Skip to content Skip to footer
Close

Kibernetinio saugumo atitikties vertinimas

Kodėl atitikties vertinimas tapo toks svarbus įmonėms?

Europos Sąjunga atliepdama šiandienines skaitmenines grėsmes priėmė atnaujintą Tinklų ir informacinių sistemų saugumo direktyvą, vadinamą TIS 2 (angl. NIS 2), kuri įsigaliojo 2024 m. spalio 18 d. Ši direktyva įveda griežtesnius standartus ir reikalavimus kibernetinio saugumo srityje, siekiant užtikrinti aukštesnį saugumo lygį visoje Europoje.

Lietuvoje priimtas Kibernetinio saugumo įstatymas, įsigaliojęs 2024 m. spalio 18 d., pritaiko ES TIS 2 direktyvą ir apibrėžia kibernetinio saugumo subjektus, juos skirstydamas į esminius ir svarbius. Šis įstatymas nustato konkretesnius reikalavimus kibernetinio saugumo valdymui, incidentų pranešimui ir rizikų vertinimui įvairiuose sektoriuose. Šis teisės aktas palies apie 22 tūkstančius įmonių, veikiančių įvairiuose sektoriuose, kurie yra esminiai valstybės funkcionavimui, pavyzdžiui, energetikoje, transporto, sveikatos priežiūros, bankininkystės ir kitose svarbiose srityse. TIS 2 reguliavimas yra aktualus ir kitiems subjektams, tokiems kaip valstybės institucijos, IT paslaugų tiekėjai, auditoriai ir kt.

Nacionalinis kibernetinio saugumo centras, gavęs daugiau įgaliojimų pagal šį įstatymą, gali skirti baudas už pažeidimus. Baudos skiriamos atsižvelgiant į pažeidimo rimtumą ir subjekto dydį. Esminiai subjektai gali sulaukti baudų iki 10 milijonų eurų arba iki 2% pasaulinės apyvartos, o svarbiems – iki 7 milijonų eurų arba 1,4% apyvartos. Valstybės institucijoms nustatytos mažesnės baudos, kurios priklauso nuo biudžeto dydžio.

Taigi

Kas yra kibernetinio saugumo atitikties vertinimas?

Kibernetinio saugumo atitikties vertinimas – tai procesas, kurio metu nustatoma, ar organizacijos IT sistemos, procesai ir darbuotojų praktikos atitinka teisės aktus, tarptautinius standartus (pvz., ISO 27001) ar pramonės reikalavimus.

Pagrindiniai vertinimo elementai:

  1. Rizikų vertinimas. Analizuojami galimi grėsmių scenarijai ir nustatomos pažeidžiamos vietos.

  2. Spragų analizė. Tikrinamos IT sistemos, procesai ir darbuotojų elgsena siekiant identifikuoti pažeidžiamumus.

  3. Atitikties auditas. Vertinama, kaip organizacija laikosi specifinių teisės aktų ar standartų reikalavimų.

  4. Rekomendacijų pateikimas. Pateikiamas veiksmų planas, skirtas spragoms šalinti ir saugumo lygį gerinti.

Kokios srities organizacijoms reikalingas atitikties vertinimas?

  • Energetikos, finansų, sveikatos apsaugos, transporto sektoriaus organizacijoms.

  • Mažos ir vidutinės įmonės, dirbančios su jautriais duomenimis.

  • IT paslaugų teikėjams, valdantiems klientų infrastruktūras.

kibernetinio saugumo atitikties vertinimas
Kam tai

Kodėl reikalingas kibernetinio saugumo atitikties vertinimas?

Atitikties vertinimas padeda užtikrinti ne tik organizacijos saugumą, bet ir laikytis griežtų reguliacinių reikalavimų.

👉Teisinė atitiktis. Atitikimas tokiems teisės aktams kaip Lietuvos kibernetinio saugumo įstatymas ar ES NIS2 direktyva.

👉Rizikos valdymas. Sumažinama tikimybė patirti kibernetines atakas ir su jomis susijusius nuostolius.

👉Reputacijos stiprinimas. Organizacijos, kurios laikosi saugumo standartų, pelno didesnį klientų ir partnerių pasitikėjimą.

👉Finansinių nuostolių prevencija. Efektyviai identifikuotos ir šalintos spragos apsaugo nuo baudų ar veiklos sutrikdymo.

Papildoma nauda:

  • Procesų optimizavimas. Atitikties vertinimas leidžia pagerinti IT infrastruktūros efektyvumą.

  • Darbuotojų mokymai. Audito metu identifikuojami mokymo poreikiai, padedantys darbuotojams geriau suprasti kibernetinio saugumo principus.

Kam tai

Nauji reguliavimo reikalavimai Lietuvoje ir NIS2 direktyva

2025 m. sausio 1 d. įsigalios naujas Lietuvos kibernetinio saugumo įstatymas, suderintas su ES NIS2 direktyva. Šie pokyčiai nustato griežtai nustato teisinius reikalavimus viešajam ir privačiam sektoriui, ypač svarbių paslaugų teikėjams.

