2 июля 2025 года вступили в силу Правила Кабинета Министров № 397 «Минимальные требования по кибербезопасности» (далее – правила Кабинета Министров), принятые на основании Закона о национальной кибербезопасности.
Распространяются ли эти требования на Вашу компанию?
Согласно правилам Кабинета Министров субъектами минимальных требований кибербезопасности являются поставщики основополагающих услуг, поставщики важных услуг, а также владельцы или законные держатели критической инфраструктуры информационных и коммуникационных технологий (ИКТ). Национальный центр кибербезопасности разработал тест с целью помочь организациям определить, распространяются ли на них положения Закона о национальной кибербезопасности.
Каковы требования и сроки?
В соответствии с правилами Кабинета Министров и Законом о национальной кибербезопасности поставщики основополагающих и важных услуг до 1 октября 2025 года обязаны:
- подать отчет о самооценке в Национальный центр кибербезопасности,
- назначить управляющего по кибербезопасности и впервые уведомить о его назначении как Национальный центр кибербезопасности, так и Бюро по защите Конституции.
Правила Кабинета Министров также предусматривают, что субъекты обязаны разработать и поддерживать в актуальном состоянии пакет документов по управлению кибербезопасностью, в который входят такие документы, как политика кибербезопасности, план управления киберрисками, журнал киберинцидентов и др.
Регулирование устанавливает обязанность обеспечивать управление пользователями и правами доступа, управление журналами сетевой активности и резервным копированием, организацию мероприятий по кибергигиене (обучение), применение решений по шифрованию, выполнение общих и специальных требований к внешним поставщикам услуг, а также соблюдение принципов управления киберинцидентами.
Также следует учитывать, что даже в случае, если Ваша компания сама по себе не считается поставщиком существенных или важных услуг, при сотрудничестве с таким поставщиком от неё может потребоваться информация о реализованных мерах кибербезопасности и соблюдении требований, установленных Законом о национальной кибербезопасности и правилами Кабинета Министров.
Важно отметить, что Национальный центр кибербезопасности имеет право проводить аудиты на соответствие требованиям, установленным в нормативных актах, и предоставлять рекомендации по улучшению кибербезопасности компаний или учреждений.
За существенное несоответствие требованиям Закона о национальной кибербезопасности Национальный центр кибербезопасности имеет право применить штраф:
- в отношении поставщиков основополагающих услуг — до 10 миллионов евро или, если годовой оборот превышает 500 миллионов евро, — до 2 % от оборота за последний финансовый год.
- в отношении поставщиков важных услуг — до 7 миллионов евро или, если годовой оборот превышает 500 миллионов евро, — до 1,4 % от оборота за последний финансовый год.
Мы можем помочь!
Бюро присяжных адвокатов «Jaunzars un Partneri» в сотрудничестве с командой специалистов по кибербезопасности SIA «IPRO» предлагает выполнить:
- Оценку классификации Вашей компании;
- Аудит документов и оценку соответствия существующих технических решений;
- Разработку стратегии внедрения требований;
- Разработку документации по кибербезопасности;
- Внедрение технических решений, соответствующих нормативным актам.
Свяжитесь с нами, чтобы получить детальное предложение, соответствующее специфике Вашей компании.