InstitucijosTech+Law

TIS2 direktyvos perkėlimas į nacionalinę teisę: kokie pokyčiai nusimato kibernetinio saugumo srityje?

Siekiant stiprinti kibernetinį saugumą bei didinti atsparumą kibernetinio saugumo grėsmėms Europos Sąjungos mastu, buvo priimta Tinklų ir informacinių sistemų direktyva TIS2 (angl. Network and Information Security Directive – NIS2). Direktyva, kurios nuostatas valstybės narės turi perkelti į nacionalinę teisę iki 2024 metų spalio 17 dienos, siekiama atnaujinti ir plėsti ankstesnės TIS direktyvos nuostatas, atsižvelgiant į besikeičiančius kibernetinio saugumo iššūkius ir grėsmes, pagerinti kritinės infrastruktūros apsaugą, sustiprinti valstybių narių bendradarbiavimą bei skatinti efektyvesnį informacijos dalijimąsi tarp viešojo ir privataus sektorių. Atitinkamai Lietuvoje šių metų gegužę buvo registruotas Kibernetinio saugumo įstatymo pakeitimo projektas, kuriuo bus perkeliamos TIS2 direktyvos nuostatos.

Kibernetinio saugumo subjektai

Vienas esminių Kibernetinio saugumo įstatymo pakeitimų – įtrauktos kibernetinio saugumo subjektų rūšys, kurios skirstomos į esminių ir svarbių subjektų kategorijas. Kibernetinio saugumo subjektai, atitinkantys įstatyme numatytus kriterijus, turės būti registruojami Kibernetinio saugumo subjektų registre. Nors įstatyme keliami reikalavimai tiek esminiams, tiek svarbiems subjektams iš esmės yra tie patys, didžiausias dėmesys tiek priežiūros, tiek pagalbos prasme bus skiriamas esminiams subjektams.

Kibernetinio saugumo įstatymo projekte numatyti konkretūs paslaugų sektoriai, kurie laikomi ypatingos svarbos sektoriais. Tarp jų yra energetika, transportas, bankininkystė, finansų rinkų, infrastruktūros objektai, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, informacinių ir ryšių technologijų paslaugų valdymas (verslas verslui), viešasis administravimas ir kosmosas. Be to, prie itin svarbių sektorių priskiriami ir pašto paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba ir platinimas, maisto gamyba, perdirbimas ir platinimas, gamyba, informacinės visuomenės paslaugos ir moksliniai tyrimai.

Minėti sektoriai tam, kad būtų pripažinti kibernetinio saugumo subjektais, turės atitikti bent vieną iš bendrųjų (objektyviųjų) arba specialiųjų (vertinamojo pobūdžio) Kibernetinio saugumo įstatyme numatytų identifikavimo kriterijų. Tiesa, pareigos, numatytos Kibernetinio saugumo subjektams, pagal numatytą įstatymo pakeitimo projektą, kils tik nuo jų įregistravimo Kibernetinio saugumo subjektų registre.

Kibernetinio saugumo subjektų registras

Kaip jau minėta, naujas Kibernetinio saugumo įstatymo projektas numato naują Kibernetinio saugumo subjektų registrą, kuris bus prižiūrimas Nacionalinio kibernetinio saugumo centro. Pagal įstatymo projekte numatytas nuostatas, visi subjektai, kurie atitinka įstatyme numatytus kriterijus, turės būti registruojami šiame registre.

Registruojant kibernetinio saugumo subjektus, bus tvarkomi tokie duomenys kaip juridinio asmens pavadinimas, kodas, teisinis statusas, ekonominės veiklos forma, pagrindinės buveinės adresas bei kontaktiniai duomenys. Jei subjektas yra fizinis asmuo, registre bus tvarkomi fizinio asmens vardas, pavardė, asmens kodas ir veiklos vykdymo adresas. Taip pat bus registruojami šie duomenys: subjektų teikiamos paslaugos, naudojami IP adresai, veiklos sektoriai ir naudojamos tinklų bei informacinės sistemos.

