Naujojo kibernetinio saugumo įstatymo svarba Lietuvos organizacijoms
2024-11-05 | Specialisto komentaras
Tobulėjant skaitmeninei aplinkai, auga ir jį lydinčios grėsmės. Šių metų
spalio 18 d. įsigaliojo kibernetinio saugumo įstatymo pakeitimas, kuriuo į
Lietuvos teisę perkeliamos Europos Parlamento ir Tarybos direktyva (TIS 2).
Įvairių sektorių organizacijos, įskaitant draudimo sektorių, susiduria su
dideliais pokyčiais. Šiuo teisės aktu siekiama sustiprinti ypatingos svarbos
infrastruktūros objektų atsparumą kibernetinėms grėsmėms ir įvesti
unifikuotas saugumo priemones.
TIS2 direktyvos esmė ir poveikis
TIS2 (Targeted Intelligence Sharing) direktyva yra platesnės ES kibernetinio
saugumo strategijos dalis, orientuota į valstybių narių bendradarbiavimo ir
keitimosi informacija stiprinimą. Šiuo teisės aktu siekiama užtikrinti, kad
svarbiausi sektoriai, įskaitant finansų ir draudimo, būtų geriau
pasirengusios atlaikyti kibernetinius incidentus ir į juos reaguoti.
LR Kibernetinio saugumo įstatymo pakeitimas, įgyvendinantis TIS2 direktyvos
nuostatas ir liečiantis pirmiausiai ypatingos svarbos sektorius, apima
keletą gyvybiškai svarbių elementų:
-
Ypatingas dėmesys skiriamas incidentų valdymui: organizacijos turi
nedelsdamos pranešti atsakingoms institucijoms (Nacionaliniam kibernetinio
saugumo centrui ir policijai) apie svarbius kibernetinio saugumo
incidentus. Tai apima incidento pobūdžio apibūdinimą, poveikį paslaugoms
ir veiksmus, kurių buvo imtasi rizikai sumažinti.
-
Rizikos valdymo sistema: nuo šiol įmonės privalo įdiegti patikimą rizikos
valdymo sistemą, kuri reguliariai įvertintų jų kibernetinio saugumo
priemones. Kibernetinio saugumo lygiui palaikyti subjektai ne rečiau kaip
kartą per 3 metus turės atlikti kibernetinio saugumo auditą pagal
Nacionalinio kibernetinio saugumo centro (prie Krašto ministerijos)
tvirtinamą kibernetinio saugumo auditų atlikimo metodiką.
-
Griežtesnės nuobaudos už reikalavimų nesilaikymą: naujų taisyklių
nesilaikymas gali užtraukti dideles baudas. Tikslas yra įtikinti
organizacijas skirti daugiau dėmesio kibernetiniam saugumui.
-
Mokymo ir informavimo programos: būtina investuoti į darbuotojų mokymo
programas apie geriausias kibernetinio saugumo praktikas. Informuoti
darbuotojai gali būti pirmoji gynybinė linija nuo kibernetinių grėsmių.
Poveikis draudimo sektoriui
Įgyvendinus TIS2 direktyvą, draudimo sektorius taip pat patenka į
ypatingos svarbos subjektų sąrašą. Štai keletas esminių pasekmių, į kurias
reikia atsižvelgti:
-
Didesnė atskaitomybė ir patikimumas. Atsižvelgdamos į naujus atitikties
reikalavimus, draudimo sektoriaus bendrovės, įskaitant ir draudimo
tarpininkus, kurie patenka į vieną tiekėjų grandinę, turės skirti didelį
dėmesį savo kibernetinio saugumo įsipareigojimams. Šis sugriežtintas
valdymas ne tik didins atsparumą grėsmėms, bet ir turėtų stiprinti
vartotojų pasitikėjimą ir užtikrinti, kad klientai jaustųsi saugiau
patikėdami savo duomenis draudimo sektoriaus dalyviams.
-
Tobulėjantys kibernetinio draudimo produktai. Neabejotinai naujasis
įstatymas didins ir kibernetinio draudimo prieinamumą. Tikėtina, kad
rinkų dalyviams bus siūlomi išsamesni kibernetinio draudimo produktai,
apimantys platesnį incidentų spektrą, įskaitant duomenų pažeidimus ir
išpirkos reikalaujančių programų atakas.
-
Didesnis bendradarbiavimas su technologijų įmonėmis. Draudikai turės
glaudžiai bendradarbiauti su technologijų įmonėmis, kad pagerintų savo
kibernetinio saugumo infrastruktūrą. Šios partnerystės bus labai
svarbios įgyvendinant veiksmingas rizikos valdymo strategijas ir duomenų
apsaugos priemones.
Apibendrinant, nors naujasis kibernetinio saugumo įstatymas kelia iššūkių
organizacijoms, tačiau taip pat suteikia galimybių padidinti atsparumą ir
vartotojų pasitikėjimą, sumažinti rizikas. Teikdamos pirmenybę kibernetiniam
saugumui ir užtikrindamos, kad būtų laikomasi naujų taisyklių, organizacijos
gali ne tik apsaugoti savo veiklą, bet ir prisidėti prie saugesnės
skaitmeninės aplinkos kūrimo visai verslo aplinkai.
LR Kibernetinio saugumo įstatymas nesukuria naujų reikalavimų, lyginant su
tarptautinio ISO 27001 standarto nuostatomis, tačiau sustiprina ir skatina
informacijos saugumui teikti pirmenybę. Didėjant kibernetinių incidentų
grėsmei, IVP Partners jau nuo 2019 m. informacijos saugą tvarko remdamiesi
ISO 27001 standarto reikalavimais ir yra įdiegusi informacijos saugos
valdymo sistemą įmonėje remiantis šio standarto reikalavimais. Taigi
ateityje tikimės dar didesnio dėmesio ir informacijos saugos kultūros
stiprinimo visoje rinkoje.