Spalio 2 dieną Kauno prekybos, pramonės ir amatų rūmuose įvyko tradicinė „Vadovo diena“. Šį kartą įmonių vadovu buriantis renginys buvo skirtas kibernetinio saugumo aktualijoms. Renginį atidarė KPPAR prezidentas Zigmantas Dargevičius, pabrėžęs bendruomenės telkimą ir temų aktualumą verslui. Spalis – Europos kibernetinio saugumo mėnuo. Tad renginio metu siekta sužinoti kaip Lietuvos organizacijoms sekasi įgyvendinti atnaujinto LR kibernetinio saugumo reikalavimus. Renginio organizacinis partneris – UAB „Isolita“.
Renginyje dalyvavo ir įžanginius žodžius sakė LR Seimo narys Kazys Starkevičius bei LR Krašto apsaugos ministerijos Kibernetinio saugumo ir informacinių technologijų politikos grupės vadovas Darius Adomaitis. Pranešimus skaitė Advokatų profesinės bendrijos „Newton Law“ advokato padėjėja Akvilė Laurinaitytė, sertifikuotas kibernetinio saugumo ir asmens duomenų saugos ekspertas (CISA, CIPP/E) Ignas Sidaras, UAB „Vilniaus vandenys“ kibernetinio saugumo vadovas Julius Lisauskas, Kauno technologijos universiteto Interneto paslaugų centro (DOMREG) vadovas Tomas Mackus.
Advokato padėjėja Akvilė Laurinaitytė („Newton Law“) savo pranešime „Organizaciniai pokyčiai, atsakomybė, veiklos tęstinumo užtikrinimas“ akcentavo organizacinius pokyčius ir atsakomybes: vadovybės vaidmenį tvirtinant strategiją ir išteklius, kvalifikacinius reikalavimus kibernetinio saugumo vadovui bei saugos įgaliotiniams (numatytas 2 metų pereinamasis laikotarpis iki 2026-10-18), veiklos tęstinumo planų rengimą bei testavimą, tiekimo grandinės saugumo įgyvendinimą (atrankos kriterijai, sutarčių peržiūra, tiekėjų registras) ir galimas sankcijas tiek subjektams, tiek vadovams. Pažymėti iššūkiai: specialistų stoka ir poreikis vadovams gilinti žinias bei bendradarbiauti su IT komanda.
Kibernetinio saugumo ekspertas Ignas Sidaras aptarė Europos Sąjungos tinklų ir informacinių sistemų saugumo direktyvos antrosios redakcijos (vadinamosios NIS2) ir Lietuvos Respublikos Kibernetinio saugumo įstatymo praktinį įgyvendinimą: direktyvos taikymą „esminiams“ ir „svarbiems“ subjektams (apie 1400 įmonių) bei netiesioginį taikymą informacinių ir ryšių technologijų tiekėjams per sutartis; pereinamuosius terminus (1 metai organizacinėms ir 2 metai techninėms priemonėms naujai įtrauktiems); reikšmingas baudas (iki 10 mln. arba 2 % apyvartos) ir tiesioginę vadovo atsakomybę; būtinybę nuo detalaus rizikos vertinimo pradėti kasmetinį atitikties ciklą ir pasirengti plačiam dokumentų rinkiniui (politikos, planai, registrai, incidentų valdymas, žurnalai, atsarginės kopijos, tiekėjų valdymas ir kt.). Išryškintos dažniausios praktinės klaidos: neįvertintas brandos lygis, trūkstantis vadovybės palaikymas, resursų ir laiko planavimas.
Julius Lisauskas pristatė „Vilniaus vandenų“ kelią į Europos Sąjungos tinklų ir informacinių sistemų saugumo direktyvos antrosios redakcijos įgyvendinimą: aiškią valdymo struktūrą (nuo valdybos ir komitetų iki kibernetinio saugumo vadovo, saugumo operacijų centro ir rizikų valdymo), nuoseklų rizikų valdymo procesą ir aktyvią kultūrą – reguliarius fišingo, smišingo ir višingo testus, mokymus darbuotojams ir valdybai, bendradarbiavimą su bendruomenėmis („SOCshare“, „Vilnius Cyber Grid“) bei planus dėl ISO 27001, ISO 22301, trečiųjų šalių valdymo stiprinimo, postkvantinės kriptografijos ir dirbtinio intelekto keliamų iššūkių.
Tomas Mackus (DOMREG) pasidalijo specialiajam kibernetinio saugumo subjektui taikomų reikalavimų įgyvendinimo niuansais: DOMREG vaidmeniu administruojant nacionalinį aukščiausio lygio domeną .lt ir domenų vardų sistemos paslaugas, statusu kaip ypatingos svarbos informacinės infrastruktūros valdytojui bei specialiam kibernetinio saugumo subjektui nuo 2025-04-17, taip pat Europos Sąjungos reglamento 2024/2690 techninių ir metodinių priemonių ir „didelio incidento“ kriterijų praktiniais aspektais domenų vardų sistemos ir aukščiausio lygio domeno aplinkoje. Paminėtos ENISA gairės (rizikos valdymo išplėtimas, „Zero Trust“, „red teaming“, grėsmių žvalgyba, nuolatinės pratybos) ir Lietuvos Respublikos Kibernetinio saugumo įstatymo santykis su ISO 27001.
Renginys baigtas bendrais klausimais–atsakymais ir neformaliu bendravimu – sutarta, kad sėkminga Europos Sąjungos tinklų ir informacinių sistemų saugumo direktyvos antrosios redakcijos ir Lietuvos Respublikos Kibernetinio saugumo įstatymo įgyvendinimo praktika remiasi vadovų lyderyste, realistišku rizikų įvertinimu, nuoseklia dokumentacija, tiekimo grandinės kontrole ir nuolatiniu darbuotojų ugdymu.
