Pagrindiniai žinotini terminai
Subjektas
Fizinis asmuo arba juridinis asmuo, įsteigtas ir tokiu pripažintas pagal jo įsteigimo vietos nacionalinę teisę, kurie, veikdami savo vardu, naudojasi teisėmis ir kuriems gali būti taikomos pareigos.
Kibernetinio saugumo subjektas
Subjektas, registruotas Kibernetinio saugumo informacinėje sistemoje.
Kibernetinis incidentas
Įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.
Vos neįvykęs kibernetinis incidentas
Įvykis, dėl kurio galėjo būti sukeltas pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui, bet kuriam įvykti buvo sėkmingai užkirstas kelias arba kuris neįvyko
Nacionalinė kibernetinio saugumo strategija
Nuosekli sistema, apimanti nustatytus Lietuvos Respublikos kibernetinio saugumo srities strateginius tikslus ir prioritetus ir jų įgyvendinimo valdymą.
Tinklų ir informacinė sistema
Elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais.
Tinklų ir informacinės sistemos spraga
Tinklų ir informacinės sistemos trūkumas, įskaitant informacinių ir ryšių technologijų produktų arba informacinių ir ryšių technologijų paslaugų trūkumus, dėl kurio gali įvykti kibernetinis incidentas ar kuriuo gali būti pasinaudota kibernetinei grėsmei kelti.
Šios ir kitos kibernetinio saugumo srities sąvokos nurodytos atnaujinto Kibernetinio saugumo įstatymo 2 straipsnyje. Kitos šiame įstatyme naudojamos sąvokos apibrėžtos įstatyme nurodytuose kituose Europos Sąjungos teisės aktuose ir Lietuvos įstatymuose.
Kibernetinio saugumo politikos formavimo ir įgyvendinimo modelis
Kibernetinio saugumo politiką Lietuvoje formuoja Krašto apsaugos ministerija.
Užsienio reikalų ministerija formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek reikia nustatyti diplomatinių priemonių taikymo reaguojant į kibernetines grėsmes ir kibernetinius incidentus teisinį reguliavimą.
NKSC formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek įstatyme jam nustatytoms funkcijoms atlikti reikia nustatyti kibernetinio saugumo subjektų veiklos ir priežiūros teisinį reguliavimą.
Perkeliant TIS 2 direktyvos nuostatas į nacionalinę teisę, NKSC suteikti įgaliojimai veikti kaip:
nacionalinei tinklų ir informacinių sistemų saugumo kompetentingai institucijai, bendrajam informaciniam centrui ir reagavimo į kompiuterinius saugumo incidentus tarnybai.
NKSC (žr., Kibernetinio saugumo įstatymo 7 str.), Lietuvos policija (žr., Kibernetinio saugumo įstatymo 10 str.) ir Valstybinė duomenų apsaugos inspekcija (žr. Kibernetinio saugumo įstatymo 9 str.) įgyvendina kibernetinio saugumo politiką Lietuvoje.
Be to, NKSC, koordinuojant Nacionaliniam krizių valdymo centrui, praneša Europos Sąjungos institucijoms apie krizes, susijusias su kibernetiniais incidentais, kurių viena Lietuvos Respublika nepajėgia suvaldyti. Ministerijos dalyvauja kibernetinio saugumo subjektų identifikavimo procese.
Tarpinstitucinis bendradarbiavimas ir savitarpio pagalba
Kibernetinio saugumo politiką formuojančių ir įgyvendinančių institucijų tarpinstitucinis bendradarbiavimas yra svarbus, nes padeda užtikrinti koordinuotą sprendimų priėmimą, nuoseklų kibernetinio saugumo reikalavimų įgyvendinimą ir vieningą reagavimą į kibernetines grėsmes.
Krašto apsaugos ministerija, Užsienio reikalų ministerija, NKSC, Lietuvos policija ir Valstybinė duomenų apsaugos inspekcija bendradarbiauja tarpusavyje bei su kitomis valstybės institucijomis, įskaitant Ryšių reguliavimo tarnybą, kitas kompetentingas institucijas pagal Reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo ir Reglamentą (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje, taip pat su taip pat Nacionaliniu krizių valdymo centru, įskaitant keitimąsi informacija apie incidentus, kibernetines grėsmes ir vos neįvykusius incidentus. ES valstybių narių kompetentingos institucijos taip pat bendradarbiauja tarpusavyje, siekdamos padėti viena kitai valdyti kibernetinio saugumo rizikas, incidentus, dalintis patirtimi ir informacija. Siekdamas šio tikslo, NKSC, gavęs kitos valstybės narės kompetentingos institucijos pagrįstą savitarpio pagalbos prašymą, turi pareigą ir teisę vykdyti kibernetinio saugumo subjektų patikrinimo ir (ar) vykdymo užtikrinimo priemonių veiksmus, numatytus įstatyme.
Kibernetinio saugumo subjektų identifikavimas
Atnaujintas Kibernetinio saugumo įstatymas taikomas skirtinguose sektoriuose (įstatymo 1 ir 2 priedai) veikiančioms įmonėms, viešojo sektoriaus institucijoms ir fiziniams asmenims.
Kibernetinio saugumo įstatyme yra nustatyti bendrieji ir specialieji kriterijai, pagal kuriuos bus nustatyta, kokios konkrečios organizacijos Lietuvoje bus laikomos kibernetinio saugumo subjektais (esminiais arba svarbiais) ir turės atitikti atnaujintus kibernetinio saugumo reikalavimus.
Esminiai ir svarbūs kibernetinio saugumo subjektai skiriasi pagal NKSC atliekamą priežiūrą ir taikomas vykdymo užtikrinimo priemones (tik esminio subjekto veikla gali būti laikinai stabdoma ir tik esminio subjekto vadovas laikinai gali būti nušalintas nuo pareigų). Esminiams ir svarbiems subjektams taikomi patikrinimo režimai diferencijuojami siekiant nedidinti administracinės naštos. Esminiams subjektams taikoma išsami ex ante ir ex post priežiūros tvarka, o svarbiems subjektams taikoma negriežta, tik ex post, priežiūros tvarka. NKSC turi teisę pradėti esminio subjekto patikrinimą bet kokiu klausimu, susijusiu su įstatyme nustatytais reikalavimais, kurių nevykdymas laikomas pažeidimu. Svarbių subjektų patikrinimas pradedamas tik gavus duomenų ar informacijos, kad svarbus subjektas, kaip įtariama, padarė įstatyme nustatytų reikalavimų pažeidimą.
