General Counsel

May 29, 2025

5 min. read

NIS2 direktyvos reglamentavimas ir įgyvendinimas Lietuvoje

Share:

NIS2 direktyvos reglamentavimas ir įgyvendinimas Lietuvoje

Puikiai prisimenu, kaip 2024-ųjų pabaigoje staiga išaugo skambučių skaičius iš Baltijos šalių klientų. Akivaizdu, kad kažkas pasikeitė. Dauguma klausimų sukosi apie vieną temą: „Ar jau atitinkame NIS2 reikalavimus?“ Tai buvo daugiau nei vien tik reguliavimo nerimas—tai buvo suvokimas, kad Lietuvos kibernetinio atsparumo taisyklės iš esmės pasikeitė. Įsigaliojus Tinklų ir informacinių sistemų saugumo direktyvai (NIS2), skubiai susirūpino visos kritinės sektoriaus įmonės—nuo gamybos iki sveikatos apsaugos.

Lietuva ne tik formaliai įgyvendina NIS2. Mūsų šalis priėmė centralizuotą modelį, kuris gerokai pakelia reikalavimų kartelę tūkstančiams organizacijų. Taigi, ką reiškia NIS2 Lietuvoje ir kaip turėtų ruoštis suinteresuotieji asmenys? Panagrinėkime įstatymą, terminus, pareigas ir tikrąją riziką.

Lietuva ir NIS2: 2025 m. balandžio mėn.

Tikrasis pokytis prasidėjo, kai Lietuvos Seimas priėmė Įstatymą Nr. XIV-2902, kuriuo buvo pakeistas nacionalinis Kibernetinio saugumo įstatymas (Nr. XII-1428). Taip Lietuva oficialiai atsisakė pasenusio NIS-1 režimo ir įvedė naują, su Europos Sąjungos NIS2 direktyva suderintą teisinį pagrindą.

Štai dabartinė padėtis:

TemaBūsena ir komentarai
TranspozicijaNaujas įstatymas priimtas 2024-07-11, įsigaliojo 2024-10-18
Taikymo sritisIšplėsta nuo ~1 000 iki 8 000–10 000 subjektų
Subjektų klasifikacijaEsminiai: ≥250 darbuotojų arba €50M apyvarta; Svarbūs: ≥50 darbuotojų arba €10M
TerminasSubjektai turi būti įtraukti iki 2025-04-17; po to taikomi 12 ir 24 mėn. laikotarpiai
Pranešimai24 val. signalas → 72 val. atnaujinimas → 30 d. galutinė ataskaita
PriežiūraNacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos
SankcijosIki €10M arba 2% pasaulinės apyvartos esminiams subjektams
Viešasis sektoriusĮtrauktas, bet taikomos korekcinės priemonės vietoj baudų
NIS2 įgyvendinimo apžvalga – Lietuva (2025 m. balandžio mėn.)

Dabar apžvelkime svarbiausius NIS2 įgyvendinimo Lietuvoje aspektus – nuo teisėkūros terminų iki to, ką įmonės turėtų daryti jau dabar.

Nuo konsultacijų iki įgyvendinimo: NIS2 kelias Lietuvoje

Lietuva pasirinko nuoseklų ir skaidrų teisinį procesą. Tai padėjo įtvirtinti pasitikėjimą ir užtikrinti, kad paveiktos organizacijos turėtų laiko pasiruošti.

Svarbiausi NIS2 transpozicijos terminai Lietuvoje

  • 2023-09-01 – projektas paskelbtas konsultacijoms (baigta)
  • 2024-07-11 – įstatymas priimtas Seime (baigta)
  • 2024-10-18 – įstatymas įsigaliojo (baigta)
  • 2025-04-17 – NKSC turi pateikti subjektų sąrašą (vyksta)
  • 2025 spal. – 2026 spal. – įgyvendinamos organizacinės priemonės (artėja)
  • 2026 spal. – 2027 spal. – įgyvendinamos techninės priemonės (artėja)
  • Nuo 2027 m. – prasideda sektoriaus ir NKSC auditai (planuojama)

Svarbu žinoti, kad laikrodis pradeda tiksėti tik tuomet, kai subjektas yra įtrauktas į NKSC sąrašą. Nuo to momento įsigalioja 12 arba 24 mėn. terminai.

Kaip Lietuva įgyvendina NIS2 direktyvą

Lietuvos požiūris išsiskiria Europoje dėl trijų pagrindinių priežasčių: centralizuoto valdymo, karinės priežiūros ir aiškiai struktūrizuoto atitikties kelio. Pakeistas Kibernetinio saugumo įstatymas glaudžiai atitinka NIS2 21 straipsnį – nuo rizikos valdymo iki vadovybės atsakomybės.

Svarbiausios įstatymo dalys:

  • I–II skyriai – Apibrėžia sąvokas, įtraukia universitetus ir mokslinius tyrimus į nacionalinius sektorius
  • III skyrius – Prilygina rizikos valdymą ISO 27001; reikalauja valdybos patvirtintų kibernetinio saugumo planų
  • IV skyrius – Nustato 24/72/30 dienų incidentų pranešimo tvarką; leidžia teikti pranešimus apie vos neįvykusius incidentus
  • V skyrius – Suteikia auditų teises NKSC ir leidžia sektorių reguliuotojams prižiūrėti savo sritis
  • VI skyrius – Numato baudas, kasdienes sankcijas, direktorių diskvalifikaciją
  • Pereinamasis laikotarpis – Buvę NIS-1 subjektai automatiškai tampa esminiais

NKSC savarankiškai sudarys subjektų sąrašus—nereikės savarankiškos registracijos. Taip siekiama užtikrinti, kad niekas nepraslystų nepastebėtas.

