General Counsel

May 29, 2025

6 min. read

NIS2 įgyvendinimas ES: terminai, teisiniai etapai, nuoseklus planas

Share:

NIS2 įgyvendinimas ES: terminai, teisiniai etapai, nuoseklus planas

Europos Sąjungai žengiant į naują kibernetinio saugumo etapą, NIS2 direktyva tampa galingu postūmiu visiems esminiams ir strategiškai svarbiems sektoriams peržiūrėti ir suprasti, kaip jie valdo skaitmeninę riziką. Priimti nacionaliniai įgyvendinimo aktai ir artėjantys auditų terminai verčia organizacijas skubiai įsitikinti, jog jų tiekimo grandinė nekelia pavojaus. Kitaip tariant, NIS2 nepalieka erdvės paviršutiniam požiūriui: direktyva reikalauja, kad skaitmeninis atsparumas taptų esmine vadovybės lygmenyje priimamų sprendimų dalimi, o ne vien technine IT komandos funkcija.

Šiame straipsnyje aš aptarsiu visus esminius NIS2 įgyvendinimo Europos Sąjungoje žingsnius, nuo terminų iki teisinių reikalavimų. 

NIS2 įgyvendinimo aktas ir reglamentas

NIS2 direktyva, Lietuvoje dar vadinama TIS2, tapo pagrindiniu ES kibernetinio saugumo ramsčiu nuo pat įsigaliojimo 2022 m. gruodžio 17 d. Jos esmė – didinti Europos skaitmeninį atsparumą, todėl „esminėms“ ir „svarbioms“ organizacijoms, pradedant energetikos bendrovėmis ir baigiant pašto paslaugų teikėjais, nustatyti griežti kibernetinio saugumo reikalavimai. Nesilaikant jų gresia iki 10 mln. eurų arba 2 % pasaulinių pajamų siekiančios baudos.

Valstybės narės privalėjo perkelti direktyvą į nacionalinę teisę iki 2024 m. spalio 17 d., tačiau šį terminą įvykdė tik nedaugelis. Dėl to 2024 m. lapkritį Europos Komisija pradėjo pažeidimo procedūras. Kiekvienos šalies pažangą galima stebėti ECSO NIS2 stebėsenos priemonėje.

Kartu su direktyva priimtas ir Komisijos įgyvendinimo reglamentas (ES) 2024/2690, kuriame detalizuojami techniniai rizikos valdymo reikalavimai. ENISA savo ruožtu parengė sektoriams skirtas gaires, padedančias taikyti šiuos standartus; jos pasiekiamos ENISA NIS2 išteklių centre.

Pagrindiniai terminai ir teisiniai etapai


Kad planavimas būtų efektyvus, būtina aiškiai suprasti NIS2 įgyvendinimo grafiką. Toliau rasite svarbiausių teisėkūros etapų, lemiančių dabartinę direktyvos įgyvendinimo situaciją, santrauką.

DataEtapasSvarba
2022-12-17NIS2 įsigaliojaNustatytas ES lygmens pagrindas
2024-10-17Valstybių narių perkėlimo terminasNacionaliniai įstatymai turi įsigalioti
2024-10-17Reglamentas (ES) 2024/2690Nustato technines rizikos valdymo taisykles
2025 m. I ketv.Baigiasi ENISA vieša konsultacijaLaukiama sektorių priemonių
2025 m. II ketv.Dauguma valstybių baigia perkėlimą; stiprėja priežiūraOrganizacijos turi būti pasirengusios auditui

Kadangi priežiūra sparčiai griežtėja, organizacijos negali atidėlioti pasirengimo. Reikalavimų laikymasis turi tapti neatidėliotinu prioritetu: būtina peržiūrėti rizikos valdymo procedūras, atnaujinti incidentų ataskaitų procesus ir patikrinti technines saugumo priemones. Atsakingos institucijos jau rengia tikslinius patikrinimus, o auditoriai netrukus pradės vertinti, ar visa tai veikia praktikoje.