Subjektai, atitinkantys identifikavimo kriterijus, turės pateikti reikalingus duomenis Kibernetinio saugumo informacinio tinklo duomenų tvarkytojui, tvarkytojas registruos ir išregistruos subjektus pagal nustatytą tvarką. Šiame procese dalyvaus ir kitos atsakingos institucijos. Be to, subjektams numatyta teisė skųsti sprendimą juos registruoti arba išregistruoti iš registro.

Už kibernetinį saugumą atsakingi asmenys

Naujasis Kibernetinio saugumo įstatymo projektas numato, kad kibernetinio saugumo subjekto vadovas ar jo įgaliotas asmuo privalo paskirti kibernetinio saugumo vadovą, atsakingą už įstatymo reikalavimų įgyvendinimą ir kitas su kibernetiniu saugumu susijusias funkcijas. Taip pat įstatymo projektas numato ir būtiną paskirti saugos įgaliotinį, kuris rūpinsis konkrečių tinklų ir informacinių sistemų atitiktimi nustatytiems reikalavimams.

Numatyta, kad kibernetinio saugumo vadovas gali vykdyti saugos įgaliotinio funkcijas ir būti atsakingas už kelių subjektų reikalavimų įgyvendinimą. Subjektai gali įsigyti paslaugas iš išorinių tiekėjų, kurie vykdys už kibernetinį saugumą atsakingų asmenų funkcijas.

Už kibernetinį saugumą atsakingi asmenys turi būti nepriekaištingos reputacijos, neturėti administracinių nuobaudų už teisės aktų pažeidimus ir turėti bent dvejų metų patirtį ar atitinkamą kvalifikaciją kibernetinio saugumo srityje. Fiziniai asmenys, veikiantys kaip kibernetinio saugumo subjektai, šių reikalavimų neturės laikytis.

Pranešimai apie kibernetinius incidentus

Įstatymo projekte konkretizuota ir pranešimų apie kibernetinius incidentus tvarka. Numatyta, jog kibernetinio saugumo subjektai privalės pranešti apie didelius kibernetinius incidentus, darančius poveikį subjektų veiklai ir teikiamoms paslaugoms. Dideliu kibernetiniu incidentu laikomi tie atvejai, kai dėl jų patiriami dideli paslaugų sutrikimai arba finansiniai nuostoliai arba kai sukeliama didelė turtinė arba neturtinė žala kitiems asmenims.

Pranešimai apie didelį kibernetinį incidentą turi būti pateikiami keliais etapais: ankstyvasis perspėjimas per 24 valandas, detalesnis pranešimas per 72 valandas, tarpinė ataskaita Nacionalinio kibernetinio saugumo centro prašymu ir galutinė ataskaita per mėnesį. Šiose ataskaitose turi būti pateikiama informacija apie incidento priežastis, poveikį ir taikomas priemones.

Poveikis dabartiniam reguliavimui

Apibendrinant, TIS2 direktyvos integracija į nacionalinę teisę turės reikšmingą poveikį siekiant sustiprinti šalies kibernetinio saugumo infrastruktūrą ir užtikrinti efektyvesnį bendradarbiavimą tarp įvairių sektorių. Numatytos naujovės padės geriau apsaugoti kritinę infrastruktūrą, padidins subjektų atsakomybę kibernetinio saugumo srityje ir pagerins kibernetinių incidentų valdymo procedūras.

Reikia pažymėti, kad dabar galiojantis Kibernetinio saugumo įstatymas, siekiant įgyvendinti naująją TIS2 direktyvą, bus iš esmės keičiamas. Tai reiškia, kad atsiras daug naujų pareigų subjektams, įskaitant griežtesnius kibernetinio saugumo valdymo ir pranešimų apie incidentus procedūrų reikalavimus. Šios permainos leis ne tik geriau apsaugoti svarbią infrastruktūrą, bet ir stiprins pasitikėjimą viešojo bei privataus sektorių teikiamomis paslaugomis.

Tekstą parengė advokato padėjėja Gabrielė Šapkauskaitė, advokatų kontora Glimstedt

Back to top button