2023 m. sausio 16 d. įsigaliojo TIS 2 direktyva (kitaip – Tinklų ir informacinių sistemų direktyva) (angl. NIS 2 Directive), kuria siekiama užtikrinti aukštą bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje, padidinti bendrą kibernetinio saugumo ir atsparumo lygį, užtikrinti įmonių ir įstaigų veiklos tęstinumą.
Advokatų profesinės bendrijos „NEWTON LAW“ advokato padėjėjos Akvilės Laurinaitytės teigimu, nuolat augantis įvairių sričių skaitmeninimas, kintančios kibernetinio saugumo grėsmių aplinkos bei COVID-19 pandemijos metu padažnėję kibernetiniai išpuoliai lėmė poreikį peržiūrėti kibernetinio saugumo politiką Europos Sąjungos lygiu bei įvertinti, ar taikomos priemonės yra pakankamos kibernetiniam saugumui užtikrinti. Į TIS 2 direktyvą buvo perkeltos jos pirmtakės, dar 2016 m. priimtos, TIS 1 direktyvos nuostatos, ją papildant naujais sektoriais, įvedant organizacijos dydžio kriterijų bei 10 aiškių priemonių, kurias organizacijos privalo užtikrinti, įgyvendindamos kibernetinės saugos reikalavimus.
Pažymėtina, kad preliminariais skaičiavimais, į TIS 2 direktyvos taikymo apimtį pateks apie 22 000 Lietuvos subjektų.
Teisininkė atkreipia dėmesį, jog iki šių metų spalio 17 d. TIS 2 direktyvos nuostatos turi būti perkeltos į Lietuvos teisės aktus. Atitinkamai, organizacijos, patenkančios į TIS 2 direktyvos taikymo sritį, raginamos nedelsiant imtis veiksmų ir pradėti kibernetinio saugumo rizikos valdymo priemonių diegimo procesus, kadangi, suėjus minėtam terminui, jos turės atitikti nustatytus kibernetinio saugumo standartus.
TIS 2 direktyvos nuostatos taikytinos šiems kritinę reikšmę ekonomikai ir visuomenei turintiems sektoriams, neatsiejamiems nuo informacinių ir ryšių technologijų, t. y.:
1. Ypatingos svarbos sektoriams – energetikai, transportui, bankininkystei, finansų rinkų infrastruktūros objektams, sveikatos priežiūrai, geriamajam vandeniui, nuotekoms, skaitmeninei infrastruktūrai, IRT paslaugų valdymui (verslas verslui), viešajam administravimui, kosmosui;
2. Kitiems itin svarbiems sektoriams – pašto ir kurjerių paslaugoms, atliekų tvarkymui, cheminių medžiagų gamybai ir platinimui, maisto gamybai, perdirbimui ir platinimui, gamybai (medicinos priemonių, kompiuterių ir elektronikos, elektros įrangos, mašinų ir įrenginių, motorinio ir kito transporto gamybai), skaitmeninių paslaugų teikimui, moksliniams tyrimams.
Bendrai tariant, TIS 2 direktyvoje įtvirtinti reikalavimai taikytini visiems aukščiau nurodytuose sektoriuose veikiantiems privatiems ir viešiesiems subjektams, kurie yra vidutinės ir stambios įmonės ar įstaigos (t. y. kuriose dirba 50 ir daugiau darbuotojų bei kurių metinė apyvarta arba bendras metinis balansas yra 10 mln. Eur ir daugiau). Visgi, TIS 2 direktyvoje numatoma išimčių, kai šios direktyvos nuostatos taikomos, nepaisant organizacijos dydžio (pvz., kritiškai svarbias paslaugas teikiantiems subjektams ir pan.), – nurodo advokato padėjėja.
Organizacijos, kurioms tiesiogiai taikytinos TIS 2 direktyvos nuostatos, privalo imtis tinkamų ir proporcingų techninių, operatyvinių ir organizacinių priemonių, siekiant valdyti tinklų ir informacinių sistemų saugumui kylančią riziką ir užkirsti kelią incidentų poveikiui. Šiam tikslui pasiekti organizacijos turi įgyvendinti TIS 2 direktyvos 21 straipsnyje numatytas kibernetinio saugumo rizikos valdymo priemones, įskaitant rizikos analizę ir informacinių sistemų saugumo politiką, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą, tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumą užtikrinančias priemones ir pan.
Jei organizacijos vykdoma veikla tiesiogiai nepatenka į aukščiau nurodytų sektorių sąrašą, teisininkė Akvilė Laurinaitytė vis tiek rekomenduoja TIS 2 direktyvoje įtvirtintomis kibernetinio saugumo rizikos valdymo priemonėmis vadovautis kaip gairėmis bei apsvarstyti šių priemonių įdiegimo galimybę.
Organizacijoms, kurioms tiesiogiai taikytinos TIS 2 direktyvos nuostatos, taip pat kyla pareiga nedelsiant pranešti Nacionaliniam kibernetinio saugumo centrui apie organizacijose įvykusius didelius kibernetinio saugumo incidentus, dėl kurių jos patyrė arba galėjo patirti didelių paslaugų teikimo sutrikimų, finansinių nuostolių arba dėl kurių buvo paveikti, ar galėjo būti paveikti fiziniai ar juridiniai asmenys, sukeliant jiems didelę turtinę arba neturtinę žalą.
Svarbu paminėti, jog tinkamai ir laiku neįgyvendinus TIS 2 direktyvos reikalavimų, organizacijoms gali būti skiriamos administracinės baudos, t. y. bent 7 000 000 Eur arba bent 1,4 proc. nuo bendros pasaulinės metinės apyvartos (svarbiems subjektams) arba bent 10 000 000 Eur arba bent 2 proc. nuo bendros pasaulinės metinės apyvartos (esminiams subjektams).
Be administracinių baudų organizacijoms skyrimo, dėl netinkamo ar nepakankamo TIS 2 direktyvos nuostatų įgyvendinimo asmeninėn atsakomybėn gali būti patraukti ir įmonės ar įstaigos vadovai ar įgalioti asmenys, įskaitant laikiną draudimą eiti vadovaujančias pareigas.
Taigi, apibendrinant, advokatų profesinės bendrijos „NEWTON LAW“ teisininkė, advokato padėjėja Akvilė Laurinaitytė nurodo pirmuosius veiksmus, kurių šiuo metu turėtų imtis organizacijos:
1. preliminariai įsivertinti, ar organizacija patenka į TIS 2 direktyvos taikymo apimtį, atsižvelgiant į veiklos vykdymą atitinkamame sektoriuje ir organizacijos dydį personalo ir finansiniais aspektais;
2. jei patenkama – peržiūrėti esamas saugumo priemones arba, esant poreikiui, priimti sprendimą dėl naujų kibernetinio saugumo rizikos valdymo priemonių įdiegimo. Šių priemonių įgyvendinimui gali padėti informacinių technologijų specialistai.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866.
Advokatų profesinė bendrija „NEWTON LAW“
Advokato padėjėja Akvilė Laurinaitytė
+370 668 33866