Subjektų klasifikacija ir taikymo ribos

Pirmasis ir itin svarbus žingsnis yra nustatyti, ar jūsų organizacija priskiriama esminiams (kritiniams), ar svarbiems subjektams. Būtent ši klasifikacija lemia jūsų pareigas pagal direktyvą.

KategorijaPavyzdžiaiSlenksčiai
EsminėsEnergetika, transportas, finansai, sveikata, skaitmeninė infrastruktūra, vanduo≥250 darbuotojų arba ≥50 mln. € apyvartos, arba nacionalinis priskyrimas
SvarbiosPašto/kuriavimo, atliekų tvarkymas, maisto gamyba, IRT MTTP, kritinių produktų gamybaTokie pat slenksčiai kaip esminių

Net jei nepatenkate į sąrašą, įvertinkite savo kritinę svarbą, ypač jeigu veikiate kelių šalių rinkose ar esate svarbi tiekimo grandinės dalis.

NIS2 įgyvendinimo plano sudarymas

Remdamasis praktine patirtimi konsultuojant dėl NIS2, matau, kad organizacijos pasiekia sėkmę tuomet, kai laikosi struktūruoto plano, o ne improvizuoja paskubomis. Žemiau pateikiu pavyzdinį planą, apimantį laikotarpį nuo 2025 m. gegužės iki 2026 m. kovo.

VeiksmasLaikotarpisTikslasRezultatai
Sutelkimas2025-05Gauti adovybės palaikymą, paskirstyti biudžetą, paskirti programos vadovąĮgaliojimai, biudžetas, atsakomybių žemelapis
Įvertinimasa2025-05 – 07Įvertinti išteklius ir atlikti trūkumų analizę pagal NIS 2Išteklių registras, trūkumų ataskaita, rizikų registras
Planavimas2025-07 – 08Nustatyti trūkumų šalinimo prioritetus ir parengti detalų įgyvendinimo planą.Veiksmų ir mokymų planas 
Įgyvendinimas2025-08 – 12Įdiegti technines ir organizacines priemonesAtnaujinti tiksliniai operaciniai modeliai, vadovai, sutartys
Patikrinimas2026-01 – 02Auditai, penetraciniai testai, pratybosAudito ataskaitos, pratybų rezultatai
Išlaikymas2026-03 ir toliauNuolatinis tobulinimas, valdybos ataskaitosValdymo skydelis, pamokos

Šis planas nėra vien teorinė schema – jis pagrįstas realia praktika, jau pasiteisinusia organizacijoms, besirengiančioms auditui. Kitaip tariant, į jį įtraukti tik tie žingsniai, kurie tikrovėje padeda sklandžiai įvykdyti auditoriaus reikalavimus ir išvengti nemalonių staigmenų.

Praktiniai NIS2 įgyvendinimo žingsniai

Kad NIS2 planas netaptų vien dokumentu stalčiuje, būtina pereiti per aiškią, nuoseklią veiksmų seką. Toliau pateiktoje lentelėje rasite konkrečius operacinius pokyčius, kuriuos reikia įgyvendinti kiekviename etape, kad teoriniai užmojai virstų apčiuopiamais rezultatais.

ŽingsnisAprašas
Patvirtinti NIS2 taikymąNustatyti subjekto tipą, sektorių, dydį, tarpvalstybinę veiklą
Skirti atsakingą vadovąValdybos patvirtinta politika ir reguliarios ataskaitos
Sukurti valdymo struktūrąDerinti su ISO 27001/2, NIST CSF ar nacionaliniais standartais
Įvertinti išteklius Įtraukti IT, OT, debesiją, SaaS, trečiąsias šalis
Atlikti trūkumų analizęVertinti pagal 10 rizikos valdymo priemonių (21 str.) ir 2024/2690
Parengti trūkumų sprendimo planąPašalinti didelės rizikos trūkumus, paskirti atsakingu asmenis
Sustiprinti rizikų aptikimą ir reagavimą24/7 stebėsena, vadovai, darbuotojų mokymai
Įdiegti incidentų ataskaitų procesąAnkstyvas įspėjimas (≤24 h), pirminė ataskaita (≤72 h), galutinė (≤1 mėn.)
Tvarkyti tiekimo grandinės rizikąAtnaujinti sutartis, parengti klausimynus, įrodymų tikrinimas
Įtvirtinti nuolatinį tobulinimąKPI, ketvirtiniai vertinimai, metiniai auditai


Išsamias instrukcijas, kaip įgyvendinti šiuos žingsnius, rasite ENISA rekomendacijose.

