Lietuva iki š. m. spalio 17 d. į nacionalinę teisę turi persikelti Europos Parlamento ir Tarybos 2022 m. priimtą Tinklų ir informacinių sistemų (TIS2, angl. Network and Information Systems, NIS2) direktyvą. Ja siekiama užtikrinti aukštą bendrą kibernetinio saugumo lygį bei pagerinti gebėjimus pasirengti ir reaguoti į kibernetinius incidentus tose organizacijose, kurios atlieka itin svarbias visuomenei funkcijas. Kaip ir kokios organizacijos turi ruoštis šios direktyvos įgyvendinimui, kokius iššūkius teks įveikti?
Andrius Iškauskas, advokatų profesinės bendrijos „NOOR legal“ partneris ir advokatas, atkreipia dėmesį, kad TIS2 pirmiausia yra prevencinių priemonių teisės aktas. Jo tikslas – sukurti sistemą, kuri užkirstų kelią kibernetiniams incidentams. Kaip BDAR, Dirbtinio intelekto ir Skaitmeninių paslaugų aktai, taip ir TIS2 remiasi subjektų atskaitomybės principu – pirmiausia organizacijos pačios privalo įvertinti, ar joms taikoma TIS2, o taip pat savo techninį ir organizacinį pasirengimą užkirsti kelią kibernetiniams incidentams, o jiems įvykus – galimybes juos suvaldyti.
„Kitaip tariant, vargu ar kokia nors kompetentinga institucija įmonei ar organizacijai iš anksto pasakys, kad pasiruošta gerai. Tačiau, jei įvyks kibernetinis incidentas, gali būti nubaustas, – perspėja A. Iškauskas, „NOOR legal“ Technologijų ir medijos, duomenų apsaugos bei intelektinės nuosavybės grupės vadovas. – Tai, be abejo, palieka nemažai vietos subjektyviam vertinimui ir neaiškumui. Ypač sunku bus pasiruošti įmonėms, kurios neturi dedikuotų kibernetinio saugumo specialistų. Kyla pavojus, kad tai bus padaryta paviršutiniškai ir atmestinai, tik tam, kad būtų užsidėtas paukščiukas.“
Jis atkreipia dėmesį ir į dar vieną, ne teisinį, pasiruošimui svarbų aspektą – direktyvos įgyvendinimui reikalingas lėšas. Apskaičiuota, kad įmonėms, kurios pateks į TIS2 taikymo sritį, keletą pirmųjų metų šios naujos sistemos įdiegimui reikėtų ne daugiau kaip 22% padidinti dabartines IRT saugumo išlaidas, o įmonėms, kuriose jau taikoma dabartinė TIS1 direktyva, – 12%.
Anot „NOOR legal“ Technologijų ir medijos, duomenų apsaugos bei intelektinės nuosavybės grupės vadovo, šiemet vadovams kyla 4 esminės užduotys, kurios susiję su naujo reglamentavimo įgyvendinimu.
Pirma, svarbu suvokti, kad šiai direktyvai įgyvendinti reikalingi sprendimai – komandinis reikalas. Anot jo, nei vieni teisininkai, nei vieni kibernetinio saugumo specialistai to nepadarys, todėl būtina suburti apjungtas pajėgas, kurios įvertintų esamą situaciją ir tinkamai ruoštųsi.
„Antra, labai svarbu įsivertinti, ar ir kokia apimtimi TIS2 taikomas organizacijai. O jei taikomas, kokiam reguliuojamų subjektų ratui esate priskiriami – esminiams ar svarbiems subjektams. Nuo to priklauso pareigos ir atsakomybės, – konstatuoja advokatų kontoros „NOOR legal“ partneris ir advokatas. – Vertinant Krašto apsaugos ministerijos (KAM) viešai skelbiamą informaciją galima spėti, kad KAM drauge su kitomis institucijomis ne tik rengia konkretesnes gaires, kaip nuspręsti, ar esi esminis, ar svarbus subjektas, tačiau ir žada apie tai pranešti kiekvienam tokiam subjektui . Visgi gali būti, kad liks organizacijų, kurios nebus KAM įvertintos ir joms reikės pačioms nuspręsti.“
Jis primena, kad vasarį–kovą KAM planuoja parodyti Kibernetinio saugumo įstatymo pakeitimo projektą, kuriame turėtų būti suguldytos iš TIS2 perkeltos nuostatos. Tuomet gali labiau paaiškėti, kaip konkrečiai Lietuva įgyvendins TIS2.
