NIS2 reikalavimai. NIS2 reikalavimai. Ar jūsų įmonė privalo juos atitikti?
Kas yra NIS2 direktyva?
Nuo 2024 m. Europos Sąjungoje įsigaliojo NIS2 direktyva („Network and Information Systems Directive“), kuri nustato griežtesnius kibernetinio saugumo reikalavimus įvairioms įmonėms ir organizacijoms, ji pakeičia ankstesnę NIS direktyvą (2016/1148). ir yra skirta stiprinti kibernetinio saugumo standartus visose ES valstybėse narėse, užtikrinant nuoseklesnį reguliavimą. Direktyva taikoma įvairioms sektorių grupėms, tokioms kaip energetika, transportas, finansų paslaugos, sveikatos apsauga, viešasis sektorius ir skaitmeninė infrastruktūra.
Kam tikomi NIS2 reikalavimai?
Pagal Lietuvos kibernetinio saugumo įsatymą Kibernetinio saugumo subjektais tampa tie, kurie teikia paslaugas arba vykdo veiklą, susijusią su tinklų ir informacinių sistemų valdymu ar tvarkymu. Šie subjektai registruojami Kibernetinio saugumo informacinėje sistemoje.
Subjektai skirstomi į dvi grupes:
- Esminiai subjektai – jų veiklos ar paslaugų sutrikimas turėtų didelį poveikį visuomenei, ekonomikai ar saugumui.
- Svarbūs subjektai – jų veiklos ar paslaugų sutrikimas būtų mažesnės reikšmės, bet vis tiek reikšmingas.
Kada atsiranda pareigos?
Kibernetinio saugumo subjektai įpareigojami laikytis tam tikrų reikalavimų tik tada, kai jie įregistruojami Kibernetinio saugumo informacinėje sistemoje.

Esminiai subjektai
Subjektas priskiriamas esminiams, jei:
👉Teikia paslaugas arba vykdo veiklą strateginiuose sektoriuose (pvz., energetikos, transporto), viršija vidutinio dydžio įmonės ribas (daugiau nei 250 darbuotojų arba apyvarta didesnė nei 50 mln. eurų).
👉Teikia paslaugas skaitmeninės infrastruktūros sektoriuje (pvz., domenų vardų registravimas, DNS paslaugos).
👉Teikia viešąsias elektroninių ryšių paslaugas ar tinklus ir yra laikomas vidutinio dydžio įmone (pvz., telefonija, interneto paslaugos).
👉Laikomas ypatingos svarbos subjektu pagal Krizių valdymo ir civilinės saugos įstatymą.
👉Veikia viešojo administravimo sektoriuje (centrinės, regioninės valdžios įstaigos).
👉Valdo ar tvarko ypatingos svarbos valstybės informacinius išteklius.
👉Yra svarbus nacionaliniam saugumui (pvz., jo infrastruktūra įtraukta į svarbių objektų sąrašą).
Svarbūs subjektai
Subjektas priskiriamas svarbiems, jei:
👉Veikia sektoriuose, kurie nėra tokie strategiškai svarbūs kaip esminių subjektų (nurodyta 2 priede), ir viršija mažos įmonės ribas (10–49 darbuotojai, apyvarta – daugiau nei 2 mln. eurų).
👉Veikia 1 priede nurodytuose sektoriuose, bet yra mažesnė už vidutinę įmonę.
👉Teikia nekvalifikuotas paslaugas (pvz., mažiau svarbios skaitmeninės infrastruktūros paslaugos).
👉Teikia mažesnės apimties viešųjų elektroninių ryšių paslaugas (pvz., vietinės interneto paslaugos).
👉Tvarko valstybės informacinius išteklius.
👉Registruoja domenų vardus arba teikia elektroninės informacijos prieglobos paslaugas.
Specialieji kriterijai
Šie kriterijai taikomi subjektams, kurių veikla arba paslaugos yra ypatingai svarbios:
👉Subjektas vykdo ypatingos svarbos mokslinius tyrimus.
👉Subjektas yra vienintelis tam tikros svarbios paslaugos teikėjas (pvz., elektros tiekimas konkrečiame regione).
👉Paslaugos sutrikimas turėtų reikšmingą poveikį visuomenės saugumui ar sveikatai.
