Jau spalio 18 d. įsigalios atnaujintas Kibernetinio saugumo įstatymas, sustiprinantis kibernetinio saugumo valdysenos modelį Lietuvoje. Šiuo įstatymu į nacionalinę teisę yra perkeliama Europos Sąjungos priimta Tinklų ir informacinių sistemų direktyva (TIS 2), kuri numato, kad didėjant kibernetinėms grėsmėms organizacijos turi būti pasiruošusios užtikrinti savo tinklų ir sistemų saugumą, nes incidentai gali turėti rimtų pasekmių jų veiklai ir visuomenei. Atnaujinta kibernetinio saugumo ekosistema užtikrins, kad Lietuva taps atsparesnė kibernetinėms grėsmėms.

Kibernetinio saugumo įstatymas bus taikomas skirtinguose sektoriuose veikiančioms įmonėms, viešojo sektoriaus institucijoms ir fiziniams asmenims, o pokyčiai palies ir kiekvieną Lietuvos gyventoją.

Apie tai, ką suteiks naujasis įstatymas – pokalbis su Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės (KAM KSITPG) vadove Inga Sūnelaitiene bei įmonės „Telia“ teisės ekspertu, Mykolo Romerio universiteto teisės profesoriumi Pauliumi Pakutinsku.

Kibernetinio saugumo įstatymas – dar vienos gynybos linijos sustiprinimas

„Kibernetinio saugumo įstatymas yra Lietuvos visuomenės ir institucijų tarpusavio susitarimas, kad kibernetinis saugumas yra mūsų bendra atsakomybė“, – teigia I. Sūnelaitienė. Pasak KAM KSITPG vadovės, kiekviena organizacija turi suvokti du svarbius dalykus. Pirma – turtas, kuris yra skaitmeninėje erdvėje, turi būti saugomas taip pat, kaip ir fizinis turtas, kurį mes matome ar apčiuopiame. Antra – organizacijų kibernetinis saugumas yra šalies gynybos sistemos dalis.

„Be to, ką matome Ukrainoje – tankų, raketų ir visos kitos matomos agresijos, taip pat vyksta ir kibernetinis karas, kurio paprasta akis ne visada mato. Todėl mes norime būti tikri, kad Lietuva yra ir bus atspari kibernetinėje erdvėje. Naujasis įstatymas turėtų pakelti visos Lietuvos kibernetinio saugumo brandą į tą lygmenį, kad vieną dieną mes galėtume nesukti sau galvos dėl to, jog viena iš mūsų gynybinių linijų – kibernetinio saugumo linija – yra skylėta“, – sako pašnekovė.

Naujajame įstatyme yra apibrėžiama, kokios organizacijos Lietuvoje bus laikomos kibernetinio saugumo subjektais ir turės atitikti atnaujintus kibernetinio saugumo reikalavimus. Kriterijai, kuriuose sektoriuose veikiančios organizacijos yra svarbios šalies kibernetiniam saugumui, buvo sutarti ES mastu: tai yra tam tikrą pajamų ir darbuotojų skaičių turinčios privataus ir viešojo sektoriaus organizacijos, veikiančios sektoriuose, turinčiuose didelį poveikį valstybės ekonominei ir socialinei gerovei, tuo pačiu ir nacionaliniam saugumui. Kibernetinio saugumo subjektais gali būti ir mažos įmonės, jei tik jos teikia paslaugas ar produktus, kurios yra kritiškai svarbios valstybės gyvenimui.

„Telia“ atstovas P. Pakutinskas pastebi, kad atitikti Kibernetinio saugumo įstatyme numatytus reikalavimus kai kurioms įmonėms yra nemažas iššūkis. Vienoms organizacijoms naujasis reguliavimas bus tik šiek tiek sudėtingesnis už esamą, o kitoms – visiškai naujas. Įmonės, kurioms reikalavimai yra visiškai nauji, bene labiausiai nerimauja dėl resursų.

„Tenka pripažinti – naujojo reguliavimo reikalavimų užtikrinimas yra brangus pokytis, reikalaujantis tiek finansinių, tiek žmogiškųjų resursų. Kai kurios įmonės galimai net neturės tinkamų žmonių, kurie galėtų profesionaliai šiuos klausimus spręsti. Kai kur net gali prireikti keisti turimus technologinius resursus, nes galimai kai kuri įranga paprasčiausiai yra pasenusi. Taigi, gali tekti ne tik atnaujinti turimas kibernetinio saugumo ar saugos incidentų valdymo politikas, bet ir imtis radikalių sprendimų keičiant turimas technologijas, nes jos yra nepatikimos“.