„Trečia, reikia jau dabar imtis rengti atitikties dokumentus. Vėlgi, priklausimai nuo to, ar organizacija bus esminis subjektas, ar svarbus, dokumentų paketas ir turinys skirsis. Tačiau visi turės turėti vidinius dokumentus ir parengtas procedūras, kurios reglamentuotų rizikos analizę ir incidentų valdymą, veiklos tęstinumą po incidentų, už kibernetinį saugumą atsakingų darbuotojų valdymą ir pan. Tam jau reikia ruoštis. Kaip minėjau, šių dokumentų vieni teisininkai nesukurs, reikia skirtingų specialistų bendradarbiavimo“, – teigia A. Iškauskas.
Nors tikėtina, kad bus pereinamasis laikotarpis, bet jis rekomenduoja neatidėlioti pasirengimo darbų, nes jau ir dabar iš direktyvos galima suprasti esminius reikalavimus ir imtis apie juos galvoti bei kalbėti savo organizacijose.
Ketvirta užduotis vadovams – tiekimo grandinių kontrolė. Tai atskira ir specifinė pareiga.
„Jei jūsų organizacijai bus taikoma TIS2, turėsite įvertinti savo tiekėjus ir užtikrinti jų kibernetinį saugumą, t. y. turėsite reikalauti, kad tiekėjai atitiktų jūsų saugumo standartus, nepaistant to, kad tiekėjams TIS2 tiesiogiai nėra taikoma. Tam jau šiemet verta identifikuoti ir klasifikuoti savo pagrindinius tiekėjus bei pradėti su jais pokalbius apie papildomų priemonių taikymą ir sutarčių atnaujinimą. Tikėtina, kad šie tiekėjai ir patys susirūpins pasirengimu atitikti TIS2, nes antraip jiems bus sudėtinga teikti savo paslaugas“, – pataria „NOOR legal“ Technologijų ir medijos, duomenų apsaugos bei intelektinės nuosavybės grupės vadovas.
A. Iškauskas atkreipia dėmesį, kad akivaizdu, jog jau šiandien yra nemažai įmonių, kurios pateks po TIS2 reguliavimu ir bus esminės. Tai ypatingos svarbos energetikos, finansų, transporto, sveikatos priežiūros, komunalinių paslaugų, skaitmeninės infrastruktūros ir kitos įmonės. Daugumai jų taikoma ir ankstesnė TIS1 direktyva bei Kibernetinio saugumo įstatymas, tačiau TIS2 gerokai išplečia ir detalizuoja pareigas.
„Įmonėms jau tikrai nereikėtų delsti imtis darbų, – tikina advokatų profesinės bendrijos „NOOR legal“ partneris ir advokatas. – Kaip minėjau, KAM žada padėti organizacijoms įvertinti, ar joms taikoma TIS2, o jei taip, ar yra esminės, ar svarbios įmonės.“
Anot, A. Iškausko, tikėtina, kad „pradžia bus klampesnė, nes niekas nežinos, kaip praktikoje priežiūros institucijos aiškins ir taikys naująjį įstatymą, kokius realius reikalavimus kels“. Jis primena, kad taip buvo su BDAR, kurio taikymo praktika nusistovėjo maždaug po poros metų.
„Tikiu, kad ir ES, ir Lietuvos institucijos net ir po spalio 17 d. išleis paaiškinimus konkrečiais klausimais, kurie padės kryptingiau įgyvendinti naujus reikalavimus. Spalio 18 d. siūlau laikyti oficialiu TIS2 startu, kurio rezultatus matysime po 2 metų“, – teigia advokatų kontoros „NOOR legal“ Technologijų ir medijos, duomenų apsaugos bei intelektinės nuosavybės grupės vadovas.
Straipsnis publikuotas „Verslo žinios” portale čia.