👉Sutrikimas galėtų sukelti tarpvalstybinę riziką (pvz., paveiktų kaimynines valstybes).
👉Paslaugos yra strategiškai svarbios konkrečiam sektoriui (pvz., sveikatos sektoriui).
👉Paslaugos sutrikimas reikšmingai paveiktų valstybės institucijas ar gyventojus.
👉Subjekto veikla svarbi esminiams subjektams.
👉Paslaugos būtinos valstybės funkcijoms (pvz., mobilizacijai) vykdyti.
NIS2 reikalavimai
NIS2 direktyva nustato konkrečius kibernetinio saugumo standartus ir priemones. Pagrindiniai reikalavimai:
👉Rizikos valdymas. Organizacijos turi identifikuoti, vertinti ir valdyti kibernetines rizikas.
👉Incidentų valdymas. Privaloma turėti incidentų valdymo planus, kurie apima reagavimą, atkūrimą ir pranešimą apie saugumo pažeidimus.
👉Reguliarus auditas. Įmonės turi reguliariai atlikti saugumo auditus ir testavimus, kad įsitvirtintų, jog atitinka reikalavimus.
👉Pranešimas apie incidentus. Privaloma per 24 valandas informuoti atsakingas institucijas apie reikšmingus kibernetinio saugumo incidentus.
👉Tiekimo grandinės saugumas. Reikalaujama užtikrinti, kad tiekėjai ir partneriai laikytųsi panašių saugumo standartų.
👉Valdybos atsakomybė. Vadovybė turi užtikrinti, kad įmonės laikosi NIS2 reikalavimų, bei reguliariai stebėti saugumo priemonių veiksmingumą.
Kontroliuojančios institucijos ir priežiūros mechanizmai
Kiekvienoje ES valstybėje narėje yra paskiriama viena ar daugiau institucijų, atsakingų už NIS2 direktyvos laikymosi priežiūrą. Lietuvoje pagrindinės funkcijos tikėtinai bus patikėtos Nacionaliniam kibernetinio saugumo centrui (NKSC) arba kitoms specializuotoms institucijoms, kurios tikrina:
👉Rizikos valdymo priemonių įgyvendinimą.
👉Incidentų valdymo planus ir veiksmingumą.
👉Atitiktį reikalavimams tiekimo grandinėje.
Be to, institucijos turi teisę atlikti patikras, reikalauti informacijos ir skirti sankcijas už nustatytus pažeidimus.
Iki kada būtina atitikti reikalavimus?
NIS2 direktyva numato pereinamąjį laikotarpį, kurio metu organizacijos privalo užtikrinti, kad visi reikalavimai bus įgyvendinti. Vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymu, visi kibernetinio saugumo subjektai privalo reikalavimus įgyvendinti per Vyriausybės nustatytą ne trumpesnį kaip 12 mėnesių terminą nuo jų įregistravimo Kibernetinio saugumo informacinėje sistemoje.
Lietuvoje Kibernetinio saugumo subjektų registras turi būti sudarytas iki 2025 m. balandžio 17 d.
KAM šį procesą vykdo Nacionalinis kibernetinio saugumo centras (NKSC), kuris identifikuoja atitinkamus subjektus ir juos įtraukia į registrą.
Registracijos procesas:
👉Identifikavimas. NKSC, bendradarbiaudamas su kitomis institucijomis, vertina įvairius duomenis ir identifikuoja įmones, kurios turėtų būti įtrauktos į Kibernetinio saugumo subjektų registrą.
👉Informavimas. Identifikuoti subjektai apie jų įtraukimą į registrą bus informuojami iki 2025 m. balandžio 17 d.
👉Duomenų pateikimas. Gavus pranešimą, įmonės turės prisijungti prie Kibernetinio saugumo informacinės sistemos (KSIS) ir pateikti reikiamus duomenis apie savo veiklą, teikiamas paslaugas, veiklos sektorių, įmonės dydį, pajamas ir kt.
👉Svarbu. Įmonės taip pat turi teisę savanoriškai kreiptis dėl įtraukimo į registrą, jei mano, kad jų veikla atitinka kibernetinio saugumo subjekto kriterijus.