Kriterijai, kuriuose sektoriuose veikiančios organizacijos yra svarbios šalies kibernetiniam saugumui yra tam tikrą pajamų ir darbuotojų skaičių turinčios privataus ir viešojo sektoriaus organizacijos, veikiančios Kibernetinio saugumo įstatyme nustatytuose sektoriuose. Išskyrus tam tikras išimtis, įstatymas netaikomas mažoms ir labai mažoms įmonėms. Išimtys susijusios su tokių įmonių teikiamomis paslaugomis ar produktais, kurie yra kritiškai svarbūs valstybės gyvenimui, pavyzdžiui, kai tokios įmonės yra vieninteliai paslaugų teikėjai arba kai paslaugų teikimo sutrikimas gali turėti reikšmingų pasekmių visuomenės saugumui arba visuomenės sveikatai ir pan. Tai detalizuoja Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika.
Kai kuriuose sektoriuose veikiantys subjektai, neatsižvelgiant į jų dydį, bus priskiriami esminių subjektų kategorijai, pavyzdžiui, kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai ir aukščiausio lygio domenų vardų registrų teikėjai, taip pat DNS paslaugų teikėjai, centrinės valdžios viešojo administravimo subjektai, regioninio lygmens viešojo administravimo subjektai.
NKSC, vadovaudamasis įstatyme nustatytais kriterijais ir remdamasis valstybės registrų bei kitais valstybės informacinėse sistemose esančiais duomenimis, atrinks potencialius kibernetinio saugumo subjektus. Tokie subjektai bus tiesiogiai pranešimu informuojami apie jų pirminį identifikavimą, o vėliau – ir apie įtraukimą į Kibernetinio saugumo subjektų registrą.
Preliminariu NKSC vertinimu, į Kibernetinio saugumo subjektų registrą gali būti įtraukta iki 2 tūkst. organizacijų. Tačiau kibernetinio saugumo subjektų identifikavimo procesui tebevykstant, šis sąrašas dar bus patikslintas.
Reikalavimai kibernetinio saugumo subjektams
Europoje kibernetinių atakų skaičius ir sudėtingumas 2023–2024 m. laikotarpiu toliau auga: daugiausiai atakų buvo susiję su paslaugų nepasiekiamumu (DDoS atakomis) ir duomenis šifruojančios programinės įrangos (angl. ransomware) grėsmėmis. Toliau auga duomenų vagystės, socialinės inžinerijos principais grįstos atakos (angl. phishing) ir tiekimo grandinės pažeidimai. Piktavaliai dažniau taikosi į smulkius ir vidutinius verslus bei viešąjį sektorių, o dėl aštrėjančios geopolitinės situacijos, taikiniais tampa ir kritinė infrastruktūra. Remiantis Lietuvos kibernetinio saugumo būklės ataskaita, 2023 m. NKSC registravo 2 378 kibernetinius incidentus. Palyginti su ankstesniais metais, bendras registruotų incidentų skaičius sumažėjo 30 proc., tačiau 12 proc. augo pavojingesnių – vidutinės kategorijos incidentų skaičius. Didžiausią žalą darė elektroninius duomenis užšifruojančių ir išpirkos reikalaujančių kenkimo programinio kodo virusai, paskirstytos paslaugų trikdymo atakos (toliau – DDoS), tiekimo grandinės atakos ir socialinės inžinerijos principais sukurtos atakos. Lietuvos kibernetinio saugumo aplinka yra stipriai veikiama ir geopolitinės situacijos. Pavyzdžiui, dėl Ukrainos palaikymo, dažnai Lietuva sutinkama Rusijos haktyvistų DDoS atakų taikinyje.
Kibernetinio saugumo įstatymas reikalauja, kad kibernetinio saugumo subjektai imtųsi tinkamų kibernetinio saugumo priemonių, siekdami valdyti savo informacijos saugumo riziką.
Kibernetinio saugumo subjektai privalės užtikrinti savo tinklų ir informacinių sistemų atitiktį kibernetinio saugumo reikalavimams, kurie nustatyti:
1) Kibernetinio saugumo reikalavimų apraše, tvirtinamame Vyriausybės;
2) Europos Komisijos priimtuose įgyvendinamuosiuose teisės aktuose. Šie teisės aktai aktualūs Kibernetinio saugumo įstatyme išskirtiems specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams, pavyzdžiui, DNS paslaugų teikėjams, aukščiausio lygio domenų vardų registro paslaugas teikiantiems subjektams, debesijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams ir kitiems subjektams, nurodytiems Kibernetinio saugumo įstatymo 13 str. 3 d. 1 p.
Aktualia redakcija išdėstytas Kibernetinio saugumo reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“. Už šiame apraše nustatytų reikalavimų įgyvendinimą yra tiesiogiai atsakingas organizacijos vadovas, kuris taip pat turės pasirūpinti už kibernetinį saugumą atsakingų asmenų pareigybių paskyrimu.
Kibernetinio saugumo reikalavimų apraše nustatyti konkretūs kibernetinio saugumo reikalavimai, kurie apima kibernetinio saugumo politiką, gaires ir procedūras, skirtas užtikrinti organizacijos tinklų ir informacinių sistemų saugumą bei duomenų apsaugą. Tai apima tokias sritis kaip darbuotojų mokymai, veiklos tęstinumo ir incidentų valdymo planai, trečiųjų šalių valdymas ir kt.
Kibernetinio saugumo reikalavimų apraše atitinkamose srityse taip pat nustatyti techniniai reikalavimai, taikomi kibernetinio saugumo subjektams. Šie reikalavimai apima tokias sritis kaip tinklo saugumą, duomenų šifravimą, pažeidžiamumų valdymą ir kt.
