Spaudos centras
Spaudos centras
Nacionalinis kibernetinio saugumo centras (NKSC) sudarė naująjį Kibernetinio saugumo subjektų registrą, į kurį įtrauktos 1443 organizacijos. Šios organizacijos, besivadovaudamos atnaujintu Kibernetinio saugumo įstatymu, privalės atitikti griežtesnius kibernetinio saugumo reikalavimus ir užtikrinti didesnį atsparumą galimoms grėsmėms. Siekiant padėti identifikuoti organizacijoms taikomus reikalavimus ir įvertinti pasiruošimą juos atitikti sukurtas nemokamas internetinis įrankis.
Į naująjį Kibernetinio saugumo subjektų registrą patenka organizacijos iš 11 ypatingos svarbos ir 7 kitų itin svarbių sektorių. Pagal Europos Parlamento ir Tarybos direktyvą TIS2 (angl. NIS2) visos jos privalės užtikrinti aukštesnius kibernetinio saugumo standartus.
Įstatymas ne tik sustiprino kibernetinio saugumo reikalavimus, bet ir išplėtė sektorių, kuriems jie taikomi, sąrašą. Be jau anksčiau privalomus reikalavimus vykdžiusių energetikos, finansų, sveikatos, skaitmeninės infrastruktūros ir viešojo valdymo sektorių, prie registro prisijungė nuotekų bei atliekų tvarkymo, mokslinių tyrimų ir kitų itin svarbių sektorių organizacijos.
Naujieji reikalavimai padeda geriau apsaugoti tinklus, informacines sistemas ir duomenis. Jie apima tiek taisyklių kūrimą įmonėse, tiek technines priemones ir darbuotojų mokymus, kad visi žinotų, kaip elgtis kilus pavojui.
„ECOVIS ProventusLaw“ partnerė Loreta Andziulytė teigia, kad į naujuosius reikalavimus žiūrėti reikia labai atsakingai, mat už naujųjų kibernetinio saugumo reikalavimų nesilaikymą gresia didelės baudos. Organizacijoms, kurios nėra tikros dėl atitikties reikalavimams, ji pataria pasinaudoti nemokamu TIS2 atitikties savitikros įrankiu, kuris gali padėti išvengti galimų pažeidimų ir sankcijų, identifikuoti spragas bei suplanuoti būtinus veiksmus, užtikrinančius atitiktį naujiems kibernetinio saugumo standartams.
„Nemokamas mūsų sukurtas TIS2 savitikros įrankis struktūruotas taip, kad atlieptų visus teisės aktuose numatytus kibernetinio saugumo reikalavimus. Jis sudaro galimybę klausimyno pagalba įsivertinti, ar organizacija atitinka keliamus kriterijus, nustatyti potencialias spragas bei planuoti tolesnius veiksmus. Įrankis naudingas ne tik pasirengimo etape, bet ir siekiant užtikrinti nuolatinę atitiktį kintantiems reikalavimams“, – teigia L. Andziulytė.
Ką turi padaryti organizacijos?
Anot advokatės, pirmiausia organizacijos turi atlikti kibernetinių rizikų analizę ir parengti išsamią saugumo politiką, kurioje būtų aiškiai apibrėžtos šifravimo, naudotojų prieigos bei procedūrų, leidžiančių įvertinti saugumo priemonių veiksmingumą, taisyklės. Turi būti nustatytos aiškios prieigos teisės darbuotojams, administratoriams, tiekėjams ir kitiems susijusiems subjektams.
Ne mažiau svarbu yra aiški organizacinė struktūra – privaloma paskirti atsakingus asmenis, tokius kaip kibernetinio saugumo vadovas ar saugos įgaliotinis. Vadovybė turi užtikrinti, kad visi teisės aktuose numatyti reikalavimai būtų tinkamai įgyvendinti ir nuolat prižiūrimi.
Organizacijos taip pat privalo užtikrinti, kad jose veiktų saugumo operacijų centras (SOC), būtų diegiami kelių veiksnių tapatybės patvirtinimo sprendimai bei užtikrintas saugus vidinis ir avarinis ryšys. Svarbu ir tai, kad kai kuriais atvejais, ypač esminių subjektų atveju, būtina sudaryti sąlygas Nacionaliniam kibernetinio saugumo centrui diegti papildomas saugumo priemones.
Nesilaikant reikalavimų gresia baudos
Pagal Kibernetinio saugumo įstatymą skirtingiems subjektams, priklausomai nuo jų svarbos, už teisės aktų pažeidimus gali būti taikomos skirtingo dydžio baudos.
Esminiams subjektams gali būti skiriama bauda iki 10 mln. eurų arba iki 2 proc. juridinio asmens bendros metinės apyvartos per praėjusį finansinį laikotarpį atsižvelgiant į tai, kuri suma yra didesnė. Svarbiems subjektams ši riba siekia iki 7 mln. eurų arba iki 1,4 proc. metinės apyvartos, taip pat priklausomai nuo to, kuri suma didesnė.
Biudžetinėms įstaigoms, kurios yra laikomos esminiais subjektais, maksimali bauda gali sudaryti iki 1 proc. jų einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų, tačiau ne daugiau kaip 60 tūkst. eurų. Tuo tarpu biudžetinėms įstaigoms, kurios laikomos svarbiais subjektais, taikoma bauda gali siekti iki 0,5 proc. jų biudžeto ir pajamų, bet neviršyti 30 tūkst. eurų.
„Be finansinių sankcijų įstatymas numato ir papildomas poveikio priemones. Esminio subjekto vadovas gali būti laikinai nušalintas nuo pareigų, gali būti laikinai sustabdyta teisė užsiimti dalimi ar visa vykdoma veikla, taip pat teisė teikti paslaugas“, – atkreipia dėmesį L. Andziulytė.
Be to, Nacionalinis kibernetinio saugumo centras turi teisę taikyti vykdymo užtikrinimo priemones, pavyzdžiui, įspėjimus ar privalomuosius nurodymus. Šios priemonės užtikrina, kad subjektai laikytųsi kibernetinio saugumo reikalavimų ir veiktų atsakingai siekiant apsaugoti kritinę infrastruktūrą bei viešąjį interesą.
Nemokamu „Ecovis ProventusLaw“ TIS2 savitikros įrankiu norinčios pasinaudoti organizacijos gali tai padaryti čia: https://tis2.ecovis.lt/