Nuo baudos iki žalos reputacijai: ką apie kibernetinį saugumą privalo žinoti vadovai

Prof. dr. Marius Laurinaitis, Mykolo Riomerio universiteto Teisės ir FinTech studijų programos vadovas, Raimondas Andrijauskas, advokatų kontoros WALLESS teisinės atitikties ekspertas, ir advokatas Danielius Matonis, WALLESS asocijuotasis partneris.

Kibernetinio saugumo incidentas šiandien gali ne tik parklupdyti įmonę, pakenkti bendrovės ar vadovo reputacijai, bet ir virsti milijoninėmis baudomis organizacijai ar net pačiam vadovui. Kaip įsigalioję Kibernetinio saugumo įstatymo pakeitimai keičia verslo žaidimo taisykles ir perbraižo atsakomybių ribas organizacijose, diskutuoja prof. dr. Marius Laurinaitis, Mykolo Riomerio universiteto Teisės ir FinTech studijų programos vadovas, Raimondas Andrijauskas, advokatų kontoros WALLESS teisinės atitikties ekspertas, ir advokatas Danielius Matonis, WALLESS asocijuotasis partneris.

Reaguojant į augančias grėsmes ir siekiant didinti atsparumą, Lietuvoje 2024 m. spalio 18 d. įsigaliojo Kibernetinio saugumo įstatymo pakeitimai, įgyvendinantys ES NIS2 direktyvą. Pasak M. Laurinaičio, jie numato aiškesnes pareigas vadovams, kurie privalo ne tik formaliai užtikrinti dokumentaciją, bet ir realiai nuolat rūpintis, kad organizacijoje veiktų visi būtini saugumo procesai.

„Svarbu ne tik reaguoti į incidentą, bet ir iš anksto identifikuoti rizikas bei vertinti galimus pavojus“, – šiuolaikinės kibernetinės saugos logiką akcentuoja M. Laurinaitis.

Ekspertai pabrėžia, kad įstatymas siunčia aiškią žinią: reguliuotojų tolerancijos lygis mažėja ir nulinės rizikos nebelieka.

D. Matonis sako, kad kibernetinio saugumo reguliavimo kontekste svarbus ir asmeninės atsakomybės klausimas.

„Įstatymo pataisose labai aiškiai įvardinta vadovo atsakomybė – būtent jis privalo užtikrinti, kad visi procesai veiktų tinkamai. Vadovas neturi pats rašyti politikų, prižiūrėti procedūrų ir visų procesų, tačiau jis atsako už tai, kad jie būtų tinkamai parengti, įgyvendinti ir nuolat prižiūrimi. Svarbu suvokti, kad tai nėra vienkartinis veiksmas – neužtenka parengti dokumentą, padėti jį į stalčių ir dešimčiai metų pamiršti. Įstatymas numato aktyvią pareigą nuolat stebėti situaciją ir užtikrinti atitiktį“, – sako ilgametės patirties teisinių ginčų srityje turintis teisininkas.

R. Andrijauskas akcentuoja, kad požiūris į kibernetinį saugumą iš esmės keičiasi:

„Anksčiau organizacijos daugiausia rūpinosi savo komercinių paslapčių ar konfidencialios informacijos apsauga. Tačiau naujasis reguliavimas atskleidžia kitą dimensiją – tam tikros įmonės ar institucijos tampa tarsi nacionalinio saugumo ir visuomenės tvarkos garantais. Jeigu jos nukenčia, kyla grėsmė ne tik joms pačioms, bet ir visai valstybei“.

Ką tai reiškia įmonių kasdienybei, kuo realiai rizikuoja vadovai, organizacijos, jų paslaugų tiekėjai ir visuomenė? Apie tai klausykite „Verslo tribūnos“ diskusijoje.