D.U.K - Kibernetinio saugumo reikalavimų aprašas
Pagrindiniai trumpiniai
1. Ar numatytas laikotarpis kibernetinio saugumo reikalavimams įgyvendinti?
2. Ar reikia derinti kibernetinio saugumo politikos dokumentus su NKSC?
3. Ar reikia kibernetinio saugumo politikos dokumentus įkelti į KSIS?
4. Ar organizacija, kuri nėra įtraukta į KSS registrą, turi įgyvendinti TIS2 (angl. NIS2) reikalavimus?
5. Kokie išsilavinimo ir kompetencijos reikalavimai keliami organizacijos kibernetinio saugumo vadovui?
6. Ar gali kibernetinio saugumo vadovas dirbti informacinių technologijų (IT) skyriuje?
7. Ar gali kibernetinio saugumo vadovo (CISO) ir (ar) saugos įgaliotinio paslaugas vykdyti darbuotojas ne iš Lietuvos?
8. Ar gali asmuo užimti kibernetinio saugumo vadovo pareigas keliose įstaigose?
9. Ar galima paskirti asmenį (administratorių), atsakingą už TIS priežiūrą ir jų veikimo užtikrinimą, sudarant sutartį su paslaugų tiekėju dėl IT ūkio priežiūros paslaugų?
Jei taip, ar tokiam asmeniui reikalingas įgaliojimas ir kas jį turėtų suteikti?
10. Kokie tiekimo grandinės reikalavimai galioja KSS?
11. Ar tiekimo grandinės saugumo reikalavimai turi būti taikomi ir paslaugų teikėjams, nepasaint to, kad jie nėra priskirti prie esminių ar svarbių subjektų?
12. Kaip vertinami trečiosios šalies kibernetinio saugumo reikalavimai?
13. Kada turi būti įtraukti reikalavimai į sutartis su trečiosiomis šalimis?
14. Ar KSS leidžiama įsigyti nepatikimų gamintojų prekes ir paslaugas?
15. Kokius kibernetinio saugumo politikos dokumentus organizacija turi parengti pagal naują KSRA?
Ar dokumentus galima sujungti, ar rengti kelis didesnius dokumentus pagal reguliuojamą sritį?
16. Ar yra parengti pavyzdiniai kibernetinio saugumo politikos dokumentų šablonai ir kur juos galima rasti?
17. Gavus pranešimą apie įsiregistravimą į KSIS, kada reikia atlikti pirmą auditą (nepriklausomą)?
18. Ar NKSC yra patvirtinusi kibernetinio saugumo audito metodiką?
19. Ar NKSC gali patikrinti techninę specifikaciją?
20. Kokius kibernetinio saugumo mokymus organizuoja NKSC?
21. Remiantis KSRA 52 punktu, visi KSS privalo užtikrinti darbuotojų kibernetinės higienos mokymus.
Ar įmonės darbuotojai, kurie tiesiogiai nedirba su informacinėmis sistemomis ar skaitmeninėmis priemonėmis
(pvz., kompiuteriais, mobiliaisiais telefonais), o atlieka tik fizinio pobūdžio funkcijas įmonėje,
ar jiems irgi turi būti organizuojami kibernetinės higienos mokymai?
22. Ar auditoriui užtenka turėti bet kurį vieną iš
nurodytų sertifikatų, kad galėtų atlikti KSĮ nustatytus reikalavimus atitinkantį KSS auditą?
23. Kokiais teisės aktais vadovautis organizacijai tapus esminiu ar svarbiu kibernetinio saugumo subjektu, norint atitikti kibernetinio saugumo reikalavimus?
24. Ar kibernetinio saugumo politikos dokumentai gali būti pateikiami ne lietuvių kalba?
25. Kokiu periodiškumu KSS turi atlikti informacinių sistemų technologinių pažeidžiamumų vertinimą?
Ar yra įpareigojimas vykdyti naujai diegiamų informacinių sistemų pažeidžiamumų vertinimą ir ar nustatytas jų periodiškumas?
26. Ar yra sertifikuotų įmonių, kurios galėtų atlikti būtent sertifikuotą IT auditą įmonėje, sąrašas ar duomenų bazė?
27. Ar turimas ISO 27001:2022 atitikties vertinimas gali būti prilyginamas kibernetinio saugumo auditui?
28. Kam skiriama bauda dėl kibernetinio saugumo reikalavimų nevykdymo, kibernetinio saugumo subjekto vadovui ar kibernetinio saugumo vadovui?
