Kibernetinis saugumas

Nacionalinio koordinavimo centro (Lietuvos NKC) užduotis Lietuvoje vykdo Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos. Lietuvos NKC yra vienas iš 27 ES nacionalinių koordinavimo centrų, kuris:

• yra viešojo sektoriaus subjektas, apie kurį pranešta Europos Komisijai ir Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centrui (ECCC);
• turi mokslinių tyrimų ir technologinių žinių kibernetinio saugumo srityje arba turi galimybę jomis naudotis;
• vienija Lietuvos kibernetinio saugumo bendruomenę ir veikia kaip bendruomenei skirtas informacinis centras nacionaliniu lygmeniu;
• gali gauti tiesiogines ES dotacijas savo veiklai;
• gali teikti finansinę paramą trečiosioms šalims;
• teikia techninę pagalbą suinteresuotiesiems subjektams – remia juos teikiant paraiškas projektams, kuriuos valdo Kompetencijos centras (pvz., pagal „Skaitmeninės Europos Programos (DIGITAL) darbo programas kibernetinio saugumo srityje).

Lietuvos NKC veikia vadovaudamasis 2021 m. gegužę priimtu Reglamentu (ES) 2021/887, kuriuo siekiama sustiprinti ES lyderystę kibernetinio saugumo srityje.

ECCC yra pagrindinė ES institucija, valdanti finansinę paramą kibernetinio saugumo sričiai iš ES finansavimo programų „Europos horizontas“ (HEP) ir „Skaitmeninės Europos Programa (DIGITAL). ECCC, veikdamas kartu su nacionaliniais koordinavimo centrais, ypatingą dėmesį skirs mažų ir vidutinių įmonių (MVĮ) ir startuolių kibernetinio saugumo stiprinimui ir veiklos plėtojimui.

Apie Lietuvos NKC daugiau informacijos galite rasti čia: https://www.nksc.lt/nkc/.

2021 m. savo veiklą pradėjęs Regioninis kibernetinės gynybos centras (RKGC) tapo sėkminga praktinio bendradarbiavimo su JAV gynybos srityje platforma, kurią papildė Sakartvelas, Ukraina ir Lenkija.

RKGC pagrindiniai veiklos tikslai:

• stiprinti bendradarbiavimą su Jungtinėmis Amerikos Valstijomis, Ukraina, Sakartvelu, Lenkija ir kitais strateginiais Lietuvos partneriais kibernetinio saugumo srityje;
• kartu su partneriais, vykdyti kibernetinių grėsmių analizę;
• organizuoti kibernetinio saugumo ekspertų mokymus;
• vykdyti tarptautinius mokslinius tyrimus kibernetinio saugumo srityje.

Centre suburta tarptautinė ekspertų komanda 2023 m. parengė ataskaitą apie Rusijos karo Ukrainoje metu išmoktas kibernetines pamokas, baigiama rengti studija apie iš Kinijos kylančias kibernetines grėsmes ir planuoja rengti kibernetinių grėsmių vertinimą Baltijos jūros regiono kritinei infrastruktūrai.

Daugiau informacijos apie Regioninio kibernetinės gynybos centro veiklą galite rasti čia: https://www.nksc.lt/rkgc/ataskaitos.html

Valstybinė duomenų apsaugos inspekcija – tirdama asmens duomenų saugumo pažeidimo atvejus,

Lietuvos policija – vykdydama kibernetinių nusikaltimų prevenciją, užkardymą ir tyrimą,

Ryšių reguliavimo tarnyba – siekdama švaresnės kibernetinės erdvės ir saugodama viešųjų elektroninių ryšių paslaugų vartotojų teisę į nepertraukiamą paslaugų teikimą,

Lietuvos kariuomenės Strateginės komunikacijos departamentas – vykdydamas priešiškų informacinių operacijų aptikimą ir neutralizavimą.

Atnaujintas Lietuvos Respublikos kibernetinio saugumo įstatymas  (toliau – Kibernetinio saugumo įstatymas) parengtas siekiant įgyvendinti TIS 2 direktyvą. TIS 2 direktyva nustato priemones, kuriomis siekiama užtikrinti aukštą bendrą kibernetinio saugumo lygį visoje Europos Sąjungoje (toliau – ES). Šią direktyvą visos ES valstybės narės buvo įpareigotos perkelti į nacionalinę teisę iki 2024 m. spalio 17 d.

Atnaujintas Kibernetinio saugumo įstatymas buvo priimtas 2024 m. liepos 11 d. ir  įsigaliojo 2024 m. spalio 18 dieną.

Visa informacija: https://kam.lt/kibernetinio-saugumo-istatymas/

Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d.nutarimas  Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“  išdėstytas aktualia redakcija Lietuvos Respublikos Vyriausybės 2024 m. lapkričio 6 d. nutarimu Nr. 945  (toliau – Vyriausybės nutarimas)

Krašto apsaugos ministerija Vyriausybės nutarimą parengė vadovaudamasi 2024 m. spalio 18 d. įsigaliojusiu atnaujintu Kibernetinio saugumo įstatymu ir siekdama įgyvendinti TIS 2 direktyvą.

Šiuo Vyriausybės nutarimu patvirtinti:

• Nacionalinis kibernetinių incidentų valdymo planas (parengtas vadovaujantis Kibernetinio saugumo įstatymo 7 straipsnio 2 dalies 3 punktu);
• Kibernetinio saugumo subjektų identifikavimo pagal specialiuosius kriterijus metodika (parengtas vadovaujantis Kibernetinio saugumo įstatymo 11 straipsnio 6 dalimi);
• Kibernetinio saugumo reikalavimų aprašas (parengtas vadovaujantis Kibernetinio saugumo įstatymo 14 straipsnio 1 dalies 1 punktu);
• Vykdymo užtikrinimo priemonių taikymo kibernetinio saugumo subjektams tvarkos aprašas (parengtas atsižvelgiant į Kibernetinio saugumo įstatymo 28 straipsnio 6 dalį);
• Saugiojo valstybinio duomenų perdavimo tinklo naudotojų sąrašas;
• Atlyginimo už naudojimąsi Saugiuoju valstybiniu duomenų perdavimo tinklu teikiamomis papildomomis elektroninių ryšių ir kibernetinio saugumo paslaugomis dydžių nustatymo kriterijų ir atlyginimo apskaičiavimo tvarkos aprašas.

