Ką turi žinoti įmonių vadovai apie atnaujintą Kibernetinio saugumo įstatymą?
Ne visi Lietuvos įmonių vadovai žino, kad šalyje galioja Kibernetinio saugumo įstatymas bei jį papildanti TIS2 direktyva. Nežinojimas nuo atsakomybės neatleidžia, todėl vykdome šviečiamąją misiją – siekiame apsaugoti jūsų įmonių reputaciją, finansus nuo kibernetinių atakų ir galimų baudų už reikalavimų nesilaikymą.
Kas vyksta dabar?
Nacionalinis kibernetinio saugumo centras (NKSC) prie LR Krašto apsaugos ministerijos iki 2025 m. balandžio 17 d. planavo nustatyti, kurios įmonės patenka į kibernetinio saugumo subjektų sąrašą.
Teigiama, kad vertinama įvairi informacija – iš valstybės registrų, institucijų, įmonių. Tikrinama, ar veikla atitinka įstatyme nustatytus kriterijus.
Jeigu jūsų įmonė bus įtraukta į sąrašą, artimiausiu metu gausite oficialų pranešimą. Jei jo negavote, informaciją galėsite pasitikrinti Kibernetinio saugumo subjektų registre (kai tik jis pradės veikti) – www.nksc.lt/kssregistras.
Ką svarbu padaryti įmonės vadovui?
- Įsivertinti, ar įstatymas jums taikomas
Jei įmonė yra vidutinė ar didelė ir veikia svarbiuose sektoriuose – tikėtina, kad turėsite atitikti įstatymo reikalavimus. Mažoms įmonėms tai taikoma tik išimtiniais atvejais (pvz., kai yra vieninteliai paslaugų teikėjai). - Ruoštis jau dabar
Priežiūra, ar laikotės reikalavimų, gali prasidėti jau šiemet. Ankstyvas pasiruošimas padės efektyviau paskirstyti išteklius ir pasitelkti tinkamus specialistus. - Suburti komandą įgyvendinimui
Komandoje turėtų būti specialistų, atsakingų už fizinę apsaugą, teisę, atitiktį ir mokymus. Taip pat būtina paskirti kibernetinio saugumo vadovą (CISO). - Formuoti saugumo kultūrą
Įstatymas įpareigoja reguliariai organizuoti kibernetinio saugumo mokymus visiems darbuotojams. Vadovai turi juose dalyvauti bent kartą per 2 metus. - Užtikrinti tiekimo grandinės saugumą
Įmonės turės vertinti savo tiekėjų ir partnerių kibernetinio saugumo lygį. Net jei pati įmonė nėra tiesiogiai reguliuojama, dalyvavimas tiekimo grandinėje gali įpareigoti laikytis reikalavimų.
Kas gresia už pažeidimus?
NKSC gali taikyti poveikio priemones: laikinai nušalinti vadovą, sustabdyti veiklą ar skirti baudas iki 10 mln. eurų arba iki 2 proc. metinės apyvartos.
Augančios grėsmės
2023–2024 m. Europoje fiksuojamas nuolatinis kibernetinių atakų augimas. Jos darosi vis sudėtingesnės ir pavojingesnės – įspėja LR Krašto apsaugos ministerija.
Dažniausi incidentai:
- Paslaugų trikdymo atakos (DDoS)
- „Ransomware“ – duomenų užšifravimas ir išpirkos reikalavimas
- Duomenų vagystės
- „Phishing“ (apgaulės būdu išgaunama informacija)
- Tiekimo grandinės pažeidimai.
Piktavalių taikiniais vis dažniau tampa mažos ir vidutinės įmonės, viešasis sektorius, o dėl geopolitinių įtampų – ir kritinė infrastruktūra.
Reikia pagalbos?
Konsultuokitės su mūsų įmonės „Kibernetinis spektras“ ekspertais – kontaktai nurodyti svetainėje.
22 balandžio, 2025
