Kristina Peleckaitė: kibernetinio saugumo pakeitimai. Kokios užduotys laukia organizacijų?

Praėjusią savaitę įsigaliojo nauji viešųjų pirkimų įstatymo ir pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srityse įstatymo pakeitimai, susiję su kibernetiniu saugumu. Nors iš pirmo žvilgsnio atrodo, kad pokyčiai – minimalūs, visgi, atsižvelgiant į reikalavimus, perkančiosios organizacijos ir subjektai turės kur kas daugiau pareigų nei iki šiol. Tačiau ar perkančiosios organizacijos (subjektai) bei tiekėjai žino, ką kibernetinio saugumo viešuosiuose pirkimuose pokyčiai reiškia jiems? Kokie reikalavimai jų laukia?

Įsigalioję teisės aktų pakeitimai yra susiję su tinklų ir informacinių sistemų saugumo (TIS2) direktyvos reikalavimų įgyvendinimu Lietuvos nacionalinėje teisėje. Formaliai žiūrint pasikeitė vos vienas dalykas – nebelieka sąvokos, kuri aiškino, jog pirkimo vykdytojas yra tas, kuris valdo ypatingos svarbos informacinę infrastruktūrą. Ši pakeičiama taip: pirkimo vykdytojas laikomas esminiu kibernetinio saugumo subjektu pagal Kibernetinio saugumo įstatymą (KSĮ).

KSĮ išskiriami dviejų rūšių kibernetinio saugumo subjektai: esminiai ir svarbūs. Tai, koks statusas bus suteiktas perkančiajai organizacijai ar subjektui, priklausys nuo bendrųjų ir specialiųjų indentifikavimo kriterijų. Bendrieji identifikavimo kriterijai gali apimti pavyzdžiui, sritį kurioje veikia subjektas ir įmonės darbuotojų skaičių. Specialieji gali būti, pavyzdžiui, paslaugos, kuri yra būtina gyvybiškai svarbioms valstybės funkcijoms atlikti ir valstybinėms mobilizacinėms užduotims vykdyti, teikėjas.

Tačiau viešųjų pirkimų ir pirkimų įstatyme kalbama tik apie esminius subjektus. Visgi tai nereiškia, kad svarbiems kibernetinio saugumo subjektams bus taikomi mažesni KSĮ ir TIS2 reikalavimai.

Svarbu ir tai, kad prie esminių ir (arba) svarbių kibernetinio saugumo subjektų gali būti priskirtos ne tik perkančiosios organizacijos ir perkantieji subjektai, bet ir patys tiekėjai, kuriems taikomi KSĮ reikalavimai. Dalis jų taip pat gali būti  įtraukti į Kibernetinio saugumo subjektų registrą iki 2025 m. balandžio 17 d. Už kibernetinio saugumo subjektų įtraukimą į minėtą registrą yra atsakingas Nacionalinis kibernetinio saugumo centras.

Naujos pareigos ir augančios išlaidos

Visgi įsigilinus – pokyčių kur kas daugiau. Direktyva didelį dėmesį skiria tiekimo grandinių, susijusių su perkančiosiomis organizacijomis, subjektais bei jų tiekėjais, saugumui. Tai reiškia, kad griežtėja reikalavimai ne tik kibernetiniam saugumui, bet ir atsiranda papildomos pareigos visoms šalims.

Pasikeitus reikalavimams kibernetinio saugumo subjektai – tiek perkančiosios organizacijos bei subjektai, tiek tiekėjai – privalės įdiegti kibernetinio saugumo rizikos valdymo priemones, vykdyti nuolatinę jų priežiūrą bei atitiktį kibernetinio saugumo reikalavimams. Šias priemones pagal KSĮ turės įdiegti ne tik esminiai kibernetinio saugumo subjektai, bet ir svarbūs, todėl viešųjų pirkimų bei pirkimų įstatymų reikalavimai turės būti taikomi ir pastariesiems.

Taip pat tiek esminio, tiek ir svarbaus kibernetinio subjekto vadovas privalės paskirti saugos įgaliotinį. Šias funkcijas bus galima pavesti vykdyti ir išorės ekspertams, atrinktiems viešųjų pirkimų ar pirkimų įstatymų būdu. Be to, kibernetinio saugumo subjektas turės kas tris metus atlikti nepriklausomus kibernetinio saugumo auditus.

Su papildomomis pareigomis atsiranda ir poreikis didinti investicijas į kibernetinio saugumo rizikos valdymo priemonių įdiegimą, nusimatyti papildomas lėšas pareigybėms, nepriklausomai, ar tai būtų esami darbuotojai, ar išorės specialistai, kibernetinio saugumo auditams, darbuotojų kvalifikacijos kėlimui.

Įgyvendinimui – metai

Nors tai – tik dalis įpareigojimų, visi turės būti įgyvendinti per metus nuo perkančiųjų organizacijų, subjektų bei tiekėjų įtraukimo į Kibernetinio saugumo subjektų registrą. Tai reiškia, kad įsipareigojimai turi būti įvykdyti iki 2026 m. balandžio vidurio.

Jei Kibernetinio saugumo įstatymo reikalavimai bus nevykdomi ar vykdomi netinkamai, bus taikoma įstatyme numatyta kibernetinio saugumo subjekto atsakomybė. Vadovui tokiu atveju gali būti skirtos įvairios nuobaudos, pavyzdžiui, įspėjimas, esminio subjekto vadovo laikinas nušalinimas nuo pareigų, stebėsenos pareigūno paskyrimas, baudos. Esminiams subjektams jos gali siekti net iki 10 000 000 Eur arba iki 2 procentų juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį. Svarbiam subjektui – iki 7 000 000 Eur arba iki 1,4 procento juridinio asmens bendros pasaulinės metinės apyvartos per praėjusį finansinį laikotarpį.