Keičiasi pranešimų apie kibernetinius incidentus standartai: ką būtina žinoti?

Kovo 12 d. įsigaliojo du svarbūs Europos Komisijos priimti dokumentai, kuriais detalizuojami techniniai standartai, susiję su finansų sektoriaus subjektų teiktinais pranešimais apie didelius su IRT susijusius incidentus ir dideles kibernetines grėsmes. Konkrečiai, Komisijos įgyvendinimo reglamente (ES) 2025/302 nustatomos minėtų pranešimų standartinės formos, šablonai ir procedūros, o Komisijos deleguotame reglamente (ES) 2025/301 – pradinio, tarpinio ir galutinio pranešimų apie didelius su IRT susijusius incidentus turinys bei jų pateikimo terminai, taip pat savanoriško pranešimo apie dideles kibernetines grėsmes turinys. Abu šie dokumentai papildo visai neseniai, šių metų sausio 17 d. pradėtą taikyti Reglamentą (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje, geriau žinomą pagal skambią jo angliško pavadinimo santrumpą – DORA (angl. Digital Operational Resilience Act). Tinkamas pranešimas kompetentingai institucijai apie didelius su IRT susijusius incidentus ir dideles kibernetines grėsmes yra svarbi atitikties DORA reglamentui dalis, tad finansų sektoriaus subjektai turėtų atkreipti dėmesį į šiuos pokyčius:

PRANEŠIMO FORMA

Pranešimus apie didelius incidentus finansų sektoriaus subjektai nuo šiol turės teikti užpildydami Komisijos įgyvendinimo reglamento (ES) 2025/302 I priede pateiktą šabloną. Atitinkamai, yra žinoma, jog kompetentinga institucija Lietuvos Respublikoje – Lietuvos bankas – ketina panaikinti Lietuvos banko valdybos 2019 m. sausio 21 d. nutarimu Nr. 03-10 patvirtintų Pranešimų apie operacinės ar saugumo rizikos incidentus teikimo Lietuvos bankui taisyklių nuostatas, susijusias su pranešimų apie incidentus teikimu, bei OPRISK-MOSRI ir OPRISK-OSRI pranešimų formas, kurios buvo teikiamos anksčiau[1].

STADIJOS IR TERMINAI

Pranešimų apie didelius su IRT susijusius incidentus teikimo procesas apims tris stadijas:

1. pirminį pranešimą, kuris turės būti pateiktas ne vėliau kaip per 4 valandas nuo su IRT susijusio incidento klasifikavimo kaip didelio ir ne vėliau kaip per 24 valandas nuo sužinojimo apie šį indicentą momento. Pirminiame pranešime turės būti pateikta esminė informacija apie incidentą: aptikimo data, laikas, klasifikacija, incidento aprašymas, nustatymo aplinkybės ir kt.;
2. tarpinį pranešimą, kuris turės būti pateiktas ne vėliau kaip per 72 valandas nuo pradinio pranešimo pateikimo, net jei incidento padėtis ar jo šalinimo būdas nepasikeis. Tarpinio pranešimo turinys pasižymi didesniu detalumu; jame, be kita ko, turės būti aprašyti ir paveikti veiklos procesai, infrastruktūros komponentai, funkcinės sritys, aprašomas poveikis klientų finansiniams interesams, priemonės, kurių buvo imtasi (ar planuojama imtis) siekiant atkurti veiklą po incidento. Svarbu pažymėti ir tai, kad atkūrus įprastą veiklą nedelsiant turės būti pateiktas atnaujintas tarpinis pranešimas;
3. galutinį pranešimą, kuris turės būti pateiktas ne vėliau kaip per mėnesį nuo tarpinio pranešimo (ar paskutinio atnaujinto tarpinio pranešimo) pateikimo. Šis – išsamiausias – pranešimas turės apimti informaciją apie pagrindines incidento priežastis, sprendimo būdus, patirtas išlaidas bei nuostolius.

Komisijos įgyvendinimo reglamente (ES) 2025/302 numatoma galimybė visus tris pranešimus (ar du iš jų) teikti kartu, jeigu atkurta įprasta veikla arba užbaigta pagrindinių incidento priežasčių analizė ir jeigu laikomasi minėtų terminų.

BENDRO PRANEŠIMO TEIKIMO GALIMYBĖ

Tais atvejais, kai finansų sektoriaus subjektai yra perdavę pareigą pranešti apie didelius su IRT susijusius incidentus trečiajai šaliai, pastaroji galės viename bendrame pranešime pateikti sujungtą informaciją apie didelį su IRT susijusį incidentą, darantį poveikį keliems finansų sektoriaus subjektams, ir tą pranešimą kompetentingai institucijai galės pateikti visų finansų sektoriaus subjektų, kuriems daromas poveikis, vardu, jeigu:

• didelis su IRT susijęs incidentas kilo dėl trečiosios šalies, teikiančios IRT paslaugas, arba ji pati jį sukėlė;
• paslaugas teikianti trečioji šalis atitinkamą IRT paslaugą teikia keliems finansų sektoriaus subjektams arba grupei;
• visi paveikti (į bendrą pranešimą įtraukti) finansų sektoriaus subjektai su IRT susijusį incidentą klasifikuoja kaip didelį;
• didelis su IRT susijęs incidentas sutrikdė finansų sektoriaus subjektų, veikiančių toje pačioje valstybėje narėje, veiklą ir bendras pranešimas yra susijęs su finansų sektoriaus subjektais, kuriuos prižiūri ta pati kompetentinga institucija;
• kompetentinga institucija aiškiai leido šios rūšies finansų sektoriaus subjektams teikti bendrus pranešimus.

SAVANORIŠKAS PRANEŠIMAS APIE DIDELES KIBERNETINES GRĖSMES

Galiausiai, finansų sektoriaus subjektai yra skatinami demonstruoti atsakingą ir iniciatyvų požiūrį į kibernetinio saugumo rizikos valdymą, tad sudaroma galimybė savanoriškai pranešti atitinkamai kompetentingai institucijai apie dideles kibernetines grėsmes, jeigu manoma, kad kilusios grėsmės yra svarbios finansų sistemai, paslaugų naudotojams ar klientams. Tokie pranešimai galės būti teikiami naudojant Komisijos įgyvendinimo reglamento (ES) 2025/302 III priede pateiktą šabloną.

Nauji pranešimų standartai prisidės prie efektyvesnio informavimo apie kilusius didelius su IRT susijusius incidentus bei sklandesnio jų valdymo. Formos ir procedūros buvo suvienodintos visose Europos Sąjungos valstybėse narėse, taigi, finansų sektoriaus subjektams bus daugiau aiškumo teikiant pranešimus, nepriklausomai nuo to, kurioje valstybėje jie veiktų. Galiausiai, aktyviai naudojantis galimybe savanoriškai pranešti apie dideles kibernetines grėsmes, dalies incidentų pavyks išvengti, taigi, manytina, padidės bendras kibernetinio saugumo lygis finansų sektoriuje.

[1] Šaltinis: https://www.lb.lt/lt/skaitmenines-veiklos-atsparumo-finansu-sektoriuje-reglamentas-dora#ex-1-4