Pagrindinės naujovės:

  1. Privalomas atitikties vertinimas. Organizacijos, veikiančios kritinėse infrastruktūros srityse, turės atlikti reguliarius vertinimus.

  2. Rizikų valdymo plano parengimas. Organizacijos bus įpareigotos parengti ir nuolat atnaujinti rizikų valdymo planus.

  3. Incidentų pranešimas. Visi rimti kibernetiniai incidentai turės būti pranešti per 24 valandas nuo aptikimo.

  4. Didelės baudos. Neatitiktis gali lemti dideles pinigines baudas ir reputacijos praradimą.

NIS2 direktyvos poveikis:

  • Platesnė taikymo sritis. Dabar reikalavimai taikomi ne tik didelėms organizacijoms, bet ir vidutinio dydžio įmonėms.

  • Standartizuotas rizikų vertinimas. Organizacijos turės vykdyti vienodus rizikos valdymo procesus visoje ES.

  • Didesnis institucijų vaidmuo. Nacionalinės institucijos aktyviau tikrins organizacijų atitiktį.

Kaip

Kaip atliekamas atitikties vertinimas?

  1. Duomenų rinkimas. Surenkama informacija apie organizacijos IT sistemas, procesus ir duomenų apsaugos priemones.

  2. Rizikų vertinimas. Atliekama detali analizė, identifikuojant galimas grėsmes ir pažeidžiamos vietas.

  3. Spragų analizė. Tikrinama, kaip organizacijos procesai ir infrastruktūra atitinka standartus.

  4. Rekomendacijų pateikimas. Sukuriamas veiksmų planas, skirtas spragoms šalinti.

  5. Ataskaitos parengimas. Parengiama galutinė ataskaita, kurioje pateikiamos išvados ir rekomendacijos.

Kada

Kada ir kaip pasiruošti?

Kad organizacijos atitiktų naujus reikalavimus, svarbu pradėti ruoštis jau dabar. Pagrindiniai žingsniai:

  1. Vidinis auditas. Identifikuokite dabartinę IT infrastruktūros ir procesų būklę.

  2. Pasirinkite ekspertus. Pasikliaukite sertifikuotais specialistais, turinčiais patirties atitikties vertinimo srityje.

  3. Parenkite veiksmų planą. Sukurkite planą, skirtą rizikoms šalinti ir saugumo stiprinimui.

  4. Reguliarus vertinimas. Planuokite reguliarius atitikties vertinimus, kad laiku aptiktumėte spragas.

  5. Darbuotojų mokymai. Įrašykite darbuotojus į kibernetinio saugumo kursus, kad jie suprastų savo atsakomybę.

 
Kibernetinio saugumo atitikties vertinimas yra nepakeičiama paslauga, siekiant apsaugoti organizacijos duomenis ir užtikrinti atitiktį teisės aktams. Dėl NIS2 direktyvos ir Lietuvos kibernetinio saugumo įstatymo įsigaliojimo, ši paslauga taps privaloma daugeliui sektorių. Todėl dabar yra tinkamas laikas investuoti į kibernetinį saugumą, siekiant apsaugoti ne tik IT sistemas, bet ir organizacijos reputaciją.

Pasirūpinkite įmonės saugumu iš anksto

Virtualūs asistentai - darbo automatizavimas
bet

Dar nežinai, ar tavo įmonė patenka į privalomųjų priemonių sąrašą?

Kontroliniai klausimai

Ar valdote jautrius klientų, pacientų ar finansinius duomenis?
Ar teikiate paslaugas, nuo kurių priklauso kitų įmonių ar visuomenės veikla?
Ar esate IT paslaugų teikėjas, valdantis trečiųjų šalių infrastruktūrą?
Ar jūsų IT sistemos susijusios su nacionalinės reikšmės infrastruktūra?

Peržiūrėkite savo veiklos sektorių

Jei jūsų organizacija veikia kritinėse srityse (energetika, transportas, finansai, sveikatos apsauga, IT infrastruktūros valdymas), tikėtina, kad esate įtraukti į reguliuojamų subjektų sąrašą.

Pasinaudokite oficialiais gidais

Nacionalinis kibernetinio saugumo centras dažnai publikuoja gaires ar kontrolinius sąrašus, padedančius organizacijoms įvertinti savo statusą.

Įvertinkite įmonės dydį

Pagal NIS2 direktyvą, reguliavimo reikalavimai taikomi ne tik didelėms, bet ir tam tikroms vidutinio dydžio įmonėms, kurios teikia gyvybiškai svarbias paslaugas.

Konsultuokitės su ekspertais ar atlikite pradinį vertinimą:

Kibernetinio saugumo konsultantai ar audito įmonės gali greitai nustatyti, ar jūsų organizacijai taikomi nauji reikalavimai. Taip pat galite užsisakyti kibernetinio saugumo atitikties ar rizikų vertinimo paslaugą, kurios metu profesionalai identifikuos, ar jūsų veikla yra reguliuojama, ir kokių priemonių turėtumėte imtis.

    +370 690 10 509
    info@virtuallab.lt