių ir įstaigų turimais duomenimis. Iki 2025 m. balandžio 17 d. NKSC įtrauks subjektus į Kibernetinio saugumo subjektų registrą ir susisieks su visais registre esančiais subjektais elektroniniu pranešimu.
Šiuo metu subjektai gali patys įsivertinti, ar patenka į registrą. Išreiškus norą ir susisiekus su NKSC, į registrą subjektai taip pat gali būti įtraukti savanoriškai.
Ką reikia daryti gavus pranešimą?
Gavus patvirtinimą iš NKSC, jog subjektas buvo įtraukas į kibernetinio saugumo subjektų registrą, reikės atlikti tam tikrus darbus. Pirmiausia, subjektas turės prisijungti prie Kibernetinio saugumo informacinės sistemos (KSIS), reikės pateikti duomenis, apimančius informaciją apie subjekto veiklą, teikiamų paslaugų pobūdį, veiklos sektorių, įmonės dydį, pajamas, kt.
Kokie yra tolesni veiksmai?
Kibernetinio saugumo įstatymo nuostatos pradedamos taikyti nuo 2024 spalio 18 d., tačiau kibernetinio saugumo reikalavimai identifikuotiems kibernetinio saugumo subjektams bus pradėti taikyti per ne trumpesnį kaip 12 mėnesių pereinamąjį terminą, skaičiuojamą nuo jų įtraukimo į Kibernetinio saugumo subjektų registrą momento.
Siekiama, kad subjektai per šiuos 12 mėn. atitiktų organizacinius reikalavimus (pvz., turėti organizacijos kibernetinio saugumo vadovą), o per 24 mėn. įgyventų techninius reikalavimus. Kibernetinio saugumo lygiui palaikyti subjektai ne rečiau kaip kartą per 3 metus atliks kibernetinio saugumo auditą pagal NKSC tvirtinamą kibernetinio saugumo auditų atlikimo metodiką. Subjektai turės valdyti kibernetinius incidentus bei užtikrinti veiklos tęstinumą, organizuoti mokymus.
Daugiau informacijos: https://kam.lt/kibernetinio-saugumo-istatymas/