Kibernetinio saugumo reikalavimų apraše nustatytiems kibernetinio saugumo reikalavimams atitikti yra nustatytas pereinamasis laikotarpis. Kibernetinio saugumo subjektas nuo patekimo į Kibernetinio saugumo subjektų registrą momento kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėn., o atitinkamuose Kibernetinio saugumo reikalavimų aprašo punktuose nustatytus techninius kibernetinio saugumo reikalavimus – per 24 mėn. (žr., Kibernetinio saugumo reikalavimų aprašo 71 ir 72 p.)
Kibernetinių incidentų valdymas
Kibernetinių incidentų valdymas yra vienas iš kibernetinio saugumo reikalavimų, nustatytų Kibernetinio saugumo įstatyme. Įstatyme nustatyta pareiga esminiams ir svarbiems subjektams pranešti NKSC ne tik apie didelį kibernetinį incidentą, bet ir apie kitus kibernetinius incidentus, taip pat nustatyta, koks turi būti pranešimo apie incidentą turinys.
Pagal Kibernetinio saugumo įstatymo nuostatas, NKSC stebi, renka ir analizuoja informaciją apie kibernetinius incidentus ir vos neįvykusius kibernetinius incidentus, valdo kibernetinius incidentus, keičiasi informacija apie kibernetinius incidentus ir vos neįvykusius kibernetinius incidentus ir vykdo kitus įstatyme numatytus veiksmus kibernetinių incidentų valdymo srityje.
Kibernetinio saugumo subjektai turi skirti prioritetinį dėmesį pranešimų apie didelius incidentus įgyvendinimui. Apie didelį kibernetinį incidentą organizacijos privalo pranešti nedelsiant, bet ne vėliau kaip per 24 val. Be to, ne vėliau kaip per 72 val. nuo incidento sužinojimo organizacija privalės NKSC pateikti incidento sunkumo ir poveikio vertinimą ir įsilaužimo įrodymus, jeigu tokių yra.
Šiuo metu yra kuriama centralizuota kibernetinių incidentų pranešimo ir valdymo platforma. Vadovaujantis „vieno langelio“ principu, organizacijos galės pateikti informaciją apie incidentą, o platformoje šią informaciją galės pamatyti ir efektyviai koordinuoti NKSC, Lietuvos policija, Valstybinė duomenų apsaugos inspekcija, kitos kompetentingos institucijos, kibernetinio saugumo subjektų saugumo operacijų centrai.
Subjektai, kuriems įstatyme nėra nustatytos pareigos pranešti apie kibernetinius incidentus, kibernetines grėsmes, vos neįvykusius incidentus ir (ar) taikytas kibernetinių incidentų valdymo priemones, turi teisę savanoriškai apie juos pranešti NKSC.
Kibernetinio saugumo kultūros diegimas organizacijoje
Kibernetinio saugumo kultūros stiprinimas yra vienas iš Kibernetinio saugumo įstatyme įtvirtintų kibernetinio saugumo reikalavimų. Pagal įstatymo reikalavimus, kibernetinio saugumo subjektai turės diegti ir palaikyti kibernetinės higienos praktiką ir vykdyti reguliarius kibernetinio saugumo mokymus.
Kibernetinio saugumo subjekto valdymo organų nariai, vadovas ir jo įgaliotas asmuo privalo ne rečiau kaip kartą per 2 metus NKSC vadovo nustatyta tvarka išklausyti kibernetinio saugumo mokymus bei užtikrinti kibernetinio saugumo subjekto darbuotojų nuolatinį švietimą kibernetinio saugumo srityje. Vadovų ir darbuotojų mokymasis leis įgyti pakankamai žinių ir įgūdžių gebėti nustatyti kibernetinio saugumo rizikas ir įvertinti jų poveikį organizacijos teikiamoms paslaugoms. Šis reikalavimas padėtų kibernetinio saugumo subjekto vadovui arba jo įgaliotam asmeniui užtikrinti, kad kibernetinio saugumo subjektas laikytųsi įstatyme jam nustatytų pareigų, ir prižiūrėti jų laikymąsi.
Tiekimo grandinės saugumas
Tiekimo grandinės spragos gali kelti didelę riziką kibernetinio saugumo subjektams. Vienas iš įstatyme įtvirtintų kibernetinio saugumo reikalavimų kibernetinio saugumo subjektams yra užtikrinti tiekimo grandinės saugumą. Kibernetinio saugumo įstatyme ir Kibernetinio saugumo reikalavimų aprašo projekte nustatytais reikalavimais tiekimo grandinių saugumo užtikrinimui yra siekiama pagerinti bendrą tiekimo grandinių atsparumą kibernetinėms grėsmėms ir sumažinti galimą pažeidimų poveikį.
Kibernetinio saugumo subjektai privalės nuolat stebėti ir peržiūrėti visus aspektus, kylančius iš savo ir tiesioginių tiekėjų ar paslaugų teikėjų sutartinių santykių. Kibernetinio saugumo subjektai privalės reikalauti ir įsitikinti, jog tiekėjai atitinka kibernetinio saugumo reikalavimus, pavyzdžiui, turi incidentų valdymo planus, atitinkamus saugumo sertifikatus, įvykus kibernetiniam incidentui bendradarbiaus su kibernetinio saugumo subjektu ir pan.
Lietuvoje tinklų ir informacinės sistemos spragų (toliau – spraga) atskleidimo modelis Kibernetinio saugumo įstatyme buvo įteisintas dar 2021 m. Nors TIS 2 direktyvoje nustatomi papildomi reikalavimai ir sąlygos, susijusios su spragų atskleidimo procesu, tačiau tai nesukūrė pagrindo iš esmės keisti jau nustatytą spragų paieškos ir atskleidimo procesą. Atkreipiame dėmesį, į kelias naujoves:
Subjektai gali anonimiškai pateikti savo surinktą informaciją apie spragą NKSC. Anonimiškai spragą atskleidžiantis asmuo turi saugoti informaciją apie spragų paieškos rezultatų pateikimą 12 metų nuo pranešimo NKSC pateikimo dienos;
Subjektai gali dalintis informacija apie aptiktą spragą, kai ji yra registruojama Europos pažeidžiamumų duomenų bazėje (angl., European Vulnerability Database).
