Sparčiai augančios kibernetinės grėsmės verčia įmones visoje Europoje permąstyti savo saugumo standartus. Skaitmeninėje eroje, kai duomenys, infrastruktūra ir paslaugos yra neatsiejama kasdienės veiklos dalis, kibernetinis saugumas tampa ne pasirinkimu, o būtinybe. Į tai reaguodama Europos Sąjunga priėmė atnaujintą kibernetinio saugumo direktyvą – NIS2 (arba TIS2), kuri į Lietuvos teisę perkeltas priėmus Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 pakeitimo įstatymą (toliau – Įstatymas), kuris įsigaliojo nuo 2024 m. spalio 18 d. Verslui tai reiškia ne tik naujus reikalavimus, bet ir didesnę ats takomybę.

Pagrindiniai kriterijai, kuriais remiantis galima nustatyti, ar įmonė patenka į NIS2 direktyvos taikymo sritį, yra veikla atitinkamame sektoriuje (veiklos kriterijus) bei įmonės dydis (ekonominis kriterijus). Veikla atitinkamame sektoriuje reiškia, kad jeigu įmonė veikia tokiuose sektoriuose kaip energetika, transportas (oro, vandens, kelių), bankininkystė, finansų rinkų infrastruktūra, sveikatos priežiūra, geriamojo vandens tiekimas, nuotekų tvarkymas, skaitmeninė infrastruktūra, informacinių ryšių ir technologijų (IRT) paslaugos, viešasis administravimas ar net kosmoso sritis – ji gali būti priskirta prie NIS2 direktyvos taikymo subjektų. Be to, reikalavimai gali būti taikomi ir įmonėms, kurios veikia pašto ir kurjerių srityje, teikia skaitmenines paslaugas, gamina ar platina chemines medžiagas, užsiima maisto gamyba, perdirbimu ar platinimu, gamyba plačiąja prasme, atliekų tvarkymu arba vykdo mokslinius tyrimus. Įmonės dydis Lietuvoje nustatinėjamas vadovaujantis Lietuvos Respublikos smulkaus ir vidutinio verslo plėtros įstatyme įtvirtintomis sąlygomis ir tiesiogiai Įstatyme nustatytais kriterijais dėl pajamų konkrečiame sektoriuje.

Taigi tik Įstatyme nustatytus kriterijus atitinkantys subjektai gali būti pripažinti kibernetinio saugumo subjektais. Ypač svarbu ir tai, kad kibernetinio saugumo subjektai įgyja pareigas, nustatytas kibernetinio saugumo subjektams, tik nuo jų įregistravimo Kibernetinio saugumo informacinėje sistemoje. Dėl šios priežasties yra ypatingai svarbus tikslus ir teisingas kibernetinio saugumo subjektų identifikavimas. 

Įstatyme yra numatyta, kad kibernetinio saugumo subjektas išregistruojamas iš Kibernetinio saugumo informacinės sistemos per 20 darbo dienų nuo dienos, kai Kibernetinio saugumo informacinės sistemos duomenų tvarkytojas gauna informacijos, kad kibernetinio saugumo subjektas nebeatitinka nustatytų kriterijų. Taigi visi suinteresuoti subjektai, kurie buvo įregistruoti Kibernetinio saugumo informacinėje sistemoje, turėtų įsivertinti jų įtraukimo pagrįstumą, kadangi kibernetinio saugumo subjekto statuso įgijimas reikalaus ženklių finansinių išteklių nustatytų reikalavimų įgyvendinimui. Nustačius tai, kad sprendimas juos registruoti Kibernetinio saugumo informacinėje sistemoje yra nepagrįstas, subjektai turi teisę skųsti sprendimą Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.   

Į Kibernetinio saugumo subjektų registrą patekę kibernetinio saugumo subjektai nustatytus kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėn. Svarbu tai, kad Lietuvos Respublikos Vyriausybė yra patvirtinusi naujos redakcijos Kibernetinio saugumo reikalavimų aprašą, kuriame numatyta, kad tam tikri nustatyti techniniai kibernetinio saugumo reikalavimai turi būti įgyvendinti ne per 12 mėn. terminą, o per 24 mėn. terminą.

Kibernetinio saugumo subjektai privalės įgyvendinti kompleksines kibernetinio saugumo priemones: atlikti rizikos vertinimą, turėti incidentų valdymo planus, užtikrinti veiklos tęstinumą ir tiekimo grandinės saugumą, įdiegti saugią sistemų priežiūrą, vykdyti darbuotojų mokymus, taikyti prieigos kontrolę, naudoti šifravimą ir kitas technologines bei organizacines priemones. Tai tik dalis priemonių, kurias subjektai turės įgyvendinti. Be to, kiekvienas kibernetinio saugumo subjektas turės paskirti kibernetinio saugumo vadovą, atsakingą už nustatytų reikalavimų įgyvendinimą. Šiai pareigybei Įstatymas tiesiogiai nustato reputacijos, patirties ir kvalifikacijos reikalavimus. Įstatyme taip pat yra aiškiai įtvirtinama galimybė įsigyti iš tiekėjo paslaugas, kurias teikiant būtų atliekamos kibernetinio saugumo vadovo funkcijos. Taigi kibernetinio saugumo subjektai, kurie neturės žmogiškųjų ar finansinių resursų įdarbinti asmenis atlikti kibernetinio saugumo vadovo funkcijas, turės galimybę pirkti tokias paslaugas iš išorės paslaugų teikėjų.

Svarbu pažymėti, kad NIS2 aiškiai įtvirtina valdymo lygmens atsakomybę – bendrovių vadovai ir valdybos nariai privalo ne tik užtikrinti atitiktį, bet ir aktyviai dalyvauti priimant kibernetinio saugumo sprendimus. Kibernetinis saugumas negali būti patikėtas vien IT skyriui – tai yra visos bendrovės prioritetas. 

Už nustatytų reikalavimų pažeidimą yra numatytos reikšmingos sankcijos. Baudos gali siekti iki 10 mln. eurų. Pagal Įstatymą, priklausomai nuo pažeidimo pobūdžio, gali būti skiriamos baudos, įpareigojimai pašalinti pažeidimus arba veiklos apribojimas. Baudos dydis esminiam subjektui – iki 10 000 000 Eur arba iki 2 procentų juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma didesnė; svarbiam subjektui – iki 7 000 000 Eur arba iki 1,4 procento juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį, atsižvelgiant į tai, kuri suma didesnė; biudžetinei įstaigai, kuri yra esminis subjektas, – iki 1 procento biudžetinės įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 60 000 Eur; biudžetinei įstaigai, kuri yra svarbus subjektas, – iki 0,5 procento biudžetinės įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnė kaip 30 000 Eur.

Taigi NIS2 direktyva ir ją įgyvendinantis Įstatymas žymi esminį posūkį Europos ir nacionaliniu lygmeniu suvokiant kibernetinio saugumo svarbą. Tai – ne vien techninis reguliavimas, bet ir platesnė strateginė kryptis, siekianti užtikrinti visuomenės, verslo ir valstybės atsparumą šiuolaikinėms grėsmėms. Sparčiai kintančiame technologijų pasaulyje kibernetinis saugumas tampa kertiniu pasitikėjimo, stabilumo ir tęstinumo garantu.