• Nacionalinė kibernetinio saugumo strategija vadovaujantis Kibernetinio saugumo įstatymo 2 straipsnio 15 dalimi bei 4 straipsnio 1 d. yra suvokiama kaip nuosekli sistema, apimanti Lietuvos Respublikos kibernetinio saugumo srities strateginius tikslus, nustatytus:
  • Lietuvos Respublikos Seimo tvirtinamoje Nacionalinio saugumo strategijoje;
  • Vyriausybės tvirtinamame Nacionaliniame pažangos plane;
  • Seimo tvirtinamoje Krašto apsaugos sistemos stiprinimo ir plėtros programoje;
  • Vyriausybės tvirtinamoje Nacionalinėje kibernetinio saugumo plėtros programoje.

Būtent šie strateginio planavimo dokumentai ar jų dalys kartu su Kibernetinio saugumo įstatymu ir jo įgyvendinamaisiais teisės aktais sudaro nacionalinę kibernetinio saugumo strategiją.

Ypatingos svarbos informacinės infrastruktūros identifikavimo metodika tapo neaktuali į nacionalinę teisę perkeliant TIS 2 direktyvos nuostatas. Kibernetinio saugumo įstatyme (TIS 2 direktyvoje) nustatytas kur kas platesnis subjektų, kuriems taikomas naujasis reguliavimas, spektras. Ypatingos svarbos informacinės infrastruktūros identifikavimo procesas, vykdytas pagal Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką, neatitinka Kibernetinio saugumo įstatyme nustatytų subjektų identifikavimo kriterijų ir tikslų. Pagal atnaujintą Kibernetinio saugumo įstatymą išskiriamos tik dvi subjektų grupės – esminių ir svarbių subjektų. Tad ypatingos svarbos informacinės infrastruktūros valdytojai, įsigaliojus atnaujintam Kibernetinio saugumo įstatymui,  bus identifikuojami pagal naujus kriterijus.

• Europos Komisijos priimti įgyvendinimo aktai, taikomi konkretiems sektoriams

Kaip numato TIS 2 direktyva, iš kibernetinio saugumo subjektų grupės išskiriamai specialiajai subjektų grupei (t.y. DNS paslaugų teikėjas, aukščiausio lygio domenų vardų registravimo paslaugas teikiantis subjektas, debesijos paslaugų teikėjas, duomenų centrų paslaugų teikėjas, paskirstytojo turinio teikimo tinklo paslaugų teikėjas, valdomų paslaugų teikėjas, valdomų kibernetinio saugumo paslaugų teikėjas, elektroninės prekyvietės paslaugų teikėjas, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų paslaugų teikėjas) ir patikimumo užtikrinimo paslaugų teikėjui gali būti nustatyti Europos Komisijos priimami tiesioginio taikymo įgyvendinamieji teisės aktai. Atnaujintame Kibernetinio saugumo įstatyme nustatyta (18 str. 3 d.), kad Europos Komisija šiuose įgyvendinamuosiuose teisės aktuose taip pat išsamiau apibrėžia atvejus, kai kibernetinis incidentas laikomas dideliu. Šių teisės aktų priežiūrą Lietuvoje vykdys Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos.

Atkreipiame dėmesį, kad specialieji subjektai privalės užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį tik šiuose teisės aktuose nurodytoms kibernetinio saugumo rizikos valdymo priemonėms.

Europos Komisija 2024 m. spalio 17 d.  priėmė tiesioginio taikymo įgyvendinimo reglamentą (ES) 2024/2690, skirtą minėtai specialiųjų subjektų grupei ir patikimumo užtikrinimo paslaugų teikėjams. Šis reglamentas nustato TIS 2 direktyvos taikymo taisykles, susijusias su kibernetinio saugumo rizikos valdymo priemonių techniniais ir metodiniais reikalavimais ir apibrėžia išsamesnius atvejus, kuriais kibernetinis incidentas laikomas dideliu. Šis Komisijos  įgyvendinimo reglamentas įsigaliojo 2024 m. lapkričio 7 d.

Daugiau informacijos:

Lietuvos Respublikos Vyriausybės 2024 m. lapkričio 6 d. nutarimas  Nr. 945 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ pakeitimo. Prieiga per internetą  https://e-seimas.lrs.lt/portal/legalAct/lt/TAD/22f960219fff11ef9db2c9aaf9c67042?jfwid=-fir4nh877

2024-10-17 pranešimas spaudai, Briuselis. Naujos taisyklės ES ypatingos svarbos subjektų ir tinklų kibernetiniam saugumui didinti. Prieiga per internetą https://ec.europa.eu/commission/presscorner/detail/lt/ip_24_5342

Europos Sąjungos kibernetinio saugumo agentūros (ENISA) rengiamos įgyvendinimo gairės dėl 2024 m. spalio 17 d. Europos Komisijos įgyvendinimo reglamento (ES) 2024/2690

Specialiųjų subjektų pagal atnaujintą Kibernetinio saugumo įstatymą dėmesiui: ENISA kviečia išreikšti nuomonę dėl EK Įgyvendinimo reglamento (ES) 2024/2690

Europos Sąjungos kibernetinio saugumo agentūra (ENISA) rengia įgyvendinimo gaires, kuriomis siekiama padėti ES valstybėms narėms ir kibernetinio saugumo subjektams įgyvendinti 2024 m. spalio 17 d. Europos Komisijos įgyvendinimo reglamente (ES) 2024/2690 nustatytus kibernetinio saugumo rizikos valdymo priemonių techninius ir metodinius reikalavimus. Šiose gairėse bus siekiama pateikti:

- papildomus patarimus ir rekomendacijas, į ką atsižvelgti įgyvendinant vieną ar kitą reikalavimą, ir išsamesnius paaiškinimus apie teisės akto tekste vartojamas sąvokas ir terminus;

- įrodymų, kuriais remiantis galima bus įvertinti, ar reikalavimas įvykdytas, pavyzdžius;

- lenteles, kuriose Europos Komisijos įgyvendinimo reglamente nustatyti reikalavimai bus  susieti su Europos ir tarptautiniais standartais bei nacionaliniais teisės aktais.

