kiber.ltNemokama kibersaugumo analizė

Žinynas · Kibernetinio saugumo įstatymas

NIS2 reikalavimai Lietuvoje

Ką NIS2 (TIS2) direktyvos perkėlimas į Lietuvos kibernetinio saugumo įstatymą reiškia jūsų organizacijai: kam taikoma, kokie terminai, baudos, prievolės ir kodėl atsakomybė tenka vadovui.

Pasitikrink nemokamai

Kas yra NIS2 (TIS2) ir kibernetinio saugumo įstatymas

NIS2 — tai Europos Sąjungos direktyva dėl tinklų ir informacinių sistemų saugumo (lietuviškai dažnai vadinama TIS2). Lietuvoje jos reikalavimai perkelti į Kibernetinio saugumo įstatymą1 ir lydimuosius teisės aktus. Įstatymas reikšmingai išplečia subjektų, kuriems taikomi privalomi kibernetinio saugumo reikalavimai, ratą ir sustiprina priežiūrą, kurią vykdo NKSC (Nacionalinis kibernetinio saugumo centras).

Esmė vadovui paprasta: jei jūsų organizacija teikia esmines ar svarbias paslaugas, ji privalo paskirti atsakingus asmenis, valdyti rizikas, pranešti apie incidentus ir užsiregistruoti kibernetinio saugumo subjektų registre.

Kam taikoma: ar mano įmonė patenka į NIS2?

Į taikymo sritį patenka daug daugiau organizacijų nei pagal ankstesnį reguliavimą. Subjektai skirstomi į esminius ir svarbius; klasifikaciją lemia sektorius ir organizacijos dydis. Tarp aiškiai reguliuojamų sektorių:

Nesate tikri dėl statuso? Nemokama atitikties analizė aiškiai pasako, ar patenkate ir kaip esate klasifikuojami.

Terminai

Įstatymas jau galioja, o prievolės įsigalioja etapais. Užsiregistravus kibernetinio saugumo subjektų registre, organizacijos turi įgyvendinti organizacinius ir techninius reikalavimus per nustatytus pereinamuosius laikotarpius — paprastai 12 ir 24 mėnesių nuo registracijos, priklausomai nuo reikalavimo pobūdžio. Atskiri sektoriai turi savo registracijos terminus, todėl delsti nėra prasmės — tai aiškiai apibrėžiame atitikties analizės metu.

Privalomos prievolės: keturi pradiniai žingsniai

Praktiškai atitiktis prasideda nuo keturių privalomų veiksmų:

  1. Atsakingų asmenų paskyrimassaugos įgaliotinis ir kibernetinio saugumo vadovas, atitinkantys įstatymo 15 straipsnio1 kvalifikaciją.
  2. Prisijungimas prie NKSC sistemos (KSIS) — registracija kibernetinio saugumo subjektų registre.
  3. Rizikos vertinimas — IT ir technologinės (OT) aplinkos rizikų įvertinimas pagal reguliuotojo metodiką.
  4. Rizikos valdymo planas — priemonių ir dokumentacijos parengimas.

Toliau seka nuolatinės prievolės: incidentų valdymas ir pranešimai NKSC, tiekimo grandinės saugumas, periodinė peržiūra. Nuolatinę apsaugą užtikrina MDR — valdoma stebėsena.

NIS2 baudos už neatitiktį

Sankcijos yra reikšmingos ir diferencijuotos pagal subjekto tipą. Baudas ir jų dydžius nustato įstatymo 30 straipsnis1:

  • Esminiams subjektams — iki 10 mln. Eur arba 2 % metinės pasaulinės apyvartos (taikomas didesnis dydis).
  • Svarbiems subjektams — iki 7 mln. Eur arba 1,4 % apyvartos.
  • NKSC gali laikinai sustabdyti organizacijos vadovo įgaliojimus ir pačią veiklą, kol reikalavimai nebus įvykdyti — pagal įstatymo 33 straipsnį1.
„…administracinės baudos iki 7 mln. eurų svarbiems ir iki 10 mln. eurų esminiams subjektams.“
Krašto apsaugos ministerija (kam.lt)

Vadovo atsakomybė

Tai — ne IT skyriaus klausimas. Pagal kibernetinio saugumo įstatymą1 už reikalavimų įgyvendinimą asmeniškai atsako organizacijos vadovas. Vadovas privalo užtikrinti rizikos valdymo priemonių patvirtinimą ir priežiūrą, o neatitiktis gali turėti tiesioginių pasekmių jam asmeniškai.