Pareigybės ir funkcijos įmonėje
Kad atitiktų NIS2 reikalavimus, įmonės turi numatyti specifines pareigybes ir funkcijas:
👉Kibernetinio saugumo vadovas (CISO)
Atsakingas už organizacijos kibernetinio saugumo strategiją ir rizikų valdymą.
Reikalavimai CISO:
Bent 2 metų patirtis kibernetinio saugumo ar tinklų ir informacinių sistemų srityje arba šių sričių kvalifikaciją patvirtinantis aukštojo mokslo diplomas, tarptautiniu lygmeniu pripažįstamas kvalifikacijos sertifikatasarba Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka būti išklausę mokymus ir išlaikę kibernetinio saugumo vadovo egzaminą.
👉Saugos įgaliotinis
Gali būti samdomas iš išorės, tačiau reikia užtikrinti atitiktį įstatymų reikalavimams.
❗️Kibernetinio saugumo vadovas (CISO) gali vykdyti saugos įgaliotinio funkcijas.
Sankcijos už NIS2 reikalavimų nesilaikymą
NIS2 direktyva numato reikšmingas finansines sankcijas už pažeidimus.
👉Įmonėms gali būti skiriamos baudos iki 10 milijonų eurų arba 2% metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.
👉Papildomai gali būti taikomos sankcijos vadovybei, pavyzdžiui, laikinai sustabdytos pareigos.
Svarbu pabrėžti, kad NIS2 direktyva skiria ypatingą dėmesį ne tik faktiniam kibernetiniam incidentui, bet ir prevencinių priemonių trūkumo atvejams.
Kaip pasiruošti NIS2 reikalavimams?
👉Atlikite kibernetinio saugumo auditą. Identifikuokite stipriąsias ir silpnąsias savo sistemos vietas.
👉Sukurkite rizikų valdymo planą. Apibrėžkite, kaip bus identifikuojamos ir valdomos rizikos.
👉Investuokite į technologijas. Naudokite pažangias kibernetinio saugumo priemones, tokias kaip ugniasienės, šifravimas ir incidentų stebėjimo sistemos.
👉Ruoškite personalą. Apmokykite darbuotojus atpažinti ir tinkamai reaguoti į kibernetines grėsmes.
👉Tvirtinkite tiekimo grandinę. Pasirūpinkite, kad partneriai ir tiekėjai atitiktų kibernetinio saugumo standartus.
Pasirūpinkite įmonės saugumu iš anksto
Dar nežinai, ar tavo įmonė patenka į privalomųjų priemonių sąrašą?
Kontroliniai klausimai
Ar valdote jautrius klientų, pacientų ar finansinius duomenis?
Ar teikiate paslaugas, nuo kurių priklauso kitų įmonių ar visuomenės veikla?
Ar esate IT paslaugų teikėjas, valdantis trečiųjų šalių infrastruktūrą?
Ar jūsų IT sistemos susijusios su nacionalinės reikšmės infrastruktūra?
Peržiūrėkite savo veiklos sektorių
Jei jūsų organizacija veikia kritinėse srityse (energetika, transportas, finansai, sveikatos apsauga, IT infrastruktūros valdymas), tikėtina, kad esate įtraukti į reguliuojamų subjektų sąrašą.
Pasinaudokite oficialiais gidais
Nacionalinis kibernetinio saugumo centras dažnai publikuoja gaires ar kontrolinius sąrašus, padedančius organizacijoms įvertinti savo statusą.
Įvertinkite įmonės dydį
Pagal NIS2 direktyvą, reguliavimo reikalavimai taikomi ne tik didelėms, bet ir tam tikroms vidutinio dydžio įmonėms, kurios teikia gyvybiškai svarbias paslaugas.
Konsultuokitės su ekspertais ar atlikite pradinį vertinimą:
Kibernetinio saugumo konsultantai ar audito įmonės gali greitai nustatyti, ar jūsų organizacijai taikomi nauji reikalavimai. Taip pat galite užsisakyti kibernetinio saugumo atitikties ar rizikų vertinimo paslaugą, kurios metu profesionalai identifikuos, ar jūsų veikla yra reguliuojama, ir kokių priemonių turėtumėte imtis.