ENISA parengtas Įgyvendinimo gairių projektas jau pateiktas konsultacijoms su pramonės atstovais šioje nuorodoje: TIS 2 saugumo priemonių įgyvendinimo gairės - ENISA . Kiek vėliau Įgyvendinimo gairių projektas bus pateiktas konsultacijoms su viešojo sektoriaus atstovais.

Savo atsiliepimus ENISA prašo siųsti ne vėliau kaip iki 2025 m. sausio 9 d. 19 val., užpildant šią formą https://ec.europa.eu/eusurvey/runner/ENISA_Guide_Feedback_Form.

Jei turite klausimų, rašykite el. paštu [email protected].

Krašto apsaugos ministerija kviečia mažas ir vidutines įmones pasinaudoti Europos Sąjungos finansavimo galimybėmis ir teikti paraiškas, kurios leis sustiprinti jų kibernetinį atsparumą.

Kvietimo numeris
CYBER-K02

Kvietimo tikslas
⦁ Stiprinti kibernetinio saugumo sprendimų diegimą ir sklaidą, siekiant padidinti labai mažų, mažų ir vidutinių įmonių (MVĮ) atsparumą kibernetinio saugumo srityje.

Remiamos veiklos
Privaloma veikla:
⦁ Kibernetinio saugumo produkto (-ų), proceso (-ų) ir (ar) paslaugos (-ų) įsigijimas ir diegimas MVĮ tinklų ir informacinės sistemos infrastruktūroje.

Galimos veiklos:
⦁ Kibernetinio saugumo proceso (-ų) ir (ar) paslaugos (-ų), kurie nėra diegiami MVĮ tinklų ir informacinės sistemos infrastruktūroje, įsigijimas. Šios veiklos išlaidos negali viršyti 20 proc. tinkamų finansuoti projekto išlaidų.
⦁ Mokymų, susijusių su Kibernetinio saugumo įstatymo reikalavimų įgyvendinimu, kurie yra nurodyti šio įstatymo 14 straipsnio „Kibernetinio saugumo rizikos valdymo priemonės“ 5 dalyje, pareiškėjo darbuotojams vykdymas. Šios veiklos išlaidos negali viršyti 15 proc. tinkamų finansuoti projekto išlaidų.

Tinkami pareiškėjai:
⦁ Labai maža įmonė arba maža įmonė, arba vidutinė įmonė;
⦁ Lietuvoje registruotas juridinis asmuo, kurį kontroliuoja Europos Sąjungos (ES) valstybės narės arba ES valstybių narių piliečiai;
⦁ Atitinka bendruosius projektų atrankos kriterijus, kurių sąrašas nustatytas Finansinės paramos trečiosioms šalims, teikiamos vadovaujantis 2021 m. gegužės 20 d. Europos Parlamento ir Tarybos reglamentu (ES) 2021/887, kuriuo įsteigiamas Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras ir Nacionalinių koordinavimo centrų tinklas, administravimo ir finansavimo taisyklių, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2024 m. gegužės 7 d. įsakymu Nr. V-388, 1 priede.
Kvietime partneriai negalimi.

Kvietimui skirtos lėšos
Iki 540 000,00 Eur finansinės paramos lėšų.

Likus nepaskirstytų finansinės paramos lėšų kvietime Nr. CYBER-K01, šiomis lėšomis gali būti padidinta kvietimui Nr. CYBER-K02 skirta finansinės paramos lėšų suma, apie tai paskelbiant interneto svetainėse www.cpva.lt, www.kam.lt, www.nksc.lt ir ec.europa.eu/info/funding-tenders/opportunities/portal/screen/home.

Mažiausia ir didžiausia finansinės paramos lėšų suma
Galima prašyti mažiausia finansinės paramos lėšų suma – 30 000,00 Eur.
Galima prašyti didžiausia finansinės paramos lėšų suma – 60 000,00 Eur.

Finansavimo intensyvumas
Iki 75 proc.

Finansavimo forma
De minimis pagalba 

Projektų įgyvendinimo trukmė
5 mėnesiai nuo projekto įgyvendinimo pradžios, bet ne ilgiau kaip iki 2025 m. gruodžio 31 d.

Paraiškų pateikimo terminas 
Iki 2025 m. balandžio 4 d. 23:59 val.

Paraiškų pateikimo būdas
Paraiška pildoma ir teikiama lietuvių kalba elektronine forma, naudojantis paraiškų teikimo sistema Submittable.
Jei nesate Submittable naudotojas, pirma turėsite užsiregistruoti (Sign Up).
TEIKTI PARAIŠKĄ
Kvietimas teikti paraiškas skelbiamas www.cpva.lt, www.kam.lt, www.nksc.lt ir ec.europa.eu/info/funding-tenders/opportunities/portal/screen/home.

Atrankos procesas
Paraiškų vertinimą organizuoja viešoji įstaiga Centrinė projektų valdymo agentūra (administruojančioji institucija). Paraiškų vertinimą sudaro šie etapai:
⦁ Projekto tinkamumo finansuoti vertinimas;
⦁ Projekto naudos ir kokybės vertinimas.
Administruojančioji institucija, atsižvelgdama į gautų paraiškų skaičių, turi teisę nuspręsti, kurį vertinimo etapą atlikti pirma arba atlikti šiuos abu vertinimus vienu metu.
Paraiškų vertinimo terminas – per 90 dienų nuo paraiškų pateikimo termino pabaigos.  Galimas paraiškų vertinimo termino pratęsimas iki 30 dienų, kai kvietime gautų paraiškų skaičius yra didesnis nei 70.

