Lapkričio 6 d. Vyriausybė patvirtino dokumentus, kurie detalizuoja, kaip bus įgyvendintas šių metų spalio mėnesį įsigaliojęs naujasis Kibernetinio saugumo įstatymas (KSĮ), kuriuo į nacionalinę teisę buvo perkeltos pagrindinės Europos Sąjungos Tinklų ir informacinių sistemų (TIS 2) Direktyvos nuostatos.
Vyriausybės patvirtinti dokumentai apima naujus Kibernetinio saugumo reikalavimus, Nacionalinį kibernetinių incidentų valdymo planą ir specialiuosius reikalavimus, kurie papildo KSĮ esančius bendruosius reikalavimus, pagal kuriuos organizacijos bus įtraukiamos į kibernetinių saugumo subjektų registrą.
Nacionalinis kibernetinio saugumo centras (NKSC) paaiškina, ką reiškia naujos patvirtintos taisyklės ir kokie pokyčiai laukia būsimų kibernetinio saugumo subjektų.
Kas taps kibernetinio saugumo subjektais?
KSĮ yra išskiriamos dvi subjektų rūšys – esminiai ir svarbūs kibernetinio saugumo subjektai. Visi jie bus įtraukti į Kibernetinio saugumo subjektų registrą. Nusakyti, kuriai subjektų rūšiai organizacija yra priskiriama, pasitelkiami bendrieji ir specialieji kriterijai. Bendrieji kriterijai yra apibrėžiami dydžio, pajamų, poveikio, paslaugos rūšies, svarbos parametrais, o specialieji kriterijai yra naudojami identifikuojant subjektus, kurie yra vieninteliai paslaugos tiekėjai arba kai paslaugų teikimo sutrikimas galėtų turėti reikšmingų pasekmių visuomenės saugumui.
„Organizacijos įtraukimas į registrą jai reiškia ne tik prievolę įgyvendinti Kibernetinio saugumo įstatyme nurodytus reikalavimus, bet ir visapusišką Nacionalinio kibernetinio saugumo centro paramą užkardant kibernetines grėsmes, prieigą prie įvairių įrankių, paslaugų ir paramą stiprinant savo kibernetinio saugumo kompetencijas“, – sako NKSC direktoriaus pavaduotojas Antanas Aleknavičius.
Už subjektų įtraukimą į registrą yra atsakingas NKSC. Jis, remdamasis valstybės registrais ir kitais valstybės informacinėse sistemose esančiais duomenimis, atrinks potencialius kibernetinio saugumo subjektus, kurie atitinka bendruosius ar specialiuosius kriterijus. Šie subjektai bus tiesiogiai informuoti apie jų pirminį identifikavimą, o vėliau – ir apie įtraukimą į registrą. Organizacijos jau dabar gali pasitikrinti apie savo patekimo į registrą tikimybę NKSC interneto svetainėje adresu: https://www.nksc.lt/kssregistras/
Registravimo procesą NKSC planuoja užbaigti iki 2025 balandžio 17 d., tuomet organizacijos privalės pradėti diegti geresnę prevenciją užtikrinančias kibernetinio saugumo priemones.
Kibernetinio saugumo subjektų laukia nauji reikalavimai
Siekiant užtikrinti bendrą aukštą kibernetinio saugumo lygį bei padidinti subjektų atsparumą esamoms ir ateities kibernetinėms grėsmėms, buvo atnaujinti iki šiol galioję organizaciniai ir techniniai kibernetinio saugumo reikalavimai. Pagal naujuosius kibernetinio saugumo reikalavimus, nuo šiol už šių reikalavimų įgyvendinimą yra tiesiogiai atsakingas organizacijos vadovas, taip pat organizacijos turės pasirūpinti už kibernetinį saugumą atsakingų asmenų paskyrimu. Subjektai turės griežčiau vykdyti tiekimo grandinės saugumo užtikrinimą, taikyti kriptografines saugos priemones ir fizinės prieigos kontrolę, žinoti ir vykdyti griežtesnę savo IT turto kontrolę, naudoti kelių veiksnių tapatumo nustatymo priemones.
Naujųjų kibernetinio saugumo reikalavimų įgyvendinimui yra taikomas 12 mėn., o tam tikriems techniniams reikalavimams įgyvendinti – 24 mėn. pereinamasis laikotarpis nuo subjekto įtraukimo į registrą pradžios.
Patvirtintas naujasis Nacionalinis kibernetinių incidentų valdymo planas
Vyriausybė patvirtino ir naują Nacionalinį kibernetinių incidentų valdymo planą, pagal kurį keičiasi incidentų klasifikavimas, pranešimo terminai ir būdai.
Visi incidentai nuo šiol yra skirstomi į didelius, nedidelius ir vos neįvykusius incidentus.
Dideliu incidentu yra laikomas toks įvykis, kurio metu subjektas patiria didelių paslaugų teikimo sutrikimų arba finansiniai nuostoliai siekia daugiau nei 0,5 mln. eur arba 5 proc. praėjusių finansinių metų apyvartos, arba incidentas gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą.
Pagal naująjį planą, apie didelį kibernetinį incidentą kibernetinio saugumo subjektai NKSC privalės pranešti per 24 val., o per 72 val. pateikti išsamų incidento pranešimą. Apie nedidelį kibernetinį incidentą informaciją pateikti reikės per 72 val. Incidento valdymas baigiamas, kai organizacija pateikia galutinę ataskaitą (per 1 mėnesį nuo incidento registravimo).
Kibernetinio saugumo subjektai informaciją apie kibernetinius incidentus NKSC turės teikti privalomai, o kitos organizacijos – tokią informaciją gali pateikti savanoriškai.
Informaciją apie kibernetinius incidentus subjektai NKSC galės pranešti įprastais būdais (el. paštu, internetinėje NKSC svetainėje, telefonu), tačiau NKSC jau pradėjo kurti naują centralizuotą Nacionalinę kibernetinių incidentų valdymo platformą. Ji palengvins ir automatizuos informacijos pateikimą, o ateityje taps pagrindiniu informacijos apie kibernetinius incidentus pateikimo kanalu.