Nauji kibernetinio saugumo reikalavimai ir įgyvendinimo terminai
Nauji kibernetinio saugumo reikalavimai ir įgyvendinimas: ką apie tai privalu žinoti įmonėms?
Lietuvoje šį balandį įsigalios dokumentas, perkeliantis Europos Sąjungos direktyvos TIS2/NIS2 taisykles į mūsų šalies nacionalinę teisę.
Direktyva nustato, kaip įmonės ir valstybinės institucijos, veikiančios Lietuvoje ir kitose Europos Sąjungos šalyse – narėse turi rūpintis IT saugumu ir pasiruošti galimiems pavojams internete.
Kam ši direktyva taikoma?
Nauji kibernetinio saugumo reikalavimai galioja svarbiausioms įmonėms ir organizacijoms, kurios dirba tokiuose sektoriuose kaip:
- Energijos tiekimas (elektra, dujos, nafta);
- Transportas (oro, geležinkelių, vandens, kelių);
- Bankai ir finansų įstaigos;
- Ligoninės, poliklinikos, klinikos, vaistinės;
- Vandens tiekimas ir nuotekų tvarkymas;
- Interneto ir duomenų centrų paslaugos;
- Valstybės institucijos, savivaldybės;
- Kosmoso technologijos (pvz. palydovų valdymas);
- Gynybos ir teisėsaugos institucijos (policija, kariuomenė);
- Pramonė (farmacija, chemijos gamyba, maisto pramonė).
Šios taisyklės taip pat taikomos visoms įmonėms, kurios:
- Turi daugiau nei 50 darbuotojų;
- Jų metinė apyvarta viršija 10 mln. Eur.
Kokios baudos gresia už taisyklių nesilaikymą?
Jei įmonė nevykdys reikalavimų, numatytos baudos:
- Labai svarbioms įmonėms – iki 10 mln. eurų arba 2% metinių pajamų;
- Kitoms svarbioms įmonėms – iki 7 mln. eurų arba 1,4% metinių pajamų;
- valstybinėms įstaigoms – iki 60 000 eurų (jei tai – esminė institucija) arba 30 000 eurų (jei mažiau svarbi institucija);
- Priklausomai nuo pažeidimo lygio, bauda gali siekti iki 100%.
Kada reikia įgyvendinti reikalavimus?
Įmonės ir organizacijos turi laikytis šių terminų:
- Organizaciniai reikalavimai (pvz., politikos nustatymas, procedūros, darbuotojų mokymai) turi būti įgyvendinti per 12 mėnesių nuo organizacijos įtraukimo į kibernetinio saugumo subjektų registrą.
- Techniniai reikalavimai (pvz., IT sistemų apsauga, incidentų valdymo priemonės) turi būti įgyvendinti per 24 mėnesius.
Organizaciniai reikalavimai
- Kibernetinio saugumo politika: įmonė turi parengti oficialią kibernetinio saugumo politiką ir reguliariai apmokyti darbuotojus apie saugumo procedūras.
- Rizikos valdymas: reikia nuolat vertinti galimas grėsmes, atlikti rizikos analizes ir parengti veiksmų planus grėsmių mažinimui.
- Veiklos tęstinumo planas: būtina turėti planą, kaip atkurti veiklą po incidentų ir užtikrinti duomenų atsargines kopijas.
- Prieigos kontrolė: reikia apriboti darbuotojų prieigą prie duomenų ir naudoti dviejų veiksnių autentifikaciją (MFA).
- Incidentų valdymas: įmonė turi turėti aiškų reagavimo į incidentus planą, organizuoti simuliacijas ir naudoti grėsmių aptikimo sistemas.
Techniniai reikalavimai
- IT turto inventorizacija: reikia žinoti, kokį IT turtą turi įmonė ir reguliariai jį stebėti.
- IT infrastruktūros valdymas: turi būti užtikrintas centralizuotas įrenginių valdymas ir sistemų atnaujinimas.
- Pažeidžiamumų testavimas: būtina reguliariai atlikti sistemų saugumo patikras ir automatizuotus skenavimus.
- Grėsmių aptikimo sistemos: diegiamos technologijos, kurios stebi ir aptinka kibernetines grėsmes (pvz., EDR, XDR, SIEM).
- Duomenų atsarginių kopijų valdymas: reikia reguliariai daryti atsargines kopijas ir tikrinti jų veikimą.
- Duomenų šifravimas: svarbu užšifruoti konfidencialius duomenis ir centralizuotai valdyti šifravimo raktus.
- Prieigos ribojimas: trečiųjų šalių prieiga turi būti griežtai kontroliuojama.
Kaip reikia reaguoti į kibernetinius incidentus?
Jeigu įmonė patiria kibernetinį incidentą (pvz. įvyko duomenų nutekėjimas, įsilaužimas į sistemas), privaloma veikti pagal šiuos terminus:
- 24 val. – pateikti ankstyvą perspėjimą atsakingoms institucijoms.
- 72 val. – atlikti pirminį incidento rimtumo ir jo poveikio vertinimą.
- 30 dienų – pateikti išsamų pranešimą su visais tyrimo duomenimis, įskaitant grėsmės pobūdį ir taikytas apsaugos priemones.
Mūsų komandoje „Kibernetinis spektras” dirba patyrę specialistai. Įmonėms siūlome įvairias paslaugas:
19 kovo, 2025