Kontaktai
Viešoji įstaiga Centrinė projektų valdymo agentūra (CPVA)
S. Konarskio g. 13, 03109 Vilnius
El. p. [email protected]
Lietuvos ir tarptautinių investicijų skyriaus vadovė Giedrė Ivinskienė: tel. +370 699 34967
Lietuvos ir tarptautinių investicijų skyriaus programos specialistė Irma Šopienė: tel. +370 640 45639 

Informacinis renginys pareiškėjams
Planuojamas informacinis renginys pareiškėjams. Detalesnė informacija bus paskelbta vėliau.

Dokumentai
Nuoroda į teisės aktą
Gairės pareiškėjams
1 priedas: Paraiškos forma
2 priedas: Projekto veiklos, biudžetas ir finansavimo šaltiniai
3 priedas: Pareiškėjo deklaracijos forma
4 priedas: Vienos įmonės deklaracijos forma
5 priedas: Projekto tinkamumo finansuoti vertinimo patikros lapo forma
6 priedas: Projekto atitikties de minimis pagalbos taisyklėms patikros lapo forma
7 priedas: Projekto naudos ir kokybės vertinimo patikros lapo forma
8 priedas: Projekto įgyvendinimo sutarties bendrosios sąlygos
9 priedas: Projekto įgyvendinimo sutarties specialiųjų sąlygų projektas
10 priedas: EVRK red. 2 kodų sąsajos su Kibernetinio saugumo įstatymo 1 priede arba 2 priede nurodytais sektoriais dokumentas

Lietuva nuo 2018 m. vadovauja ES Nuolatinio struktūrizuoto bendradarbiavimo projektui „Kibernetinės greitojo reagavimo pajėgos ir tarpusavio pagalba kibernetinio saugumo srityje“ (toliau – PESCO CRRT projektas).

PESCO CRRT projekto tikslas – užkirsti kelią kibernetinėms atakoms ir reaguoti į kibernetinius incidentus ES valstybėse narėse, ES bendros saugumo ir gynybos politikos karinėse misijose ir operacijose bei teikti paramą partneriams.

PESCO CRRT projekte dalyvauja jau 9 ES valstybės: Belgija, Danija, Estija, Kroatija, Lenkija, Lietuva, Nyderlandai, Rumunija, Slovėnija.

Stebėtojo teisėmis PESCO CRRT projekte šiuo metu taip pat dalyvauja Austrija, Graikija, Prancūzija, Italija, Ispanija ir Suomija.

PESCO CRRT projekto ekspertų komandos, o tam tikrais atvejais ir PESCO CRRT projekto valdyba (kuri susidaro iš kiekvienos valstybės narės atstovų), reguliariai dalyvauja įvairiose tarptautinėse kibernetinio saugumo pratybose, tokiose kaip Lietuvos organizuojama „Gintarinė Migla 2023“, Nyderlandų „CyberNet23“ ir Europos išorės veiksmų tarnybos „MILEX23“. Be to, PESCO CRRT projekto ekspertai periodiškai dalyvauja valstybių narių rotaciniu principu organizuojamuose mokymuose, kuriuose gilina savo žinias ir keičiasi patirtimi bei aktualijomis kibernetinio saugumo srityje. CRRT komandos 2024 m. vadovauja Lietuva.

Daugiau informacijos apie PESCO CRRT projektą galite rasti čia: https://crrts.eu/index.html.

2023-2030 metų Nacionalinė kibernetinio saugumo plėtros programa yra patvirtinta Lietuvos Respublikos Vyriausybės 2023 m. rugsėjo 20 d. nutarimu Nr. 746. Nacionalinei kibernetinio saugumo plėtros programai įgyvendinti numatyta 40,15 mln. Eur. Ekonomikos gaivinimo ir atsparumo didinimo priemonės (angl. RRF) lėšų ir 3,7 mln. – 2021–2027 m. Skaitmeninės Europos programos lėšų.

Remdamasi minėta plėtros programa, Krašto apsaugos ministerija įgyvendins 2021–2030 m. Nacionaliniame pažangos plane numatytą uždavinį – stiprinti kibernetinį saugumą ir gynybą.

Siekiant spręsti kibernetinio saugumo srityje kylančias problemas, Programoje planuojama:

• peržiūrėti nacionalinės kibernetinio saugumo politikos formavimo ir įgyvendinimo sistemą, į kibernetinio saugumo valdymą ir užtikrinimą įtraukiant vis daugiau institucijų;
• atnaujinti organizacinius ir techninius kibernetinio saugumo reikalavimus;
• modernizuoti kibernetinio saugumo ir elektroninių nusikaltimų tyrimo infrastruktūrą;
• sustiprinti darbuotojų kibernetinio saugumo srityje ir elektroninių nusikaltimo tyrėjų kompetencijas;
• padidinti visuomenės ir ypač labiausiai pažeidžiamų visuomenės grupių supratimą apie kibernetinį saugumą: suteikiant jiems bazinių kibernetinio saugumo žinių, praktinių kibernetinės higienos įgūdžių, tokių kaip saugumo atnaujinimų įdiegimas naudojamuose įrenginiuose, slaptažodžių sudarymas ir naudojimas, atsarginių kopijų darymas – visa tai padėtų išvengti dalies kibernetinių incidentų ir  / ar sumažintų jų poveikį;
• paskatinti viešojo ir privataus sektoriaus bendradarbiavimą. Pagalba mažoms ir vidutinėms įmonėms, aktyvus viešojo ir privataus sektoriaus bendradarbiavimas kibernetinio saugumo srityje padėtų užtikrinti ne tik didesnį kibernetinį atsparumą, bet ir skatintų sukurti ir pasiūlyti inovatyvių kibernetinio saugumo sprendinių visos valstybės mastu.

