.jpg)
Karas Ukrainoje ir sunkėjanti geopolitinė situacija regione reiškia, kad Lietuva turi dar rimčiau žvelgti į visuomenės pasiruošimą netikėtumams, atsparumo didinimą. Europoje, o kartu ir Lietuvoje, didėja kibernetinių incidentų grėsmė, kuri gali skaudžiai paliesti daugelio žmonių gyvenimus bei pakirsti valstybės funkcionavimą.
Būtent todėl Krašto apsaugos ministerija (KAM) teikia Vyriausybei svarstyti naują Kibernetinio saugumo įstatymą (KSĮ), kuriame perkeliame Europos Sąjungos (ES) Tinklų ir informacinių sistemų saugumo direktyvą (TIS2), kurioje numatytos teisinės priemonės bendram kibernetinio saugumo lygiui ES valstybėse narėse didinti. Įstatymu taip pat įgyvendinamas aštuonioliktosios Lietuvos Respublikos Vyriausybės programos siekis didinti kibernetinės erdvės saugumą ir konsoliduoti kibernetinius pajėgumus.
Naujuoju įstatymo projektu iš esmės siekiama tobulinti nacionalinį kibernetinio saugumo reguliavimą, įgyvendinant direktyvos uždavinius. Norima, kad kiekviena organizacija kibernetinį saugumą integruotų į savo organizacinę struktūrą ir taip prisidėtų prie bendro visos valstybės atsparumo stiprinimo.
Šiuo įstatymų taip pat norima padidinti privataus ir viešojo sektoriaus atsparumą kibernetinėms grėsmėms, sušvelninti kibernetinių incidentų poveikį įmonėse ir institucijose, keliant jų kompetenciją užkardyti ir reaguoti į incidentus ir stiprinti kolektyvinį valstybės gebėjimą pasirengti bei reaguoti į didelius kibernetinius incidentus ar krizę.
Valstybė ir įvairios organizacijos turi veikti kartu
Svarbu suprasti, kad TIS2 direktyva nėra tik dar viena taisyklių knyga. TIS2 direktyvos įgyvendinimas yra komandinis žaidimas, kur valstybė ir įvairios organizacijos turi veikti kartu.
Ši direktyva neatsirado ir neveiks vakuume, Lietuvoje jau nuo 2014 m. galioja kibernetinio saugumo sritį reglamentuojantys teisės aktai, kurių įgyvendinimas užtikrina tam tikrą kibernetinio atsparumo lygį. Įgyvendinant naujosios direktyvos reikalavimus nesiekiama radikalaus pokyčio ar nepakeliamos administracinės naštos organizacijoms. Atvirkščiai, norima dirbti kartu vardan saugesnės ir atsparesnės Lietuvos.
Itin svarbus yra bendradarbiavimas tarp valstybės ir privataus sektoriaus siekiant kibernetinio atsparumo. Valstybės institucijoms reikalinga privataus sektoriaus ir atskirų kibernetinio saugumo specialistų pagalba atrandant pažeidžiamumus. Savo ruožtu privataus sektoriaus atstovais turi imtis patikimų kibernetinio saugumo priemonių, tai pabrėžia ir TIS2 direktyva.
Jau dabar nustatyta, kad kibernetinio saugumo subjektai užtikrina atitiktį kibernetinio saugumo reikalavimams, taip pat privalo pranešti apie įvykusius kibernetinius incidentus, tačiau naujuoju Kibernetinio saugumo įstatymu siekiama ne formalaus, bet realaus reikalavimų atitikimo.
Kibernetinis saugumas – viešojo ir privataus sektorių rankose
Kiekviena organizacija savo kibernetinį saugumą turi integruoti į savo organizacinę struktūrą ir taip prisidėti prie bendro visos valstybės operatyvinio atsparumo stiprinimo. KSĮ siūloma patikslinti kibernetinio saugumo subjektų atsakomybę ir nustatyti tiesioginę organizacijos vadovo atsakomybę už kibernetinio saugumo reikalavimų nesilaikymą, atnaujinti kibernetinio saugumo reikalavimus naujomis sritimis, paskirti už kibernetinį saugumą atsakingus asmenis organizacijoje, tikslinti reikalavimus pranešti apie kibernetinius incidentus.
Subjektai, kuriems bus taikomas reguliavimas, identifikuojami pagal veiklos, kurioje veikia, sektorius. Pagal KSĮ subjektai bus priskiriami prie esminių ar svarbių subjektų, priklausomai nuo tokių kriterijų kaip dydis, pajamos, veiklos sektorius ir kritiškumas. Siūloma įsteigti esminių ir svarbių subjektų registrą, kurio valdytoja būtų KAM, o tvarkytojas – Nacionalinis kibernetinio saugumo centras (NKSC).
Identifikuojant esminius subjektus įtakos turės ir kiti ES ir Lietuvos teisės aktai, pagal kuriuos įvardijami kiti Lietuvoje svarbūs subjektai. Asmenys taip pat turi teisę pateikti prašymą dėl jų savanoriško įregistravimo registre.
Viena iš pagrindinių KSĮ sudedamųjų dalių – didesnė vadovų atsakomybė. Organizacijų vadovai turės tiesioginę pareigą užtikrinti kibernetinio saugumo reikalavimų įgyvendinimą savo organizacijoje.
Siekiama, kad organizacijos vadovybė turėtų daugiau kibernetinio saugumo žinių, o visi darbuotojai turėtų įgūdžių ir gebėjimų, reikalingų kibernetiniam saugumui gerinti. Todėl patys vadovai turės pareigą dalyvauti kibernetinio saugumo mokymuose ir užtikrinti darbuotojų nuolatinį švietimą kibernetinio saugumo srityje.
KSĮ įpareigoja reguliuojamus kibernetinio saugumo subjektus informuoti NKSC apie organizacijose įvykusius didelius kibernetinius incidentus, taip pat apie kitus, kurie gali daryti poveikį organizacijai, kitiems subjektams ar pačiai valstybei.
KSĮ pažeidimo atveju bus nustatyti 3 pažeidimų lygiai: pavojingi, vidutinio pavojingumo ir lengvi. Nustačius vieną iš šių pažeidimų, NKSC turi teisę taikyti vieną iš priemonių: įspėjimas, administracinė bauda, veiklos sustabdymas, nurodymai ar vadovo nušalinimas.
Pabrėžtina, kad už kibernetinį saugumą visų pirma atsakingos pačios organizacijos, t.y. kibernetinio saugumo subjektai. Įsigaliojus šiai direktyvai NKSC toliau bus pagrindinė kibernetinę saugumo politiką įgyvendinanti institucija, kuri padės organizacijoms įgyti žinių kaip užkardyti kibernetines grėsmes ir valdyti incidentus. Savo vaidmenį taip pat vaidins ir Nacionalinis krizių valdymo centras. Jei nutiks kibernetinė krizė – visų atsakingų institucijų veiklos organizavimas vyks pagal Krizių valdymo ir civilinės saugos įstatymą.
Tikimasi, kad įstatymo pakeitimas bus priimtas Seime pavasarinio sesijoje ir direktyvos perkėlimo darbus bus galima pabaigti iki 2024 m. spalio 17 d.