Teisės profesorius visoms Lietuvos organizacijoms ir įmonėms, o ypač kibernetinio saugumo subjektams, turi patarimą – keisti suvokimą ir suprasti, kad kibernetinis saugumas yra prioritetas.

„Vienas esminių naujojo reguliavimo reikalavimų – įdiegti įmonėje kibernetinio saugumo kultūrą, kad kiekvienas dirbantis organizacijoje suprastų kibernetinių atakų poveikį ir jaustųsi atsakingas už kibernetinio saugumo užtikrinimą. Kaip mes kadaise supratome duomenų apsaugos svarbą bei sugebėjome įgyvendinti su tuo susijusius reikalavimus, analogiškas suvokimas turi atsirasti ir kibernetinio saugumo užtikrinimui. Kiekviena įmonė turi suprasti, kad kibernetinis saugumas yra prioritetas todėl, kad tai generuoja tiek reputacinę, tiek finansinę vertę bei apsaugo mūsų klientus. Įmonės privalo TIS 2 direktyvos įgyvendinimo klausimą spręsti kaip prioritetinį bei ieškoti resursų jam įgyvendinti.“

I. Sūnelaitienė priduria, kad suvokimo keitimas turės prasidėti nuo viršūnių – didelė atsakomybė kris ant organizacijų ir įmonių vadovų pečių.

„Kiekvienas vadovas turėtų įsirašyti kibernetinio saugumo įstatymą į savo darbotvarkę, nes būtent vadovas privalės užtikrinti, kad jo organizacija laikytųsi nustatytų kibernetinio saugumo reikalavimų. Ne IT specialistas, ne teisininkas ar dar kažkas. Pirmiausia atsakomybė yra keliama į vadovo lygį, nes už reikalavimų nesilaikymą bus taikomos atitinkamos poveikio priemonės, tame tarpe ir baudos. Vadovas turi pavesti savo komandai įvertinti, kokius kritinius informacinius išteklius jo organizacija valdo, kaip atrodo visas jo organizacijos skaitmenizacijos sprendimas, peržiūrėti savo IT paslaugų tiekėjus ir įvertinti kibernetinio saugumo rizikas.

Vadovas taip pat turi suprasti, jog jis privalo ne tik pasirūpinti tuo, kad jo organizacija įgyvendintų tinkamą rizikos valdymo sistemą, bet ir pasodinti kibernetinio saugumo kultūros daigą, jeigu jo dar nėra organizacijoje. Tai reiškia, kad jis turės skirti kibernetinio saugumo vadovą ir pasirūpinti savo ir savo darbuotojų kibernetinio saugumo mokymais“, – pasakoja KAM atstovė.

Kalbėdami apie naujoves I. Sūnelaitienė ir P. Pakutinskas akcentuoja ir tai, kad Kibernetinio saugumo įstatymas didelį dėmesį skiria tiekimo grandinėms. Tiekimo grandinėse atsiveriančios skylės šiuo metu kelia dideles grėsmes, todėl tai bus sureguliuota – nauji reikalavimai bus skiriami ir tiekėjams.

„Neužtenka, kad pats subjektas būtų saugus ir patikimas, nes kiekvienas subjektas yra vienaip ar kitaip priklausomas nuo savo partnerio-tiekėjo. Tai yra svarbi kibernetinio saugumo dedamoji dalis, nes jei aparatinė ar programinė įranga bus nupirkta nepatikima, didelio saugumo mes nepasieksime arba egzistuos didelės atitikties spragos“, – teigia P. Pakutinskas.

Geroji patirtis – ankstyvas pasiruošimas: ką reikia žinoti organizacijoms ir jų vadovams?

Pirmasis darbas, kurį Krašto apsaugos ministerija rekomenduoja atlikti organizacijoms, siekiant suprasti ar joms bus taikomas Kibernetinio saugumo įstatymas, yra įsivertinti, ar organizacija veikia viename iš direktyvos nurodytų sektorių ir atitinka kitus įstatyme nustatytus kriterijus.

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos su sritį kuruojančiomis atitinkamomis ministerijomis jau pradeda sudaryti kibernetinio saugumo subjektų sąrašą, kurie galimai pateks į kuriamą Kibernetinio saugumo subjektų registrą. Šis procesas gali užtrukti iki 2025 m. balandžio 17 d., o nuo to momento visos organizacijos, patekusios į šį registrą, aiškiai žinos, kokius kibernetinio saugumo reikalavimus, pvz., rizikos valdymą, incidentų ataskaitų teikimą ar kibernetinio saugumo priemonių įdiegimą jos turės atitikti.