Daugiau informacijos apie Kibernetinio saugumo plėtros programą galite rasti čia: https://kam.lt/planavimo-dokumentai/.

Nenutrūkstama Lietuvos ir kitų šalių partnerių tiekiama parama Ukrainai yra ne tik siekis visokeriopai paremti Rusijos agresiją patiriančią šalį, bet ir investicija į visos Europos saugumą. Lietuvos parama Ukrainai vykdoma įvairiomis kryptimis, viena jų – tęsiama parama Ukrainos kibernetinio saugumo ir gynybos pajėgumams tiek dvišalėmis, tiek daugiašalėmis pastangomis.

Lietuva kartu su Liuksemburgu, Estija, Latvija, Danija, Belgija ir Ukraina 2023 m. pasirašė ketinimų deklaraciją, kuria steigiama IT koalicija Ukrainai su tikslu teikti paramą ir stiprinti Ukrainos gynybos ministerijos ir Ukrainos gynybos pajėgų IT ir kibernetinio saugumo pajėgumus.

Lietuva 2023 m. ir toliau teikė kibernetinio saugumo paramą Ukrainai, įskaitant techninės ir programinės įrangos tiekimą. Papildomai, Regioniniame kibernetinės gynybos centre (RKGC) 12 Ukrainos kadetų atliko praktiką, o dar 5 Ukrainos kibernetinio saugumo specialistai baigė industrinių (ICS, SCADA) technologijų sistemų kibernetinio saugumo kursą.

2023 m. sausio 31 d. ES Komisija priėmė pirmąją Europos Sąjungoje IRT produktų sertifikavimo sistemą – bendraisiais kriterijais grindžiamą Europos kibernetinio saugumo sertifikavimo schemą (angl. European Common Criteria-based cybersecurity certification scheme (EUCC)).

Pagal naująją, savanoriškumo principugrindžiamą, EUCC schemą, IRT produktų gamintojai ar tiekėjai, norintys gauti sertifikatą ir paženklinti savo produktą ženklu ir etikete, įrodančiais, kad  IRT produktas yra sertifikuotas,  vadovausis visiems ES  vienodai suprantamu vertinimo procesu ir galės sertifikuoti IRT produktus, pavyzdžiui, technologinius komponentus (lustus, lustines korteles), techninę ir programinę įrangą. EUCC schemoje siūlomi du saugumo užtikrinimo lygiai (pakankamai aukštas arba aukštas), atsižvelgiant į  riziką, susijusią su numatytu IRT produkto naudojimu.

Pagal EUCC schemą išduotus sertifikatus skelbs ENISA. EUCC schema publikuojama ENISA specialioje sertifikavimo interneto svetainėje,  kurioje skelbiami ir pagalbiniai dokumentai.

Informacinių ir ryšių technologijų (toliau – IRT) produktų, paslaugų ir procesų (spragų kiekis) nuolat didėja, tad šiame procese svarbu ne tik aptikti ir pašalinti tokias spragas, bet ir siekti mažinti bendrą kibernetiniam saugumui kylančią riziką.   2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentu (ES) 2019/881 dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (toliau – Kibernetinio saugumo aktas) numatytas Europos kibernetinio saugumo sertifikavimo sistemų kūrimas ir tvirtinimas (schemas priima Europos Komisija) yra skirtas padidinti technologijų vartotojų ir vyriausybių pasitikėjimą IRT produktais, paslaugomis ir procesais ir jų saugumu. Europos kibernetinio saugumo sertifikavimo schema – tai išsamus taisyklių, techninių reikalavimų, standartų ir procedūrų, dėl kurių susitarta Europos lygmeniu, rinkinys, skirtas konkretaus IRT produkto, paslaugos ar proceso kibernetinio saugumo savybėms įvertinti.

Patvirtinus Europos kibernetinio saugumo sertifikavimo schemą, IRT produktų gamintojai arba IRT paslaugų ar procesų teikėjai turi galimybę teikti prašymą jų pasirinktai atitikties vertinimo įstaigai, apibrėžtai 2008 m. liepos 9 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 765/2008, sertifikuoti jų IRT produktus, paslaugas ar procesus. Atitikties vertinimo įstaigas akredituoja nacionalinė akreditacijos įstaiga, kurios funkcijas Lietuvoje vykdo Nacionalinis akreditacijos biuras. Nacionalinė kibernetinio saugumo sertifikavimo institucija Lietuvoje yra Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos.           Šiuo metu ENISA rengia dar dvi kibernetinio saugumo sertifikavimo sistemas: EUCS, skirtą debesijos paslaugoms, ir EU5G, skirtą 5G saugumui. Taip pat atlieka preliminarią analizę dėl galimo sertifikavimo dirbtinio intelekto ir valdomų saugumo paslaugų srityse.

2023 m. gruodžio 20 d. po derybų triloguose pritarta kompromisiniam Europos Parlamento ir Tarybos reglamento dėl horizontaliųjų kibernetinio saugumo reikalavimų, keliamų skaitmeninių elementų turintiems produktams, kuriuo iš dalies keičiamas Reglamentas (ES) 2019/1020 tekstui (Kibernetinio atsparumo aktas). Tikimasi, kad Kibernetinio atsparumo aktas bus priimtas 2024 m. I ketvirtyje.

Tikslas – užtikrinti skaitmeninių produktų ir programinės įrangos saugumą ES lygmeniu.

Gamintojai privalės užtikrinti, kad produktai su skaitmeniniais elementais būtų saugūs ne tik patekimo į rinką metu, tačiau ir visą jų gyvavimo ciklą. Kiekvienas subjektas, kuris pateiks skaitmeninius produktus ES rinkai, bus atsakingas už papildomus įsipareigojimus, susijusius su jų kokybe, pavyzdžiui, aptiktų pažeidžiamumų taisymą, programinės įrangos naujinimus ir produktų auditą bei sertifikavimą.