Sankcijos ir vadovų atsakomybė

Nesilaikyti NIS2 Lietuvoje reiškia daugiau nei administracinę nuobaudą. Sankcijos yra rimtos, o atsakomybė kyla ir valdybai. Vadovų atsakomybė nebėra teorinė – ji yra vykdytina.

Subjekto tipasMaksimali baudaEskalacijos kelias
Esminiai€10M arba 2% pasaulinės apyvartosĮspėjimas → Nurodymas → Bauda → Maksimali bauda
Svarbūs€7M arba 1.4% pasaulinės apyvartosTas pats kaip aukščiau
Procedūriniai pažeidimai€0.3–2MUž terminų nesilaikymą ar dalinę atitiktį
VadovaiDiskvalifikacija iki 3 metųJei kartojasi aplaidumas
Viešasis sektoriusBe piniginių baudųTaikomos korekcinės priemonės, viešinimas
Sankcijų struktūra pagal naująjį įstatymą

Ši struktūra keičia kultūrą: kibernetinis saugumas tampa valdybos, t.y. strateginiu, klausimu. Vadovai turi formaliai patvirtinti kibernetinius planus ir ruoštis pirmajam auditui 2027 m.

Poveikis sektoriams: nuo ligoninių iki šilumos tinklų

NIS2 praplėtė reglamentavimo apimtį, įtraukdama daugybę naujų sektorių. Tai nėra paprastas taisyklių patikslinimas—tai esminis plėtros žingsnis.

SektoriusPokyčiaiNaujos pareigos
GamybaNuo šiol priskiriama „svarbiems“Rizikos vertinimas tiekimo grandinėje, „red team“ testavimas
EnergetikaĮtraukia SGD, šilumos tinklusRodiklių stebėsena, atskaitomybė VERT
Sveikatos apsaugaNuo 60 iki daugiau nei 200 subjektųIncidentų pratybos, ISO 27001
Skaitmeninė infrastruktūraEsminiai nepriklausomai nuo dydžio24/7 SOC ES ribose, tiekėjų registras
FinansaiPersidengia su DORATLPT ciklai, dvigubi pranešimų kanalai
Viešasis sektoriusMinisterijos ir savivaldybėsCISO paskyrimas, privalomi pranešimai
Pagrindiniai pokyčiai pagal sektorius

Kokių veiksmų organizacijos privalo imtis jau dabar

Daugelis laukia, kol bus įtraukti į NKSC sąrašą, bet tai nereiškia, kad reikia laukti be veiksmų. Kuo anksčiau pradėsite ruoštis, tuo mažiau skausmingas bus atitikties laikotarpis.

Pagrindiniai veiksmai:

  • Patikrinkite savo statusą NKSC įrankiu;
  • Atlikite trūkumų analizę pagal 21 straipsnį;
  • Parenkite incidentų SOP pagal 24h/72h/30d taisyklę, suderintą su BDAR;
  • Įtraukite valdybą dabar – tai sumažins riziką vėliau;
  • Suplanuokite pirmąjį auditą 2027 m. ir dokumentuokite veiksmus.

Ar jūsų organizacija pasirengusi NIS2?

NIS2 įgyvendinimas Lietuvoje yra aiškus signalas: kibernetinis saugumas nebėra vien IT problema. Tai strateginis, operacinis ir valdybos klausimas.

Lietuvoje įstatymas jau galioja, o NKSC sąrašų pateikimo terminas artėja. Laiko dvejonėms nebėra. Sprendimai, kuriuos priimate šiandien – rizikos vertinimai, vadovybės įtraukimas – nulems jūsų organizacijos atsparumą ateityje.

Automate Your Cybersecurity and Compliance

It's like an in-house cybersecurity & compliance team for a monthly subscription! No prior cybersecurity or compliance experience needed.

Share this article

Post on Linkedin
Post on Facebook
Post on X

How useful was this post?

0 / 5. 0

General Counsel

He is regulatory compliance strategist with over a decade of experience guiding fintech and financial services firms through complex EU legislation. He specializes in operational resilience, cybersecurity frameworks, and third-party risk management. Nojus writes about emerging compliance trends and helps companies turn regulatory challenges into strategic advantages.
  • DORA compliance
  • EU regulations
  • Cybersecurity risk management
  • Non-compliance penalties
  • Third-party risk oversight
  • Incident reporting requirements
  • Financial services compliance

Explore further

  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • Insights
  • ISO 27001
  • Templates
  • Third-party risk management
  • Checklists
  • Guide
  • Questionnaire
  • Compliance & Regulations
  • Checklists
  • GRC
  • ISO 27001
  • Templates
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • Checklists
  • HIPAA
  • Questionnaire
  • Templates
  • Compliance & Regulations
  • GDPR
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001