Atitikties pažangos tikrinimas

Kad neatsiliktumėte nuo plano, itin svarbu turėti aiškiai apibrėžtą atitikties kontrolinį sąrašą. Toks sąrašas vienu metu veikia ir kaip rizikos valdymo priemonė, ir kaip komunikacijos įrankis vadovybei. 

SritisPagrindinė veikla
ValdymasValdybos patvirtinta politika, atsakomybės
Rizikos valdymasAtnaujintas vertinimas, tiekimo grandinės peržiūros
Techninės priemonėsMFA, atsarginės kopijos, žurnalai, EDR, prieigos valdymas
Incidentų valdymasProcesai pagal 23 str.
StebėsenaKPI, skydeliai, incidentų tendencijos
AuditaiVidiniai ir trečiųjų šalių vertinimai


Artėjant baudoms, šis kontrolinis sąrašas – gyvybiškai būtinas.

Efektyvus incidentų ataskaitų teikimas

Incidentų valdymas – sritis, kurioje daug organizacijų suklumpa, ypač atsiradus naujiems reglamentams. 23 straipsnyje nustatyta griežta terminų seka:

EtapasTerminasKanalas
Ankstyvas įspėjimasPer 24 h nuo sužinojimoNacionalinio CSIRT ar institucijos portalas
Pirminė ataskaitaPer 72 hTas pats
Galutinė ataskaitaPer 1 mėn. (arba uždarius incidentą)Tas pats

Termino praleidimas padidina reguliatorių spaudimą, tad komandas ir sistemas paruoškite iš anksto.

Ar esate pasirengę naujam incidentui?

Kelias į visišką NIS2 įgyvendinimą ES mastu kupinas iššūkių, bet ir galimybių. Laikydamiesi aiškaus plano, naudodamiesi tinkamais įrankiais ir išlaikydami budrumą, organizacijos ne tik įvykdys reguliacinius reikalavimus, bet ir sustiprins bendrą kibernetinį atsparumą. Esminis klausimas nėra „ar reikia ruoštis“, o „ar būsime pasirengę, kai įvyks naujas incidentas?“.

Automate Your Cybersecurity and Compliance

It's like an in-house cybersecurity & compliance team for a monthly subscription! No prior cybersecurity or compliance experience needed.

Share this article

Post on Linkedin
Post on Facebook
Post on X

How useful was this post?

0 / 5. 0

General Counsel

He is regulatory compliance strategist with over a decade of experience guiding fintech and financial services firms through complex EU legislation. He specializes in operational resilience, cybersecurity frameworks, and third-party risk management. Nojus writes about emerging compliance trends and helps companies turn regulatory challenges into strategic advantages.
  • DORA compliance
  • EU regulations
  • Cybersecurity risk management
  • Non-compliance penalties
  • Third-party risk oversight
  • Incident reporting requirements
  • Financial services compliance

Explore further

  • Compliance & Regulations
  • Checklists
  • HIPAA
  • Questionnaire
  • Templates
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • Insights
  • ISO 27001
  • Templates
  • Third-party risk management
  • Checklists
  • Guide
  • Questionnaire
  • Compliance & Regulations
  • Checklists
  • GRC
  • ISO 27001
  • Templates
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Guide
  • ISO 27001
  • Compliance & Regulations
  • GDPR
  • GRC
  • Insights
  • ISO 27001
  • Compliance & Regulations
  • GRC
  • Insights
  • ISO 27001