„Šiuo metu vyksta intensyvus darbas: valstybėje jau esamų registrų pagrindu vertiname įmones pagal sektorius, pajamų dydį, darbuotojų skaičių ir atitikimą kitiems įstatymo kriterijams. Sudarę šį registrą mes informuosime visus subjektus žinute „Jūs patekote į registrą“, o nuo to momento jiems prasidės pareiga atitikti Kibernetinio saugumo įstatyme nustatytus reikalavimus“, – teigia I. Sūnelaitienė.

Vis dėlto KAM KSITPG vadovė ragina organizacijas nelaukti minėtos datos ir pradėti domėtis naujais reikalavimais bei ruoštis juos atitikti jau dabar. Ne viena organizacija savo iniciatyva jau konsultuojasi su Krašto apsaugos ministerija arba pagal ministerijos tinklalapyje KAM.lt pateiktą informaciją vertina savo atitikimą įstatymo kriterijams.

P. Pakutinskas dalinasi „Telia“ patirtimi bei taip pat akcentuoja prioritetų nusistatymą ir ankstyvą pasiruošimą. Teisės profesorius pasakoja, kad ši įmonė naujam reguliavimui pradėjo ruoštis iškart, kai tik Europos Sąjunga priėmė TIS 2 direktyvą. Atlikus norminių aktų analizę bei įvertinus direktyvos įsigaliojimo terminus, telekomunikacijų bendrovė dar praėjusių metų rugsėjo mėnesį subūrė ekspertų TIS 2 projekto grupę.

„Pagrindinį dėmesį skyrėme TIS 2 direktyvos reikalavimams, kurie atrodė pakankamai aptakūs, todėl TIS 2 atitikčiai užtikrinti buvo pasirinktas ISO/IEC 27001 saugumo atitikties standartas, kuris paaiškina, kaip turi atrodyti tinkamas organizacijų elgesys kibernetinio saugumo bei rizikų valdymo srityse. Rizikų valdymo kultūra mums nėra naujiena – visi „Telia“ darbuotojai dirba su tuo savo srityse. Be to, jau turėjome patirties dirbdami pagal ISO/IEC27001, todėl nusprendėme taikyti šio saugumo standarto reikalavimus plačiau. Galiausiai mums padėjo atsiradę nauji reguliavimo perkėlimo į nacionalinę teisę dokumentai. Mums džiugu, kad mūsų valstybė dėjo pakankamai pastangų kibernetinio saugumo užtikrinimui ir supranta šio klausimo svarbą.“

Pašnekovas įvardija ir tolesnius „Telia“ atliktus veiksmus, kurie yra svarbūs kibernetinio saugumo subjektams siekiant užtikrinant direktyvos reikalavimus – kibernetinio saugumo politikos peržiūra, techninių apsaugos priemonių, fizinės infrastruktūros apsaugos ir reagavimo į incidentus stiprinimas. Taip pat ir visi kiti reikalavimai, kurie nurodyti TIS 2 direktyvoje bei detalizuoti Kibernetinio saugumo įstatyme – tai ir darbuotojų mokymai, ir tiekėjų patikimumo-saugumo vertinimas.

„Ankstyvas pasiruošimas reguliaciniam reikalavimui visuomet leidžia sutaupyti. Jeigu atidėliosime ir stengsimės TIS 2 atitiktį užtikrinti prieš pat jai įsigaliojant, mokėsime keliskart brangiau, o ir rezultatas nebus toks kokybiškas, kaip kad ruošiantis iš anksto. Atsakingas verslas, pradėsiantis planuoti iš anksto, gaus pigesnius resursus ir geresnius specialistus, nepermokės už tam tikras priemones ar technologijas dėl palankesnių terminų juos įsigyti, bus laiko įsivertinti, kas atlikta, koreguoti klaidas“.

P. Pakutinskas priduria, kad kiekviena įmonė, net ir nesanti kibernetinio saugumo subjektu, turėtų atitikti visus naujuosius TIS 2 direktyvos reikalavimus. Teisės ekspertas atkreipia dėmesį į tai, kad, net jei įmonei reguliavimas nebus taikomas tiesiogiai, yra didelė tikimybė, kad jai bus taikomas reguliavimas kaip tiekėjui ar rangovui, todėl, norėdama teikti paslaugas, tokia įmonė neišvengiamai turės atitikti direktyvos reikalavimus.

„Kibernetinio saugumo įstatymas tiesiog pateikia tam tikras kibernetinio saugumo higienos taisykles. Didžioji dalis numatomų įpareigojimų paprasčiausiai jau ir taip turėtų būti organizacijose, be jokio papildomo reguliavimo. Atsakingos organizacijos turėtų jau dabar atlikti visus būtinuosius kibernetinio saugumo žingsnius ir nelaukti, kol kažkas už jas tai sureguliuos, sutikrins ir įvertins.“

KAM inf. 

Rekomenduojami video:

Taip pat skaitykite: