Puikiai prisimenu, kaip 2024-ųjų pabaigoje staiga išaugo skambučių skaičius iš Baltijos šalių klientų. Akivaizdu, kad kažkas pasikeitė. Dauguma klausimų sukosi apie vieną temą: „Ar jau atitinkame NIS2 reikalavimus?“ Tai buvo daugiau nei vien tik reguliavimo nerimas—tai buvo suvokimas, kad Lietuvos kibernetinio atsparumo taisyklės iš esmės pasikeitė. Įsigaliojus Tinklų ir informacinių sistemų saugumo direktyvai (NIS2), skubiai susirūpino visos kritinės sektoriaus įmonės—nuo gamybos iki sveikatos apsaugos.
Lietuva ne tik formaliai įgyvendina NIS2. Mūsų šalis priėmė centralizuotą modelį, kuris gerokai pakelia reikalavimų kartelę tūkstančiams organizacijų. Taigi, ką reiškia NIS2 Lietuvoje ir kaip turėtų ruoštis suinteresuotieji asmenys? Panagrinėkime įstatymą, terminus, pareigas ir tikrąją riziką.
Lietuva ir NIS2: 2025 m. balandžio mėn.
Tikrasis pokytis prasidėjo, kai Lietuvos Seimas priėmė Įstatymą Nr. XIV-2902, kuriuo buvo pakeistas nacionalinis Kibernetinio saugumo įstatymas (Nr. XII-1428). Taip Lietuva oficialiai atsisakė pasenusio NIS-1 režimo ir įvedė naują, su Europos Sąjungos NIS2 direktyva suderintą teisinį pagrindą.
Štai dabartinė padėtis:
Tema | Būsena ir komentarai |
Transpozicija | Naujas įstatymas priimtas 2024-07-11, įsigaliojo 2024-10-18 |
Taikymo sritis | Išplėsta nuo ~1 000 iki 8 000–10 000 subjektų |
Subjektų klasifikacija | Esminiai: ≥250 darbuotojų arba €50M apyvarta; Svarbūs: ≥50 darbuotojų arba €10M |
Terminas | Subjektai turi būti įtraukti iki 2025-04-17; po to taikomi 12 ir 24 mėn. laikotarpiai |
Pranešimai | 24 val. signalas → 72 val. atnaujinimas → 30 d. galutinė ataskaita |
Priežiūra | Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos |
Sankcijos | Iki €10M arba 2% pasaulinės apyvartos esminiams subjektams |
Viešasis sektorius | Įtrauktas, bet taikomos korekcinės priemonės vietoj baudų |
Dabar apžvelkime svarbiausius NIS2 įgyvendinimo Lietuvoje aspektus – nuo teisėkūros terminų iki to, ką įmonės turėtų daryti jau dabar.
Nuo konsultacijų iki įgyvendinimo: NIS2 kelias Lietuvoje
Lietuva pasirinko nuoseklų ir skaidrų teisinį procesą. Tai padėjo įtvirtinti pasitikėjimą ir užtikrinti, kad paveiktos organizacijos turėtų laiko pasiruošti.
Svarbiausi NIS2 transpozicijos terminai Lietuvoje
- 2023-09-01 – projektas paskelbtas konsultacijoms (baigta)
- 2024-07-11 – įstatymas priimtas Seime (baigta)
- 2024-10-18 – įstatymas įsigaliojo (baigta)
- 2025-04-17 – NKSC turi pateikti subjektų sąrašą (vyksta)
- 2025 spal. – 2026 spal. – įgyvendinamos organizacinės priemonės (artėja)
- 2026 spal. – 2027 spal. – įgyvendinamos techninės priemonės (artėja)
- Nuo 2027 m. – prasideda sektoriaus ir NKSC auditai (planuojama)
Svarbu žinoti, kad laikrodis pradeda tiksėti tik tuomet, kai subjektas yra įtrauktas į NKSC sąrašą. Nuo to momento įsigalioja 12 arba 24 mėn. terminai.
Kaip Lietuva įgyvendina NIS2 direktyvą
Lietuvos požiūris išsiskiria Europoje dėl trijų pagrindinių priežasčių: centralizuoto valdymo, karinės priežiūros ir aiškiai struktūrizuoto atitikties kelio. Pakeistas Kibernetinio saugumo įstatymas glaudžiai atitinka NIS2 21 straipsnį – nuo rizikos valdymo iki vadovybės atsakomybės.
Svarbiausios įstatymo dalys:
- I–II skyriai – Apibrėžia sąvokas, įtraukia universitetus ir mokslinius tyrimus į nacionalinius sektorius
- III skyrius – Prilygina rizikos valdymą ISO 27001; reikalauja valdybos patvirtintų kibernetinio saugumo planų
- IV skyrius – Nustato 24/72/30 dienų incidentų pranešimo tvarką; leidžia teikti pranešimus apie vos neįvykusius incidentus
- V skyrius – Suteikia auditų teises NKSC ir leidžia sektorių reguliuotojams prižiūrėti savo sritis
- VI skyrius – Numato baudas, kasdienes sankcijas, direktorių diskvalifikaciją
- Pereinamasis laikotarpis – Buvę NIS-1 subjektai automatiškai tampa esminiais
NKSC savarankiškai sudarys subjektų sąrašus—nereikės savarankiškos registracijos. Taip siekiama užtikrinti, kad niekas nepraslystų nepastebėtas.
Sankcijos ir vadovų atsakomybė
Nesilaikyti NIS2 Lietuvoje reiškia daugiau nei administracinę nuobaudą. Sankcijos yra rimtos, o atsakomybė kyla ir valdybai. Vadovų atsakomybė nebėra teorinė – ji yra vykdytina.
Subjekto tipas | Maksimali bauda | Eskalacijos kelias |
Esminiai | €10M arba 2% pasaulinės apyvartos | Įspėjimas → Nurodymas → Bauda → Maksimali bauda |
Svarbūs | €7M arba 1.4% pasaulinės apyvartos | Tas pats kaip aukščiau |
Procedūriniai pažeidimai | €0.3–2M | Už terminų nesilaikymą ar dalinę atitiktį |
Vadovai | Diskvalifikacija iki 3 metų | Jei kartojasi aplaidumas |
Viešasis sektorius | Be piniginių baudų | Taikomos korekcinės priemonės, viešinimas |
Ši struktūra keičia kultūrą: kibernetinis saugumas tampa valdybos, t.y. strateginiu, klausimu. Vadovai turi formaliai patvirtinti kibernetinius planus ir ruoštis pirmajam auditui 2027 m.
Poveikis sektoriams: nuo ligoninių iki šilumos tinklų
NIS2 praplėtė reglamentavimo apimtį, įtraukdama daugybę naujų sektorių. Tai nėra paprastas taisyklių patikslinimas—tai esminis plėtros žingsnis.
Sektorius | Pokyčiai | Naujos pareigos |
Gamyba | Nuo šiol priskiriama „svarbiems“ | Rizikos vertinimas tiekimo grandinėje, „red team“ testavimas |
Energetika | Įtraukia SGD, šilumos tinklus | Rodiklių stebėsena, atskaitomybė VERT |
Sveikatos apsauga | Nuo 60 iki daugiau nei 200 subjektų | Incidentų pratybos, ISO 27001 |
Skaitmeninė infrastruktūra | Esminiai nepriklausomai nuo dydžio | 24/7 SOC ES ribose, tiekėjų registras |
Finansai | Persidengia su DORA | TLPT ciklai, dvigubi pranešimų kanalai |
Viešasis sektorius | Ministerijos ir savivaldybės | CISO paskyrimas, privalomi pranešimai |
Kokių veiksmų organizacijos privalo imtis jau dabar
Daugelis laukia, kol bus įtraukti į NKSC sąrašą, bet tai nereiškia, kad reikia laukti be veiksmų. Kuo anksčiau pradėsite ruoštis, tuo mažiau skausmingas bus atitikties laikotarpis.
Pagrindiniai veiksmai:
- Patikrinkite savo statusą NKSC įrankiu;
- Atlikite trūkumų analizę pagal 21 straipsnį;
- Parenkite incidentų SOP pagal 24h/72h/30d taisyklę, suderintą su BDAR;
- Įtraukite valdybą dabar – tai sumažins riziką vėliau;
- Suplanuokite pirmąjį auditą 2027 m. ir dokumentuokite veiksmus.
Ar jūsų organizacija pasirengusi NIS2?
NIS2 įgyvendinimas Lietuvoje yra aiškus signalas: kibernetinis saugumas nebėra vien IT problema. Tai strateginis, operacinis ir valdybos klausimas.
Lietuvoje įstatymas jau galioja, o NKSC sąrašų pateikimo terminas artėja. Laiko dvejonėms nebėra. Sprendimai, kuriuos priimate šiandien – rizikos vertinimai, vadovybės įtraukimas – nulems jūsų organizacijos atsparumą ateityje.