Naujai įsigaliojusios Kibernetinio saugumo įstatymo pataisos ir Tinklų ir informacinių sistemų direktyva TIS2 (angl. Network and Information Security Directive – NIS2) baugina organizacijas naujais įsipareigojimais, kurie pareikalaus dar griežtesnio kibernetinio saugumo vertinimo. „KPMG Baltics“ atstovas Jonas Kupinas atkreipia dėmesį, kad įmonėms svarbu nieko nelaukti ir jau dabar įsivertinti ar joms taikomi nauji įstatymo reikalavimai bei pradėti atlikti reikšmingus namų darbus.
Pasak KPMG Technologijų konsultacijų skyriaus vadovo J. Kupino, kibernetinio saugumo subjektų registras dar nėra sudarytas ir jame nėra oficialiai registruotos įmonės, kurioms bus taikomas kibernetinio saugumo įstatymas. Tačiau Nacionalinis kibernetinio saugumo centras savo interneto svetainėje jau suteikė galimybę pasitikrinti ar įmonė planuojama bus įtraukta į kibernetinio saugumo subjektų sąrašą. Tačiau netgi šis sąrašas nėra galutinis ir gali būti papildytas.
Pagal įstatymą, nuo registravimo registre pradžios, įmonėms suteikiamas 12 mėnesių laikotarpis, skirtas tiek pasiruošti arba koreguoti veiksmų planą, pasirengti politikos dokumentus, gaires, tiek pradėti jas taikyti, vykdant rizikos vertinimus ir atliekant auditus.
Kibernetinio saugumo reikalavimai įmonėms: ką reikės pateikti NKSC?
J. Kupinas atkreipia dėmesį, kad Vyriausybė jau patvirtino naujus kibernetinio saugumo reikalavimus. Remiantis jais yra būtina pasirengti kibernetinio saugumo politiką, incidentų valdymo bei veiklos tęstinumo valdymo planus, rizikos vertinimo ir valdymo tvarką, kitas tvarkas ir planus, o jų įgyvendinimui parengti gaires, procedūras, registrus bei detalesnius dokumentus, kaip formos ar šablonai. Papildomai siekiant įgyvendinti techninius reikalavimus, bei kai kuriems procesams organizacijoms gali reikėti įsidiegti ar pritaikyti jau naudojamą programinę įrangą.
Be to, pagal naujai įsigaliojusį įstatymą ir kibernetinio saugumo reikalavimus, organizacijos taip pat turi būti pasiruošusios informuoti Nacionalinį kibernetinio saugumo centrą (NKSC) apie už kibernetinį saugumą atsakingus asmenis, bei informaciją apie kibernetinio saugumo politikos patvirtinimą, o NKSC paprašius ir pateikti minėtą politiką bei kitus dokumentus.
„Įmonės turės pateikti informaciją apie kibernetinio saugumo politikos dokumentų patvirtinimą, taip pat paskirti už kibernetinį saugumą atsakingus asmenis. Ne mažiau svarbu turėti parengtą, tvarkingą rizikos vertinimo ataskaitą ir rizikos valdymo planą, veiklos tęstinumo plano veiksmingumo išbandymo ir atitikties vertinimo ataskaitas, audito ataskaitą, nes jos privalo būti pateiktos NKSC per 5 dienas to paprašius“, – sako J. Kupinas, pridurdamas, kad NKSC pagal tam tikrą metodiką vertins kiekvieno subjekto ir sektoriaus kibernetinio saugumo pasirengimo lygį.
Jis papildo, kad kiekviena organizacija kasmet turės peržiūrėti jau parengtus politikos dokumentus, atlikti rizikos ir atitikties vertinimą bei ne rečiau negu kas 3 metus atlikti kibernetinio saugumo auditus: „Atkreiptinas dėmesys, kad pastarieji auditai turi būti atliekami sertifikuotų ar NKSC kursus išklausiusių auditorių, kurie privalo būti nepriklausomi ir nešališki, t.y. auditorius negali vertinti organizacijos, kurioje dirba, tinklų ar informacinių sistemos saugos“.
Kibernetinio saugumo reikalavimai taip pat apibrėžia ir minimalius techninius saugumo reikalavimus, tokius kaip reikalavimai informacinių sistemų ir tinklų prieinamumui, žurnalinių įrašų saugojimui, tinklų techninei ir programinei įrangai, segmentavimui ir kt.
Pagrindiniai iššūkiai: tiekimo grandinės sauga ir atsakingi asmenys
KPMG eksperto J. Kupino teigimu, didžiausi iššūkiai laukia tų organizacijų, kurios kibernetiniam saugumui užtikrinti yra skyrusios mažiausiai dėmesio, pvz. nėra įsidiegusios informacijos saugos valdymo sistemos.
„Įmonės turės būti pasiruošusios įtraukti standartines saugos nuostatas į esamas sutartis su IT paslaugų teikėjais ar parengti naujų sutarčių šablonus, pasirūpinti saugos reikalavimais, taip pat numatyti periodinius tokių tiekėjų auditus bei atitikties vertinimus. Be to, kiekviena organizacija privalės paskirti atsakingus asmenis už kibernetinį saugumą, išvengiant interesų konflikto. Tuo tarpu paskirti kibernetinio saugumo vadovai privalės atitikti patirties ir kvalifikacinius reikalavimus – turėti KS srities diplomą, tarptautinį sertifikatą arba būti baigus NKSC mokymus ir išlaikius egzaminą“, – pažymi jis.
Rekomenduojama neatidėlioti
Pasak J. Kupino, įmonėms ir organizacijoms, kurios gali patekti į šį registrą, rekomenduojama neatidėlioti pasiruošimo, nes nuo registracijos suteikiamas tik 12 mėnesių laikotarpis, per kurį privaloma įgyvendinti visus reikalavimus: „svarbu neatidėlioti pasiruošimo, o jau dabar pradėti vertinti, ar joms bus taikomi nauji reikalavimai, atlikti kibernetinio saugumo vertinimus ir įgyvendinti trūkstamas priemones”.
Jis pažymi, kad už kibernetinio saugumo įstatymo reikalavimų nevykdymą įmonėms gali būti skirtos sankcijos – nuo įspėjimų, nurodymų įgyvendinti priemones, nutraukti veiksmus, prievolės viešai informuoti savo klientus, skirti stebėsenos pareigūną iki baudų, kurios gali siekti iki 10 milijonų eurų arba 2 proc. pasaulinės metinės apyvartos.
Visos įmonės turėtų pradėti nuo pirmojo žingsnio – atlikti trūkumų analizę, t.y. kokių reikalavimų įmonės turima kibernetinio saugumo sistema neatitinka – bei pasiruošti trūkumų šalinimo planą. Daugumai organizacijų planui įgyvendinti gali prireikti papildomų finansinių išteklių – reikalingai programinei įrangai, pagalbai rengiant politikas, gaires ir procedūras, samdant auditorius, ar už kibernetinį saugumą atsakingus asmenis.
