Lietuvos verslo bendruomenė stovi ant didžiausių pokyčių slenksčio per pastarąjį dešimtmetį kibernetinio saugumo srityje. Tyliai ir be didelių fanfarų įsigaliojantis naujasis Kibernetinio saugumo įstatymas, į nacionalinę teisę perkeliantis ES Tinklų ir informacinių sistemų direktyvą (TIS2), sukels teisinį cunamį. Įstatymo nesilaikymo pasekmes pajus ne tik stambieji rinkos žaidėjai, bet ir vidutinės bei netgi dalis smulkių įmonių. Ekspertai perspėja: požiūris „mūsų tai neliečia“ gali kainuoti milijonus eurų ir net vadovo postą.

Kibernetiniai reikalavimai plinta į visus sektorius: rizikos vis arčiau

Anksčiau šie reikalavimai buvo aktualūs tik strateginiams sektoriams – kaip energetika, finansai ar sveikatos apsauga. Tačiau dabar jie palies ir tokius sektorius kaip gamyba, maisto perdirbimas, atliekų tvarkymas, pašto ir kurjerių paslaugos, skaitmeninių paslaugų teikimas, įskaitant socialinių tinklų platformas ar duomenų centrų veiklą.

„Dauguma įmonių šiuos pokyčius tiesiog praleido pro ausis. Tačiau įstatymas jau įsigaliojo, o tai reiškia, kad atsakomybė vertinti rizikas ir užtikrinti kibernetinį saugumą jau yra jų rankose“, – sako advokatų profesinės bendrijos LAWCORPUS įkūrėjas Rokas Venslauskas. Jo teigimu, laukti, kol atsiųs įspėjamąjį raštą institucijos, yra pavojingas pasirinkimas: „Nacionalinis kibernetinio saugumo centras (NKSC) jau ėmėsi identifikuoti šiuos subjektus, vis dėlto, valstybė tikisi, kad verslas pats įsivertins, ar patenka į reguliavimo sritį. Nežinojimas čia neturi jokios teisinės galios.“

Pasak advokato, patekus į reguliuojamų subjektų sąrašą, įmonėms atsirandavisa eilė teisiškai privalomų pareigų. Jos turės parengti kibernetinio saugumo politiką, atlikti rizikos vertinimus, užtikrinti tiekimo grandinės saugumą, reguliariai testuoti savo sistemų saugumą ir pranešti apie įvykius per trumpą laiką – vos 24 valandas nuo jų nustatymo. Įmonės atsakomybė išsiplečia ir į išorę – už savo tiekėjų, paslaugų teikėjų saugumą jos taip pat atsakys.

„Tai reiškia, kad kibernetinis saugumas tampa nebe tik IT skyriaus, bet ir vadovų atsakomybe. Kiekvienas pažeidimas gali kainuoti ne tik milijonus, bet ir postus. Vadovai gali būti laikinai nušalinti, jei įmonėje fiksuojami rimti pažeidimai“, – atkreipia dėmesį R. Venslauskas.

Milijoninės baudos ir reputacijos kaina: kodėl svarbu veikti iš anksto

Specialistas išskiria, kad numatytos baudos taip pat įspūdingos: „svarbiems“ subjektams gali siekti iki 7 mln. eurų arba 1,4 proc. metinių pasaulinių pajamų, o „esminiams“ – net iki 10 mln. eurų arba 2 proc. pajamų. Tačiau, pasak R. Venslausko, didžiausia žala – ne skaičiai, o reputacija: „Net vienas incidentas gali nulemti, kad su jumis nebenorės dirbti partneriai, o klientai ims abejoti jūsų patikimumu.“

Advokatas ragina jau dabar imtis pirmųjų žingsnių ir atlikti profesionalų kibernetinio saugumo auditą. „Reikia suprasti, ar jūsų veikla patenka į TIS2 taikymo sritį, kokie procesai turi būti atnaujinti, kur slypi silpnosios vietos“, – pataria advokatas. Anot jo, šiuolaikiniai įrankiai leidžia automatizuoti dalį vertinimo, naudoti dirbtinį intelektą spragų nustatymui ir rizikos lygiui įvertinti. Vis dėlto galutinė atsakomybė visada tenka vadovybei.

„Įstatymo taikymas jau prasidėjo. Ignoruoti šią realybę – tai statyti savo verslo ateitį ir asmeninę reputaciją ant labai trapaus pagrindo.  Proaktyvus požiūris, pradedant nuo išsamaus audito, yra vienintelis kelias išvengti skaudžių finansinių ir teisinių pasekmių“, – pabrėžia R. Venslauskas.