Šie produktai bus žymimi CE ženklu, taip įrodant jų atitiktį ES saugumo reikalavimams. O tai leis gyventojams jaustis saugiems, naudojant sertifikuotus produktus.

Svarbu paminėti, jog šiuo reglamentu pagrindinė atsakomybė už produkto saugumą skiriama tiems, kurie kuria programinę įrangą, o ne programinės įrangos vartotojams.

Daugiau informacijos apie Kibernetinio saugumo atsparumo aktą galite rasti čia: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet.

2023 m. pradėtos derybos su Europos Parlamentu dėl Europos Komisijos pasiūlyto Europos Parlamento ir Tarybos reglamento, kuriuo dėl valdomų saugumo paslaugų sertifikavimo keičiamas Reglamentas (ES) 2019/881 (Kibernetinio saugumo aktas).

Tikslas – sustiprinti ES kibernetinio saugumo agentūros (ENISA) vaidmenį ir nustatyti valdomų saugumo paslaugų (reagavimas į kibernetinius incidentus, pažeidžiamumų skanavimas) sertifikavimo sistemą.

Siūlomas ES reguliavimo pakeitimas leistų ateityje priimti Europos sertifikavimo sistemas, skirtas „valdomoms saugumo paslaugoms“ (tokias paslaugas teikia įvairios kibernetinio saugumo organizacijos – reagavimas į incidentus, pažeidžiamumų skenavimas, saugumo auditai ir konsultacijos).    

Šis savanoriškas sertifikavimas yra reikalingas siekiant užtikrinti aukštą labai jautrių kibernetinio saugumo paslaugų kokybę ir patikimumą. Tokios paslaugos padeda įmonėms ir organizacijoms užkirsti kelią kibernetiniams incidentams, juos aptikti, reaguoti bei sumažinti žalą incidentui įvykus.

ENISA atliks pagrindinį vaidmenį kuriant ir prižiūrint Europos kibernetinio saugumo sertifikavimo sistemą, parengdama konkrečių sertifikavimo schemų techninį pagrindą. Ji būtų atsakinga už visuomenės informavimą apie sertifikavimo schemas ir išduotus sertifikatus specialioje interneto svetainėje. 

Daugiau informacijos apie Kibernetinio saugumo aktą galite rasti čia: https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act.   

2023 m. balandžio 18 d. Europos Komisija pasiūlė naują Europos Parlamento ir Tarybos reglamentą,  kuriuo nustatomos solidarumo stiprinimo ir pajėgumo aptikti kibernetinio saugumo grėsmes ir incidentus Sąjungoje, jiems pasirengti ir į juos reaguoti didinimo priemonės (Kibernetinio solidarumo aktas).

Tikslas – sustiprinti bendradarbiavimą ES mastu kovojant su didelio masto kibernetinėmis atakomis, keliančiomis grėsmę valstybių narių saugumui, ir padaryti Europą atsparesnę kibernetinėms krizėms.

Šiuo aktu siūloma įsteigti Nacionalinius saugumo operacijų centrus (SOC), kurie taip pat galėtų jungtis į daugiašales (regionines) SOC platformas, taip skatinant valstybes keistis informacija tarpusavyje. Tokie SOC sudarytų Europos pasirengimo kibernetinėms atakoms sistemą.  Lietuva kartu su keliomis Baltijos jūros regiono ES valstybėmis narėmis vertina glaudesnio bendradarbiavimo galimybes regioninės SOC platformos kūrimo kontekste.

Kitas svarbus akto instrumentas – kibernetinių incidentų mechanizmas. Juo siekiama: 

• padėti valstybėms narėms pasirengti reikšmingiems ir didelio masto kibernetinio saugumo incidentams;
• reaguoti į juos ir atsigauti po jų;
• remti kritinių objektų testavimą;
• sukurti ES lygio kibernetinio saugumo rezervą su patikimų privačių paslaugų teikėjų paslaugomis.

Daugiau informacijos apie Kibernetinio solidarumo aktą galite rasti čia: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2243

Įvairių ES kibernetinio saugumo teisėkūros iniciatyvų įgyvendinimas ES šalyse padidina viešojo ir privataus sektoriaus subjektų poreikį turėti ir / ar naudotis profesionaliomis kibernetinio saugumo specialistų paslaugomis. Įvairių tyrimų duomenimis, 2022 metais Europos Sąjungoje trūko nuo 260,000 iki 500,000 kibernetinio saugumo specialistų. Siekdama spręsti šias problemas, Europos Komisija 2023 m. balandžio 18 d., minint Europos įgūdžių metus, priėmė komunikatą dėl Kibernetinio saugumo įgūdžių akademijos.

Tikslas - numatyti pamatines priemones, padėsiančias ugdyti ES kibernetinio saugumo specialistų įgūdžius. Numatomomis priemonėmis bus siekiama sumažinti kibernetinio saugumo įgūdžių trūkumą ir aprūpinti ES reikiamais darbuotojais, kad ji galėtų reaguoti į nuolat kintančią grėsmių padėtį, o valstybės narės – įgyvendinti ES politiką, kuria siekiama apsaugoti ES nuo kibernetinių išpuolių, taip pat didinti verslo galimybes ir konkurencingumą.

Akademijai įsteigti bus skirtas finansavimas pagal Skaitmeninės Europos programą. Akademija turėtų tapti pavyzdine kibernetinio saugumo mokymo kūrimo ir teikimo vieta Europoje, startuoliams, MVĮ ir viešojo administravimo įstaigoms teikiančia mokymo darbo vietoje ir mokomosios praktikos galimybes novatoriškose kibernetinio saugumo įmonėse ir kibernetinio saugumo kompetencijos centruose

Kalbant apie kibernetinio saugumo kompetencijas ES, ENISA jau atliko nemažai darbo apibrėždama kibernetinio saugumo specialistų vaidmenų profilius pagal Europos kibernetinio saugumo įgūdžių sistemą (angl. European Cybersecurity Skills Framework (ECSF). ENISA planuoja toliau  peržiūrėti ECSF ir nustatyti kintančius kibernetinio saugumo darbuotojų įgūdžių poreikius ir spragas, be kita ko, taikydama pažangias priemones (pvz., dirbtinį intelektą, didžiuosius duomenis, duomenų gavybą). Šiuo tikslu ENISA bendradarbiaus su Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centru, nacionaliniais koordinavimo centrais, Komisija, ECCO projekto atstovais, rinkos dalyviais, Europolu, CEPOL ir kitais. Tokiu būdu bus patikslinta kibernetinio saugumo srities profesijų ir įgūdžių klasifikacija ir sąsajos tarp jų, todėl asmenims bus paprasčiau kelti kvalifikaciją ir persikvalifikuoti, taip pat bus remiamas darbo jėgos pasiūlos ir paklausos derinimas atsižvelgiant į įgūdžius ir tarpvalstybinis judumas.

