Kibernetinio saugumo įstatymas Lietuvoje: reikalavimai, NIS2 / TIS2 ir KSI
Šiame puslapyje paaiškiname, ką praktiškai reiškia kibernetinio saugumo įstatymas, kokie dažniausi kibernetinio saugumo įstatymo reikalavimai, ir kaip tai siejasi su NIS2, TIS2 ir KSI.
Ką reglamentuoja kibernetinio saugumo įstatymas Lietuvoje?
Kibernetinio saugumo įstatymas Lietuvoje apima pareigas organizacijoms, kurios valdo svarbias paslaugas ar infrastruktūrą: rizikų valdymą, incidentų registravimą ir valdymą, saugumo priemonių diegimą, tiekėjų valdymą ir valdymo (governance) procedūras. Konkrečios taikymo ribos ir pareigos priklauso nuo subjekto kategorijos, veiklos ir rizikos profilio.
NIS2 / TIS2: kaip tai susiję su Lietuva?
NIS2 – ES kibernetinio saugumo direktyva, o vietinis reguliavimas (įskaitant TIS2 kontekstą) dažnai įgyvendinamas per nacionalinius teisės aktus ir priežiūros praktiką. Šis puslapis nėra teisinė konsultacija, tačiau padeda suprasti, kokios kontrolės ir procesai paprastai reikalingi.
Kam taikoma (esminiai ir svarbūs subjektai)
Tipiškai reikalavimai taikomi organizacijoms, kurių veikla yra kritiška (pvz., energija, transportas, sveikata, skaitmeninės paslaugos ir pan.) arba kurios teikia svarbias paslaugas didesniu mastu. Jei kyla klausimas, ar jūsų organizacijai taikomi kibernetinio saugumo įstatymo reikalavimai, dažniausiai pradedama nuo veiklos ir tiekimo grandinės analizės.
Kokios priemonės ir paslaugos padeda atitikti reikalavimus?
Praktikoje atitiktis remiasi į tris sluoksnius: (1) valdymas ir atsakomybės, (2) techninės priemonės, (3) nuolatinė stebėsena ir incidentų valdymas.
| Reikalavimų sritis | Ką organizuoti | Tipinė paslauga / priemonė |
|---|---|---|
| Governance (atsakomybės) | politikos, rizikų valdymas, KPI, planai | vCISO / CISO |
| Stebėsena ir incidentai | 24/7 aptikimas, eskalavimas, reagavimas | SOC paslaugos (su SOAR) |
| Žmonės ir mokymai | phishing, incidentų pranešimas, higiena | Kibernetinio saugumo mokymai |
Papildomas kontekstas: /paslaugos/kibernetinis-saugumas/
Ryšys su NIS2 / TIS2 / KSI (be teisinių per-claim’ų)
NIS2 (ir su ja siejami nacionaliniai reikalavimai, įskaitant KSI interpretacijas) paprastai reikalauja ne vien dokumentų, bet ir realiai veikiančių procesų: rizikų valdymo, įvykių stebėsenos, incidentų registravimo ir tiekėjų kontrolės. Verta turėti aiškų atsakingą asmenį (vCISO/CISO) ir techninį 24/7 sluoksnį (SOC).
DUK
Kas yra kibernetinio saugumo įstatymas?
Kibernetinio saugumo įstatymas apibrėžia pareigas kibernetinio saugumo srityje: rizikų valdymą, incidentų valdymą, priemonių taikymą ir atsakomybes.
Kokie yra kibernetinio saugumo įstatymo reikalavimai?
Dažniausiai – procesai ir priemonės: rizikų vertinimas, incidentų registravimas, stebėsena, tiekėjų valdymas, mokymai ir dokumentuotos politikos.
Kaip NIS2 susijusi su Lietuva?
NIS2 yra ES direktyva, kurios reikalavimai įgyvendinami per nacionalinius teisės aktus ir priežiūros praktiką Lietuvoje.
Kas yra KSI ir kodėl jis minimas atitikties kontekste?
KSI šiame kontekste naudojamas kaip praktinis atitikties ir kontrolės priemonių „rėmas“ – svarbu turėti tiek valdymą, tiek techninį stebėjimą.
Kokios paslaugos padeda atitikti reikalavimus?
Dažniausiai derinamas vCISO/CISO (valdymas) ir SOC 24/7 (stebėsena), taip pat kibernetinio saugumo mokymai.
Ar šis puslapis yra teisinė konsultacija?
Ne. Tai praktinis paaiškinimas, padedantis suprasti kryptis ir pasiruošti veiksmams.