„Už šiame apraše nustatytų reikalavimų įgyvendinimą yra tiesiogiai atsakingas organizacijos vadovas, kuris taip pat turės pasirūpinti už kibernetinį saugumą atsakingų asmenų pareigybių paskyrimu.“
Nacionalinis kibernetinio saugumo centras (NKSC)

Kodėl tai aktualu dabar

Grėsmių lygis auga. 2025 m. kibernetinių incidentų Lietuvos organizacijų sistemose užfiksuota 280 — apie 81 % daugiau nei 2024 m. (155).2 Kritinė infrastruktūra, įskaitant vandentvarką, yra konkretus taikinys: kaimyninės šalies vandentvarkos įmonę pasiekusi, Rusijai priskirta ataka sukėlė vamzdynų gedimus.3 Vadovui klausimas nebėra „ar“, o „kada“.

Kaip pasiekti atitiktį greitai?

Mūsų atitikties sprintas uždaro keturis privalomus žingsnius fiksuota kaina. Pradėkite nuo nemokamos atitikties analizės.

DUK

Dažni klausimai apie NIS2 reikalavimus

Į kibernetinio saugumo įstatymo (NIS2/TIS2) taikymo sritį patenka tiek viešojo, tiek privataus sektoriaus organizacijos: vandentvarkos, atliekų tvarkymo, energetikos, transporto ir savivaldybių valdomos įmonės, taip pat privati skaitmeninė infrastruktūra, IRT paslaugų valdymas, gamyba, maisto ir chemijos pramonė bei kiti sektoriai. Tikslų statusą — esminis ar svarbus subjektas — lemia veiklos sektorius ir dydis. Nemokamos atitikties analizės metu aiškiai pasakome, ar jūsų organizacija patenka ir kokie reikalavimai jai taikomi.
Esminiams subjektams baudos siekia iki 10 mln. Eur arba 2 % metinės pasaulinės apyvartos (taikomas didesnis dydis), svarbiems subjektams — iki 7 mln. Eur arba 1,4 % apyvartos. NKSC taip pat gali laikinai sustabdyti organizacijos vadovo įgaliojimus ir pačią veiklą, kol reikalavimai nebus įvykdyti. Atsakomybė tenka asmeniškai organizacijos vadovui.
Atitiktį padedame pasiekti iki įstatymo termino — rugpjūčio 31 d. Fiksuotos apimties sprintas įvykdo keturis privalomus pradinius žingsnius: atsakingų asmenų paskyrimą, prisijungimą prie NKSC sistemos (KSIS), rizikos vertinimą ir rizikos valdymo planą. Galutinį vertinimą atlieka reguliuotojas, todėl svarbu pradėti iš anksto.
Taip. Saugos įgaliotinį ir kibernetinio saugumo vadovą teikiame kaip paslaugą — funkcijas atlieka asmenys, atitinkantys Kibernetinio saugumo įstatymo 15 straipsnio kvalifikacinius reikalavimus. Tai greitesnis ir pigesnis kelias nei įdarbinti specialistą, o vienas paslaugos teikėjas gali aptarnauti kelias organizacijas.
Ne. Mes teikiame priežiūrą — saugos įgaliotinį ir stebėseną — o praktinį sistemų administravimą atlieka jūsų pačių IT skyrius arba atskira šalis. Taip išlaikomas nepriklausomumas: niekada nevertiname savo pačių atlikto darbo.
Sprintas teikiamas fiksuota kaina su aiškiai apibrėžta apimtimi — be atviro „valandinio“ konsultavimo. Tikslią sumą pateikiame po nemokamos atitikties analizės.

Kitas žingsnis

Pradėkite nuo nemokamos NIS2 atitikties analizės

Per trumpą pokalbį įvertiname, ar jūsų organizacija patenka į NIS2 (TIS2), ir paaiškiname, ko trūksta iki atitikties.

Pateikdami sutinkate, kad susisieksime dėl jūsų užklausos. Duomenis tvarkome pagal privatumo politiką.