Pagal Kibernetinio saugumo įstatymo nuostatas, NKSC stebi, renka ir analizuoja informaciją apie spragas, keičiasi informacija apie jas su kibernetinio saugumo subjektais ir kitais suinteresuotais asmenimis, tikrina kibernetinio saugumo subjektų valdomas ir (ar) tvarkomas tinklų ir informacines sistemas, siekdamas nustatyti spragas, koordinuoja spragų atskleidimą. Savo ruožtu, kibernetinio saugumo subjektai privalo turėti patvirtintą ir veikiančią spragų valdymo ir atskleidimo tvarką, o sutartyse su tiekėjais turi nusimatyti tiekėjų pareigą užtikrinti spragų, keliančių riziką kibernetinio saugumo subjekto tinklams ir informacinėms sistemoms, valdymą.
Kibernetinio saugumo subjektų priežiūra
NKSC, vadovaudamasis Kibernetinio saugumo įstatyme suteiktais įgaliojimais, atlieka kibernetinio saugumo subjektų atitikties šio įstatymo reikalavimams (išskyrus nustatytus įstatymo VI ir VII skyriuose), patikrinimus.
Esminiams ir svarbiems subjektams taikomi patikrinimo režimai diferencijuojami siekiant nedidinti administracinės naštos. Esminiams subjektams taikoma išsami ex ante ir ex post priežiūros tvarka, o svarbiems subjektams taikoma negriežta, tik ex post, priežiūros tvarka. NKSC turi teisę pradėti esminio subjekto patikrinimą bet kokiu klausimu, susijusiu su įstatyme nustatytais reikalavimais, kurių nevykdymas laikomas pažeidimu. Svarbių subjektų patikrinimas pradedamas tik gavus duomenų ar informacijos, kad svarbus subjektas, kaip įtariama, padarė įstatyme nustatytų reikalavimų pažeidimą.
Pagal Kibernetinio saugumo įstatyme nustatytą bendrą tvarką, NKSC patikrinimą turi atlikti per kuo trumpesnį terminą, bet ne vėliau kaip per 4 mėnesius nuo skundo gavimo dienos arba NKSC direktoriaus ar jo įgalioto asmens sprendimo atlikti patikrinimą savo iniciatyva arba kitų šaltinių pagrindu priėmimo dienos. Įstatyme apibrėžtos NKSC teisės atliekant patikrinimus, tarp kurių yra teisė duoti nurodymus kibernetinio saugumo subjektams savo lėšomis atlikti nepriklausomą tinklų ir informacinių sistemų arba jomis vykdomos veiklos ar teikiamų paslaugų tikslinį saugumo auditą, pateikti visą reikalingą informaciją, dokumentų kopijas ir išrašus, įeiti į kibernetinio saugumo subjektų patalpas, užfiksuoti faktines aplinkybes, naudoti technines priemones, tikrinti asmenų tapatybę patvirtinančius dokumentus. NKSC, baigęs patikrinimą, gali konstatuoti, kad pažeidimų nenustatyta arba, nustatęs įstatymo pažeidimą, turi teisę taikyti įstatyme nurodytas vykdymo užtikrinimo priemones.
Vykdymo užtikrinimo priemonės
NKSC kibernetinio saugumo subjektų patikrinimo metu nustatęs Kibernetinio saugumo įstatymo pažeidimą, gali taikyti vieną ar kelias įstatyme numatytas vykdymo užtikrinimo priemones.
Pažeidimai įstatyme skirstomi į pavojingus, vidutinio pavojingumo ir nedidelio pavojingumo. NKSC vykdymo užtikrinimo priemonę ar jų grupę parinks vadovaudamasis Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašu kartu su kitomis tvarkomis ir metodikomis. Taip pat bus atsižvelgiama į kiekvieną atvejį individualiai.
Numatyta, kad NKSC vadovas ar jo įgaliotas asmuo, vadovaudamasis Kibernetinio saugumo įstatymu galėtų skirti baudas kibernetinio saugumo subjektams, kurių dydis skiriasi:
Ar mano įmonei bus taikomas įstatymas?
Atkreipti dėmesį į Kibernetinio saugumo įstatymą turi tie juridiniai ir fiziniai asmenys, kurie veikia viename iš Kibernetinio saugumo įstatymo 1 ir 2 prieduose nurodytų ypatingos svarbos ir kituose itin svarbiuose sektoriuose. Kitas svarbus kriterijus, kuris bus vertinamas – juridinio asmens dydis: kibernetinio saugumo įstatymo prieduose nurodytuose sektoriuose veikiantis asmuo patenka į įstatymo reguliavimo sritį, jei jis yra didelė ar vidutinė įmonė pagal Smulkiojo ir vidutinio verslo plėtros įstatymą (vertinamas vidutinių įmonės darbuotojų skaičius, metinės pajamos, balanse nurodyto turto vertė).
Išskyrus tam tikras išimtis, Kibernetinio saugumo įstatymas netaikomas mažoms ir labai mažoms įmonėms. Išimtys susijusios su tokių įmonių teikiamomis paslaugomis ar produktais, kurie yra kritiškai svarbūs valstybės gyvenimui, pavyzdžiui, kai tokios įmonės yra vieninteliai paslaugų teikėjai arba kai paslaugų teikimo sutrikimas gali turėti reikšmingų pasekmių visuomenės saugumui arba visuomenės sveikatai ir pan.
NKSC, vadovaudamasis Kibernetinio saugumo įstatyme nustatytais subjektų identifikavimo kriterijais (bendraisiais ir specialiaisiais), identifikuoja kibernetinio saugumo subjektus ir įtraukia juos į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d. Subjektų identifikavimo metu vertinama įvairių šaltinių informacija (pavyzdžiui, gauta iš valstybės registrų ir informacinių sistemų, pačių identifikuojamų subjektų, kitų valstybės institucijų, įstaigų, ir kt.), siekiant patikrinti jų atitikimą Kibernetinio saugumo įstatymo 11 straipsnyje nustatytiems kriterijams. Kibernetinio saugumo subjektai Kibernetinio saugumo įstatymo 1 ir 2 prieduose nurodytiems sektoriams, subsektoriams ir subjekto rūšiai priskiriami pagal Ekonominės veiklos rūšių klasifikatorių, įvertinant visą įmonės vykdomą veiklą ir teikiamas paslaugas.
Identifikuotiems kibernetinio saugumo subjektams bus išsiunčiami pranešimai, informuojant juos apie patekimą į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d.
