Į Kibernetinio saugumo subjektų registrą įtraukti kibernetinio saugumo subjektai privalo užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį kibernetinio saugumo rizikos valdymo priemonėms, nustatytoms:
1) Nauja redakcija išdėstytame Kibernetinio saugumo reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2) Europos Komisijos priimtame ir tiesiogiai taikomame įgyvendinamajame teisė akte. Šis teisės aktas aktualus Kibernetinio saugumo įstatyme išskirtiems specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams, pavyzdžiui, DNS paslaugų teikėjams, aukščiausio lygio domenų vardų registro paslaugas teikiantiems subjektams, debesijos paslaugų teikėjams, duomenų centrų paslaugų teikėjams ir kitiems subjektams, nurodytiems įstatymo 13 str. 3 d. 1 p.
Kibernetinio saugumo reikalavimų apraše nustatyti konkretūs kibernetinio saugumo reikalavimai, kurie apima kibernetinio saugumo politiką, gaires ir procedūras, skirtas užtikrinti organizacijos tinklų ir informacinių sistemų saugumą bei duomenų apsaugą. Tai apima tokias sritis kaip darbuotojų mokymai, veiklos tęstinumo ir incidentų valdymo planai, trečiųjų šalių valdymas ir kt.
Kibernetinio saugumo reikalavimų apraše atitinkamose srityse taip pat nustatyti techniniai reikalavimai, taikomi kibernetinio saugumo subjektams. Šie reikalavimai apima tokias sritis kaip tinklo saugumą, duomenų šifravimą, pažeidžiamumų valdymą ir kt.
Kibernetinio saugumo reikalavimų apraše nustatytiems kibernetinio saugumo reikalavimams atitikti yra nustatytas pereinamasis laikotarpis. Kibernetinio saugumo subjektas nuo patekimo į Kibernetinio saugumo subjektų registrą momento kibernetinio saugumo reikalavimus turės įgyvendinti per 12 mėn., o atitinkamuose Kibernetinio saugumo reikalavimų aprašo punktuose nustatytus techninius kibernetinio saugumo reikalavimus – per 24 mėn. (žr., Kibernetinio saugumo reikalavimų aprašo 71 ir 72 p.).
Specialusis subjektas ir patikimumo užtikrinimo paslaugų teikėjas nuo patekimo į Kibernetinio saugumo subjektų registrą momento, privalės užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį tik Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 nurodytoms kibernetinio saugumo rizikos valdymo priemonėms (žr., Kibernetinio saugumo įstatymo 14 str. 4 d.). Atsižvelgiant į tai, kad Reglamentas (ES) 2024/2690 nenustato pereinamojo laikotarpio terminų, jame nustatyti reikalavimai kibernetinio saugumo rizikos valdymo priemonėms bus privalomi nuo specialiojo subjekto ir patikimumo užtikrinimo paslaugų teikėjo patekimo į Kibernetinio saugumo subjektų registrą momento.
Atkreipiame dėmesį, kad Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 taip pat apibrėžti išsamesni atvejai, kuriais remiantis kibernetinis incidentas laikomas dideliu (žr., Kibernetinio saugumo įstatymo 18 str. 3 d.), todėl specialusis subjektas ir patikimumo užtikrinimo paslaugų teikėjas, pranešdamas apie incidentus, turi laikytis tiek nacionalinių teisės aktų, tiek Reglamento (ES) 2024/2690 reikalavimų.
Europos Sąjungos kibernetinio saugumo agentūra (ENISA) rengia įgyvendinimo gaires, kuriomis siekiama padėti ES valstybėms narėms, specialiesiems subjektams ir patikimumo užtikrinimo paslaugų teikėjams įgyvendinti Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 nustatytus kibernetinio saugumo rizikos valdymo priemonių techninius ir metodinius reikalavimus. Šiose gairėse bus siekiama pateikti:
- papildomus patarimus ir rekomendacijas, į ką atsižvelgti įgyvendinant vieną ar kitą reikalavimą, ir išsamesnius paaiškinimus apie teisės akto tekste vartojamas sąvokas ir terminus;
- įrodymų, kuriais remiantis galima bus įvertinti, ar reikalavimas įvykdytas, pavyzdžius;
- lenteles, kuriose Europos Komisijos įgyvendinimo reglamente nustatyti reikalavimai bus susieti su Europos ir tarptautiniais standartais bei nacionaliniais teisės aktais.
Atnaujinta 2024-11-13