Akademija kibernetinių įgūdžių iniciatyvas viešins tobulinamoje Skaitmeninių įgūdžių ir darbo vietų platformoje (angl. Digital Skills and Jobs platform). Specialiame kibernetinio saugumo karjeros skyriuje bus pateiktos nuorodos į esamas priemones – aukštojo mokslo programas, mokymo galimybes, įskaitant kursus, kurių metu galima gauti mikrokredencialų, ir profesinio rengimo ir mokymo programas, taip pat darbo pasiūlymus. Į platformą taip pat bus įtrauktos viešojo ir privačiojo sektorių mokymų ir kibernetinio saugumo sertifikatų duomenų saugyklos.

Šiuo metu paskelbtas (galioja iki 2024 m. kovo 21 d.) Skaitmeninės Europos programos kvietimą (DIGITAL-2023-SKILLS-05-CYBERACADEMY CYBERSECURITY SKILLS ACADEMY) konsorciumams, sudarytiems iš aukštojo mokslo įstaigų, profesinio mokymo įstaigų, viešojo administravimo institucijų, mokslinių tyrimų organizacijų, įmonių ir nacionalinių kibernetinio saugumo kompetencijos centrų, vykdyti Kibernetinio saugumo įgūdžių akademijos veiklas. Daugiau informacijos apie kvietimą ir paraiškos pateikimo sąlygas galite rasti čia. 

Tai aukšto lygmens JAV Baltųjų rūmų organizuojama iniciatyva, skirta apjungti 50 valstybių ir tarptautinių organizacijų pastangas kovojant su išpirkos reikalaujančiomis kibernetinėmis atakomis (angl. Counter Ransomware Initiative, CRI). Lietuva yra viena šios iniciatyvos lyderių, vadovaujančių informacijos dalinimosi darbinei grupei kartu su Indija bei Izraeliu.

NATO dar 2016 m. pripažino kibernetinę erdvę operacijų sritimi, kurioje Aljansas turi užtikrinti tinkamą gynybą. Rusijos karas prieš Ukrainą tik dar labiau išryškino, kad kibernetinė veikla yra integrali šiuolaikinių konfliktų dalis. Rusija taip pat suaktyvino hibridinius veiksmus prieš NATO sąjungininkes ir partnerius, įskaitant kenkėjišką kibernetinę veiklą. Efektyvi apsauga nuo besivystančių karinių kibernetinių grėsmių ir kibernetinių incidentų valdymas yra būtinos sąlygos siekiant užtikrinti Aljanso ir sąjungininkių kibernetinės gynybos stiprinimą, gyvybinius ir valstybės nacionalinio saugumo interesus. Lietuva, būdama neatsiejama NATO dalimi, aktyviai prisideda prie Aljanso kibernetinės gynybos politikos formavimo, kibernetinių pajėgumų stiprinimo, dalyvauja kibernetinės gynybos pratybose ir iniciatyvose.

Atsižvelgiant į NATO sprendimą dėl kibernetinės erdvės pripažinimo penktuoju kariavimo domenu ir 2022 m. Seimo politinių partijų pasirašytą susitarimą „Dėl Lietuvos nacionalinio saugumo ir gynybos artimiausio laikotarpio stiprinimo“, numatoma nuosekliai stiprinti Lietuvos kibernetinio saugumo bei gynybos pajėgumus. Tuo tikslu Valstybės gynimo taryba pritarė Krašto apsaugos ministerijos planui nuo 2025 m. sausio 1 d. Lietuvos kariuomenės sudėtyje įsteigti junginį, veikiantį kibernetinės gynybos srityje – Lietuvos kariuomenės Kibernetinės gynybos valdybą.

Reaguojant į specifinius kibernetinės erdvės karinio planavimo ir operacijų vykdymo poreikius, atskirose NATO sąjungininkėse šalyse kuriamos kibernetinės pajėgos, atitinkami pokyčiai vykdomi ir NATO štabuose. 2023 m. NATO Viršūnių susitikime Vilniuje patvirtinta nauja koncepcija, kuria siekiama stiprinti kibernetinės gynybos indėlį į bendrą NATO atgrasymo ir gynybos architektūrą, didinti bendrą NATO informuotumą ir kibernetinį atsparumą. Būtent susitikimo Vilniuje metu savo veiklą pradėjo ir buvo sėkmingai išbandytas naujas NATO virtualus reagavimo į kibernetinius incidentus pajėgumas (angl. Virtual Cyber Incident Support Capability, VCISC), kuris sutelkia sąjungininkių pastangas reaguojant į didelio masto kibernetinius incidentus.

NATO lyderiai Vilniuje taip pat sutarė stiprinti kibernetinės gynybos įsipareigojimus (angl. Cyber Defence Pledge) ir siekti naujų ambicingų tikslų stiprinant nacionalinę kibernetinę gynybą ir kritinės infrastruktūros kibernetinį saugumą.

Kibernetinio saugumo indeksas yra viena iš patikimiausių priemonių, padedančių įvertinti Tarptautinei telekomunikacijų sąjungai (angl. ITU) priklausiančių pasaulio šalių (193) kibernetinio saugumo lygį (pasaulinį kibernetinio saugumo indeksą).