Kibernetinio saugumo reikalavimai nustatyti aktualia redakcija išdėstytame Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“. Šiuo Vyriausybės nutarimu patvirtintas ne tik Kibernetinio saugumo reikalavimų aprašas, bet ir kitos tvarkos, kurios tampa aktualios į Kibernetinio saugumo subjektų registrą patekusiems kibernetinio saugumo subjektams: Nacionalinis kibernetinių incidentų valdymo planas, Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika, Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas.
Į Kibernetinio saugumo subjektų registrą patekę kibernetinio saugumo subjektai kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėn., o atitinkamuose Kibernetinio saugumo reikalavimų aprašo punktuose nustatytus techninius kibernetinio saugumo reikalavimus – per 24 mėn. (žr., Kibernetinio saugumo reikalavimų aprašo 71 ir 72 p.).
Siūlome kiekvienai organizacijai nedelsti ir jau dabar patiems preliminariai įsivertinti Kibernetinio saugumo įstatymo ir jo įgyvendinamųjų teisės aktų aktualumą. Nepriklausomai nuo to, ar organizacija bus įtraukta į Kibernetinio saugumo subjektų registrą, rekomenduojame vadovautis įstatyme ir įgyvendinamuosiuose teisės aktuose nustatytais minimaliais kibernetinio saugumo reikalavimais bei rūpintis savo organizacijos kibernetinio saugumo higiena.
Kokie konkretūs kibernetinio saugumo reikalavimai bus taikomi kibernetinio saugumo subjektams?
Į Kibernetinio saugumo subjektų registrą įtraukti kibernetinio saugumo subjektai privalo užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį kibernetinio saugumo rizikos valdymo priemonėms, nustatytoms:
1) Nauja redakcija išdėstytame Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2) Europos Komisijos priimtame ir tiesiogiai taikomame įgyvendinamajame teisė akte. Šis teisės aktas aktualus Kibernetinio saugumo įstatyme išskirtiems specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams, pavyzdžiui, DNS paslaugų teikėjams, aukščiausio lygio domenų vardų registro paslaugas teikiantiems subjektams, debesijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams ir kitiems subjektams, nurodytiems įstatymo 13 str. 3 d. 1 p.
Kibernetinio saugumo reikalavimų apraše nustatyti konkretūs kibernetinio saugumo reikalavimai, kurie apima kibernetinio saugumo politiką, gaires ir procedūras, skirtas užtikrinti organizacijos tinklų ir informacinių sistemų saugumą bei duomenų apsaugą. Tai apima tokias sritis kaip darbuotojų mokymai, veiklos tęstinumo ir incidentų valdymo planai, trečiųjų šalių valdymas ir kt.
Kibernetinio saugumo reikalavimų apraše atitinkamose srityse taip pat nustatyti techniniai reikalavimai, taikomi kibernetinio saugumo subjektams. Šie reikalavimai apima tokias sritis kaip tinklo saugumą, duomenų šifravimą, pažeidžiamumų valdymą ir kt.
Kibernetinio saugumo reikalavimų apraše nustatytiems kibernetinio saugumo reikalavimams atitikti yra nustatytas pereinamasis laikotarpis. Kibernetinio saugumo subjektas nuo patekimo į Kibernetinio saugumo subjektų registrą momento kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėn., o atitinkamuose Kibernetinio saugumo reikalavimų aprašo punktuose nustatytus techninius kibernetinio saugumo reikalavimus – per 24 mėn. (žr., Kibernetinio saugumo reikalavimų aprašo 71 ir 72 p.).
Specialusis subjektas ir patikimumo užtikrinimo paslaugų teikėjas nuo patekimo į Kibernetinio saugumo subjektų registrą momento, privalės užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį tik Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 nurodytoms kibernetinio saugumo rizikos valdymo priemonėms (žr., Kibernetinio saugumo įstatymo 14 str. 4 d.). Atsižvelgiant į tai, kad Reglamentas (ES) 2024/2690 nenustato pereinamojo laikotarpio terminų, jame nustatyti reikalavimai kibernetinio saugumo rizikos valdymo priemonėms bus privalomi nuo specialiojo subjekto ir patikimumo užtikrinimo paslaugų teikėjo patekimo į Kibernetinio saugumo subjektų registrą momento.
Atkreipiame dėmesį, kad Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 taip pat apibrėžti išsamesni atvejai, kuriais remiantis kibernetinis incidentas laikomas dideliu (žr., Kibernetinio saugumo įstatymo 18 str. 3 d.), todėl specialusis subjektas ir patikimumo užtikrinimo paslaugų teikėjas, pranešdamas apie incidentus, turi laikytis tiek nacionalinių teisės aktų, tiek Reglamento (ES) 2024/2690 reikalavimų.
Europos Sąjungos kibernetinio saugumo agentūra (ENISA) rengia įgyvendinimo gaires, kuriomis siekiama padėti ES valstybėms narėms, specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams įgyvendinti Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 nustatytus kibernetinio saugumo rizikos valdymo priemonių techninius ir metodinius reikalavimus. Šiose gairėse bus siekiama pateikti:
papildomus patarimus ir rekomendacijas, į ką atsižvelgti įgyvendinant vieną ar kitą reikalavimą, ir išsamesnius paaiškinimus apie teisės akto tekste vartojamas sąvokas ir terminus;
įrodymų, kuriais remiantis galima bus įvertinti, ar reikalavimas įvykdytas, pavyzdžius; lenteles, kuriose Europos Komisijos įgyvendinimo reglamente nustatyti reikalavimai bus susieti su Europos ir tarptautiniais standartais bei nacionaliniais teisės aktais.
Ar yra numatytas nacionalinių kibernetinio saugumo reikalavimų įgyvendinimo pereinamasis laikotarpis?
Nauja redakcija išdėstytame Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ nustatytiems kibernetinio saugumo reikalavimams atitikti yra nustatytas pereinamasis laikotarpis. Kibernetinio saugumo subjektas nuo patekimo į Kibernetinio saugumo subjektų registrą momento kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėn., o atitinkamuose Kibernetinio saugumo reikalavimų aprašo punktuose nustatytus techninius kibernetinio saugumo reikalavimus – per 24 mėn. (žr., Kibernetinio saugumo reikalavimų aprašo 71 ir 72 p.).
Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690, tiesiogiai taikomame tik specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams, pastariesiems bus privaloma užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį reglamente nurodytoms kibernetinio saugumo rizikos valdymo priemonėms nuo tokio subjekto patekimo į Kibernetinio saugumo subjektų registrą momento.
NKSC iki 2025 m. balandžio 17 d. turi identifikuoti kibernetinio saugumo subjektus ir juos įtraukti į Kibernetinio saugumo subjektų registrą. Kokie duomenys apie subjektus bus vertinami ir kokiu būdu kibernetinio saugumo subjektas bus informuotas apie patekimą į registrą?
NKSC identifikuoja kibernetinio saugumo subjektus ir įtraukia juos į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d.
NKSC, identifikuodamas esminius ir svarbius kibernetinio saugumo subjektus, vertina iš įvairių šaltinių gaunamą informaciją: pačių identifikuojamų subjektų, kitų valstybės institucijų, įstaigų, valstybės valdomų įmonių, viešųjų įstaigų, savivaldybių įmonių ir savivaldybių įstaigų. Kibernetinio saugumo subjektai Kibernetinio saugumo įstatymo 1 ir 2 prieduose nurodytiems sektoriams, subsektoriams ir subjekto rūšiai priskiriami pagal Ekonominės veiklos rūšių klasifikatorių, įvertinant visą įmonės vykdomą veiklą ir teikiamas paslaugas.
Esminių ir svarbių subjektų identifikavimo procese taip pat dalyvauja už atitinkamą veiklos sektorių atsakingos ministerijos. Subjektai taip pat turės teisę pateikti savanorišką prašymą būti įregistruotais Kibernetinio saugumo subjektų registre.
Identifikuoti kibernetinio saugumo subjektai apie patekimą į Kibernetinio saugumo subjektų registrą bus informuojami pranešimu iki 2025 m. balandžio 17 d.
Gavus patvirtinimą iš NKSC, jog subjektas buvo įtraukas į kibernetinio saugumo subjektų registrą, reikės atlikti tam tikrus darbus. Pirmiausia, subjektas turės prisijungti prie Kibernetinio saugumo informacinės sistemos (KSIS) ir pateikti duomenis bei informaciją apie savo veiklą, teikiamų paslaugų pobūdį, veiklos sektorių, įmonės dydį, pajamas, kt.
Ar įmonėms, kurios yra esminių / svarbių subjektų tiekimo grandinėje, pvz. rangovai, bus taikomos Kibernetinio saugumo įstatymo nuostatos?
Pagal 2023 m. Lietuvos kibernetinio saugumo būklės ataskaitą, pernai metais NKSC registravo 2 378 kibernetinius incidentus. Palyginti su ankstesniais metais, bendras registruotų incidentų skaičius sumažėjo 30 proc., tačiau 12 proc. augo pavojingesnių – vidutinės kategorijos incidentų skaičius. Didžiausią žalą darė elektroninius duomenis užšifruojančių ir išpirkos reikalaujančių kenkimo programinio kodo virusai, DDoS atakos, tiekimo grandinės atakos ir socialinės inžinerijos principais sukurtos atakos.
Kibernetinio saugumo įstatymas reikalauja, kad kibernetinio saugumo subjektai imtųsi tinkamų techninių ir organizacinių priemonių, siekdami valdyti savo informacijos saugumo riziką. Vienas iš kibernetinio saugumo reikalavimų, keliamų kibernetinio saugumo subjektams, yra užtikrinti tiekimo grandinės saugumą.
Kibernetinio saugumo subjektai privalės nuolat stebėti ir peržiūrėti visus aspektus, kylančius iš savo ir tiesioginių tiekėjų ar paslaugų teikėjų sutartinių santykių. Kibernetinio saugumo subjektai privalės reikalauti ir įsitikinti, jog tiekėjai atitinka kibernetinio saugumo reikalavimus, pavyzdžiui, turi incidentų valdymo planus, atitinkamus saugumo sertifikatus, įvykus kibernetiniam incidentui bendradarbiaus su kibernetinio saugumo subjektu ir pan. Atsižvelgiant į tai, numatoma, kad bus daug organizacijų, veikiančių vieno ar daugiau kibernetinio saugumo subjektų tiekimo grandinėje. Tokioms organizacijoms naujasis teisinis reguliavimas turės netiesioginį poveikį.
Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodikoje, patvirtintoje Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, numatyta, kad vienas iš specialiųjų kriterijų skirtas identifikuoti esminio subjekto tam tikrai teikiamai paslaugai ir (ar) vykdomai veiklai įtaką turinčius subjektus, kuriems teikiant paslaugą ilgiau nei 12 mėn. jie tampa esminiu ar svarbiu subjektu.
Ar ypatingos svarbos informacinės infrastruktūros valdytojai automatiškai prilyginami esminiams ar svarbiems kibernetinio saugumo subjektams?
Kibernetinio saugumo įstatyme (TIS 2 direktyvoje) nustatytas kur kas platesnis subjektų, kuriems turėtų būti taikomas reguliavimas, spektras. Ypatingos svarbos informacinės infrastruktūros identifikavimo procesas, vykdytas pagal Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką, neatitinka Kibernetinio saugumo įstatyme nustatytų subjektų identifikavimo kriterijų ir tikslų. Pagal atnaujintą Kibernetinio saugumo įstatymą išskiriamos tik dvi subjektų grupės – esminių ir svarbių subjektų. Tad ypatingos svarbos informacinės infrastruktūros valdytojai, įsigaliojus atnaujintam Kibernetinio saugumo įstatymui, bus identifikuojami pagal naujus kriterijus.
Tačiau atsižvelgiant į šiuo metu identifikuotų ypatingos svarbos informacinės infrastruktūros valdytojų svarbą, Kibernetinio saugumo įstatyme nustatyta pareiga ypatingos svarbos informacinės infrastruktūros valdytojams toliau užtikrinti savo tinklų ir informacinių sistemų atitikimą Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašui tol, kol bus sudarytas naujas Kibernetinio saugumo subjektų registras (t.y. iki 2025 m. balandžio 17 d.). Ypatingos svarbos informacinės infrastruktūros valdytojai, kurie nebūtų identifikuoti kaip kibernetinio saugumo subjektai, turėtų teisę netaikyti kibernetinio saugumo reikalavimų. Pažymėtina, kad tai yra labiau teorinio pobūdžio teisė, nes numatoma, kad visi ypatingos svarbos informacinės infrastruktūros valdytojai bus įtraukti į Kibernetinio saugumo subjektų registrą.