Pagal 2020 m. kibernetinio saugumo indeksą Lietuva buvo šešta pasaulyje ir ketvirta Europoje.

Tarptautinė telekomunikacijų sąjunga 2023 m. viduryje pradėjo rinkti informaciją, skirtą nustatyti penktąjį pasaulinį kibernetinio saugumo indeksą. Informaciją Tarptautinei telekomunikacijų sąjungai, užpildydama klausimyną, pateikė Krašto apsaugos ministerija, surinkusi ir apibendrinusi suinteresuotų viešojo ir privataus sektoriaus atstovų, Lietuvos mokslo ir studijų institucijų pateiktą medžiagą.

Kibernetinio saugumo situacija Lietuvoje kol kas yra stabili, tačiau kibernetinių incidentų rizika yra didelė, ypač, prieš Lietuvos ypatingos svarbos informacines infrastruktūras ir valstybės informacinius išteklius. 

Lietuvoje nuo 2016 m. veikia Nacionalinio kibernetinio saugumo centas, o pernai, 2021 m. veiklą pradėjo Regioninis kibernetinės gynybos centras. 

Siekiant užtikrinti saugų ryšį tarp Lietuvos kariuomenės padalinių  2019 m. įkurtas Ryšių ir informacinių sistemų batalionas. Informacinių technologijų ir ryšių saugumo specialistai visada kviečiami prisijungi. Informacija apie darbo pasiūlymus skelbiama www.nksc.lt.

Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos (NKSC) specialistai kartu su kitomis tarnybomis atidžiai stebi situaciją ir keičiasi informacija su partneriais. Taip pat Regioninis kibernetinės gynybos centras stiprina tiek Lietuvos, tiek regiono partnerių gebėjimus užtikrinti valstybės ypatingos svarbos infrastruktūros kibernetinį saugumą. 

Pasikeisti paskyrų slaptažodžius į saugius (ne mažiau 12 simbolių, iš kurių – didžiosios, mažosios raidės, specialūs simboliai ir skaičiai), kur įmanoma – įgalinkite ir naudokite kelių faktorių autentifikavimą („Google“, „Microsoft“, „Facebook“ paskyrose, kt.).

Įsidiegti visus programinės įrangos atnaujinimus, naudoti antivirusines programas. Ši rekomendacija galioja tiek naudojant „Windows“ sistemas, tiek „Android“, „iOS“, „Linux“, „OSx“, kt.

Išjungti įrenginiuose esančius automatinius prisijungimus prie „bluetooth“, „wifi“ (angl. auto discovery/connection). Prisijungus prie viešo belaidžio tinklo ir nenaudojant VPN paslaugos, vengti jungtis prie paslaugų ir platformų, kurioms reikalingas autentifikavimas, pvz., el.bankininkystės, socialinių tinklų, el. paštas ir pan. Rekomenduojama prie nemokamo belaidžio tinklo jungtis tik būtiniausiais atvejais.

Vengti atidaryti neaiškias nuorodas, gautas trumposiomis žinutėmis, el. paštu, kt. Visada tikrinti nuorodų autentiškumą ir prie paslaugų jungtis tik per oficialias interneto svetaines.

Pastebėjus anomalijų, apie jas pranešti NKSC Kibernetinių incidentų valdymo skyriui CERT-LT el. paštu [email protected] ar telefonu 1843.

Pastebėjus sutrikimus prašoma nedelsiant pranešti NKSC kibernetinių incidentų valdymo skyriui CERT-LT el. paštu [email protected] arba telefonu 1843.

Pastebėjus skleidžiamą propagandą, kurioje:

• kurstoma nesantaika prieš bet kokios tautos, rasės, etninės, religinės ar kitokią žmonių grupę;
• viešai pritariama tarptautiniams nusikaltimams, SSRS ar nacistinės Vokietijos nusikaltimams Lietuvos Respublikai ar jos gyventojams, jų neigimas ar šiurkštus menkinimas, t. y. taikoma ir viešai pritariant ar neigiant Rusijos ir Baltarusijos karinę agresiją prieš Ukrainą.

Praneškite Virtualiam patruliui el. paštu: [email protected] arba Facebook žinute: www.facebook.com/policijosvirtualuspatrulis

Laiške ar žinutėje pateikite šią informaciją:

• trumpą aprašymą;
• ekrano nuotrauką (print screen);
• įrašo nuorodą.

Remiantis Lietuvos Respublikos Baudžiamojo kodekso 170 straipsniu – kurstymas prieš bet kokios tautos, rasės, etninę, religinę ar kitokią žmonių grupę gali būti baudžiamas bauda, laisvės apribojimu, areštu arba laisvės atėmimu iki 2 metų.

Remiantis Lietuvos Respublikos Baudžiamojo kodekso 170-2 straipsniu – Viešas pritarimas tarptautiniams nusikaltimams, SSRS ar nacistinės Vokietijos nusikaltimams Lietuvos Respublikai ar jos gyventojams, jų neigimas ar šiurkštus menkinimas gresia laisvės atėmimo iki 2 metų bausmė. t.y. Lietuvos Respublikos Baudžiamojo kodekso 107-2 straipsnis taikomas ir viešai pritariant ar neigiant Rusijos ir Baltarusijos karinę agresiją prieš Ukrainą.

Šiuo metu prioritetas skiriamas dabartinių ryšių saugumo ir patikimumo didinimui. Dabartiniai Lietuvos ryšiai bei internetas yra gerai diversifikuoti, didelės spartos ir pralaidos, taip pat yra jų apsaugos nuo atakų priemonės, kurios toliau didinamos. 

Tarptautinius sujungimus užtikrina privačios įmonės, kurios turi tęstinumo planus.

Yra žinomos tiek valstybinių, tiek nevalstybinių duomenų centrų lokacijos, taip pat derinamos galimybės naudotis užsienyje esančiais užsienio kapitalo įmonių duomenų centrais.