Atsižvelgiant į tai, kad Kibernetinio saugumo įstatyme neliko „ypatingos svarbos informacinės infrastruktūros“ sąvokos, buvo pakeisti kiti įstatymai, susiję su ypatingos svarbos informacinės infrastruktūros sąvokos keitimu.
Apie kokius kibernetinio saugumo incidentus turi pranešti kibernetinio saugumo subjektai?
Visi kibernetiniai incidentai yra skirstomi į didelius, nedidelius ir vos neįvykusius incidentus.
Kibernetinio saugumo įstatyme nustatyta pareiga esminiams ir svarbiems subjektams pranešti NKSC ne tik apie didelį kibernetinį incidentą, bet ir apie kitus kibernetinius incidentus, taip pat nustatyta, koks turi būti pranešimo apie incidentą turinys.
Nauja redakcija išdėstytame Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ detalizuojami didelio incidento požymiai, kibernetinių incidentų valdymo ir informavimo apie juos procesai.
Pagal Nacionalinį kibernetinių incidentų valdymo planą, apie didelį kibernetinį incidentą kibernetinio saugumo subjektai NKSC privalės pranešti per 24 val., o per 72 val. pateikti išsamų incidento pranešimą. Apie nedidelį kibernetinį incidentą informaciją pateikti reikės per ne vėliau kaip 72 val. Kibernetinio incidento valdymas baigiamas, kai subjektai pateikia galutinę ataskaitą (per 1 mėnesį nuo incidento registravimo). NKSC gali prašyti pateikti tarpines ataskaitas (pvz., tarpinę atitinkamų atnaujintų padėties duomenų ataskaitą, pažangos ataskaitą).
Atkreipiame dėmesį, kad kibernetinio saugumo subjektai privalės informuoti NKSC apie įvykusius kibernetinius incidentus, tačiau kiti asmenys (kuriems Kibernetinio saugumo įstatyme nėra nustatytos pareigos teikti tokią informaciją) pranešti apie kibernetinius incidentus, kibernetines grėsmes, vos neįvykusius kibernetinius incidentus galės savanoriškai.
NKSC pradėjo kurti naują centralizuotą nacionalinę kibernetinių incidentų valdymo platformą, kuri palengvins ir automatizuos informacijos pateikimą, o ateityje taps pagrindiniu informacijos apie kibernetinius incidentus pateikimo kanalu.
Ar įstatyme numatytos vykdymo užtikrinimo priemones ir baudos yra proporcingos? Kokio dydžio baudos numatomos?
NKSC, kibernetinio saugumo subjektų patikrinimo metu, nustatęs Kibernetinio saugumo įstatymo pažeidimą (pavojingas, vidutinio pavojingumo ir nedidelio pavojingumo), gali taikyti vieną ar kelias įstatyme numatytas vykdymo užtikrinimo priemones:
Taikydamas bet kurią iš įstatyme nurodytų vykdymo užtikrinimo priemonių, NKSC atsižvelgia į kiekvieno konkretaus atvejo aplinkybes ir į kitas įstatyme nustatytas sąlygas, kurios sunkintų arba lengvintų subjekto atsakomybę. Pavyzdžiui, atsakomybę sunkinančios aplinkybės būtų pažeidimo padarymas pakartotinai, subjektas neištaisė trūkumų pagal NKSC pateiktus nurodymus, trukdė vykdyti kibernetinio saugumo audito ar stebėsenos pareigūno veiklą, slėpė padarytą pažeidimą ir kt. Ir atvirkščiai, subjekto atsakomybę lengvinančios aplinkybės yra subjekto veiksmai, kuriais jis savo noru užkirto kelią turtinei ar neturtinei žalai atsirasti, atlygino padarytą žalą, pripažino pažeidimą ir padėjo NKSC patikrinimo metu ir kt.
Pagal Kibernetinio saugumo įstatymo reikalavimus tik esminio subjekto vadovas gali būti laikinai nušalintas nuo pareigų bendrosios kompetencijos apylinkės teismo nutartimi. Prašymą nušalinti esminio subjekto vadovą pateikia NKSC (žr., Kibernetinio saugumo įstatymo 33 str.). Taip pat tik esminiam subjektui gali būti laikinai stabdoma teisė užsiimti dalimi esminio subjekto vykdomos veiklos ar visa jo vykdoma veikla arba teisė teikti paslaugas (žr., Kibernetinio saugumo įstatymo 32 str.).
Numatyta, kad NKSC vadovas ar jo įgaliotas asmuo, vadovaudamasis Kibernetinio saugumo įstatymu gali skirti baudas kibernetinio saugumo subjektams, kurių dydis skiriasi:
Kokiam sektoriui bus priskiriama įmonė, jei ji priklauso įmonių grupei, kurios teikia skirtingas paslaugas, pvz. investicijų įmonė, nekilnojamojo turto, baldų gamybos ir kt?
Kibernetinio saugumo subjektai Kibernetinio saugumo įstatymo 1 ir 2 prieduose nurodytiems sektoriams, subsektoriams ir subjekto rūšiai priskiriami pagal Ekonominės veiklos rūšių klasifikatoriaus kodus. Pagal bendruosius ir specialiuosius kriterijus bus vertinama visa įmonės veikla ir nustačius, kad įmonė vykdo bent vieną veiklą, pagal kurią patenka ir į esminių ir į svarbių subjektų kategorijas, ji bus priskiriama atitinkamai subjektų kategorijai.
Kas įeina į „kibernetinio saugumo subjekto valdymo organų nariai, vadovas ir jo įgaliotas asmuo“ grupę, minimą Lietuvos Respublikos kibernetinio saugumo įstatymo 14 str. 7 p.?
Į šią grupę įeina aukščiausios grandies vadovai. Vidutinės grandies vadovai yra laikomi kibernetinio saugumo subjekto darbuotojais.
Kiti kibernetinio saugumo srities teisės aktai
Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d.nutarimas Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ išdėstytas aktualia redakcija Lietuvos Respublikos Vyriausybės 2024 m. lapkričio 6 d. nutarimu Nr. 945 (toliau – Vyriausybės nutarimas)
Krašto apsaugos ministerija Vyriausybės nutarimą parengė vadovaudamasi 2024 m. spalio 18 d. įsigaliojusiu atnaujintu Kibernetinio saugumo įstatymu ir siekdama įgyvendinti TIS 2 direktyvą.
Šiuo Vyriausybės nutarimu patvirtinti:
Nacionalinis kibernetinių incidentų valdymo planas (parengtas vadovaujantis Kibernetinio saugumo įstatymo 7 straipsnio 2 dalies 3 punktu);
Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika (parengtas vadovaujantis Kibernetinio saugumo įstatymo 11 straipsnio 6 dalimi);
Kibernetinio saugumo reikalavimų aprašas (parengtas vadovaujantis Kibernetinio saugumo įstatymo 14 straipsnio 1 dalies 1 punktu);
Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas (parengtas atsižvelgiant į Kibernetinio saugumo įstatymo 28 straipsnio 6 dalį);
Saugiojo valstybinio duomenų perdavimo tinklo naudotojų sąrašas;
Atlyginimo už naudojimąsi Saugiuoju valstybiniu duomenų perdavimo tinklu teikiamomis papildomomis elektroninių ryšių ir kibernetinio saugumo paslaugomis dydžių nustatymo kriterijų ir atlyginimo apskaičiavimo tvarkos aprašas.
Nacionalinė kibernetinio saugumo strategija vadovaujantis Kibernetinio saugumo įstatymo 2 straipsnio 15 dalimi bei 4 straipsnio 1 d. yra suvokiama kaip nuosekli sistema, apimanti Lietuvos Respublikos kibernetinio saugumo srities strateginius tikslus, nustatytus:
Lietuvos Respublikos Seimo tvirtinamoje Nacionalinio saugumo strategijoje;
Vyriausybės tvirtinamame Nacionaliniame pažangos plane;
Seimo tvirtinamoje Krašto apsaugos sistemos stiprinimo ir plėtros programoje;
Vyriausybės tvirtinamoje Nacionalinėje kibernetinio saugumo plėtros programoje.
Būtent šie strateginio planavimo dokumentai ar jų dalys kartu su Kibernetinio saugumo įstatymu ir jo įgyvendinamaisiais teisės aktais sudaro nacionalinę kibernetinio saugumo strategiją.
Ypatingos svarbos informacinės infrastruktūros identifikavimo metodika tapo neaktuali į nacionalinę teisę perkeliant TIS 2 direktyvos nuostatas. Kibernetinio saugumo įstatyme (TIS 2 direktyvoje) nustatytas kur kas platesnis subjektų, kuriems taikomas naujasis reguliavimas, spektras. Ypatingos svarbos informacinės infrastruktūros identifikavimo procesas, vykdytas pagal Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką, neatitinka Kibernetinio saugumo įstatyme nustatytų subjektų identifikavimo kriterijų ir tikslų. Pagal atnaujintą Kibernetinio saugumo įstatymą išskiriamos tik dvi subjektų grupės – esminių ir svarbių subjektų. Tad ypatingos svarbos informacinės infrastruktūros valdytojai, įsigaliojus atnaujintam Kibernetinio saugumo įstatymui, bus identifikuojami pagal naujus kriterijus.
Europos Komisijos priimti įgyvendinimo aktai, taikomi konkretiems sektoriams
Kaip numato TIS 2 direktyva, iš kibernetinio saugumo subjektų grupės išskiriamai specialiajai subjektų grupei (t.y. DNS paslaugų teikėjas, aukščiausio lygio domenų vardų registravimo paslaugas teikiantis subjektas, debesijos paslaugų teikėjas, duomenų centrų paslaugų teikėjas, paskirstytojo turinio teikimo tinklo paslaugų teikėjas, valdomų paslaugų teikėjas, valdomų kibernetinio saugumo paslaugų teikėjas, elektroninės prekyvietės paslaugų teikėjas, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų paslaugų teikėjas) ir patikimumo užtikrinimo paslaugų teikėjui gali būti nustatyti Europos Komisijos priimami tiesioginio taikymo įgyvendinamieji teisės aktai. Atnaujintame Kibernetinio saugumo įstatyme nustatyta (18 str. 3 d.), kad Europos Komisija šiuose įgyvendinamuosiuose teisės aktuose taip pat išsamiau apibrėžia atvejus, kai kibernetinis incidentas laikomas dideliu. Šių teisės aktų priežiūrą Lietuvoje vykdys Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos.
Atkreipiame dėmesį, kad specialieji subjektai privalės užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį tik šiuose teisės aktuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms.
Europos Komisija 2024 m. spalio 17 d. priėmė tiesioginio taikymo įgyvendinimo reglamentą (ES) 2024/2690, skirtą minėtai specialiųjų subjektų grupei ir patikimumo užtikrinimo paslaugų teikėjams. Šis reglamentas nustato TIS 2 direktyvos taikymo taisykles, susijusias su kibernetinio saugumo rizikos valdymo priemonių techniniais ir metodiniais reikalavimais ir apibrėžia išsamesnius atvejus, kuriais kibernetinis incidentas laikomas dideliu. Šis Komisijos įgyvendinimo reglamentas įsigaliojo 2024 m. lapkričio 7 d.
Daugiau informacijos:
Lietuvos Respublikos Vyriausybės 2024 m. lapkričio 6 d. nutarimas Nr. 945 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ pakeitimo. Prieiga per internetą https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/22f960219fff11ef9db2c9aaf9c67042?jfwid=-fir4nh877
2024-10-17 pranešimas spaudai, Briuselis. Naujos taisyklės ES ypatingos svarbos subjektų ir tinklų kibernetiniam saugumui didinti. Prieiga per internetą https://ec.europa.eu/commission/presscorner/detail/lt/ip_24_5342
Europos Sąjungos kibernetinio saugumo agentūros (ENISA) rengiamos įgyvendinimo gairės dėl 2024 m. spalio 17 d. Europos Komisijos įgyvendinimo reglamento (ES) 2024/2690
