NIS2 direktyva Lietuvos verslui: reikalavimai, atitiktis ir praktinis vadovas (2026)

Europos Sąjungos kibernetinio saugumo reguliavimas žengė rimtą žingsnį į priekį. NIS2 direktyva (oficialiai – Direktyva (ES) 2022/2555) pakeitė ankstesnę NIS direktyvą ir iš esmės išplėtė tiek reguliuojamų sektorių sąrašą, tiek reikalavimų griežtumą. Lietuvos verslui tai reiškia konkrečius pokyčius: naujas pareigas, naujus procesus ir realias sankcijas už neatitiktį.

Šiame straipsnyje rasite viską, ką Lietuvos įmonė turi žinoti apie NIS2: kam direktyva taikoma, kokius reikalavimus ji kelia, kokie terminai galioja ir kokius praktinius žingsnius reikia žengti jau šiandien.

Kas yra NIS2 direktyva

NIS2 (Network and Information Security Directive 2) yra Europos Sąjungos direktyva, nustatanti bendrus kibernetinio saugumo reikalavimus visose ES valstybėse narėse. Ji įsigaliojo 2023 m. sausio 16 d., o valstybės narės turėjo ją perkelti į nacionalinę teisę iki 2024 m. spalio 17 d.

Kodėl atsirado NIS2

Pirmoji NIS direktyva (2016 m.) buvo pirmas ES masto bandymas reglamentuoti kibernetinį saugumą. Tačiau ji turėjo rimtų trūkumų:

Per siaura aprėptis. Reguliavo tik nedidelę dalį sektorių ir organizacijų.
Nevienodas įgyvendinimas. Kiekviena valstybė narė interpretavo reikalavimus skirtingai, todėl apsaugos lygis ES viduje buvo labai netolygus.
Per silpnos sankcijos. Baudos buvo per mažos, kad motyvuotų investuoti į saugumą.
Pasikeitusi grėsmių aplinka. Nuo 2016 m. kibernetinių atakų skaičius, sudėtingumas ir žala išaugo eksponentiškai. Ransomware, tiekimo grandinių atakos ir valstybių remiamos kibernetinės operacijos tapo kasdienybe.

NIS2 buvo sukurta ištaisyti šias spragas ir sukurti vieningą, aukštą kibernetinio saugumo standartą visoje ES.

Pagrindiniai NIS2 ir senosios NIS skirtumai

Aspektas	NIS (2016)	NIS2 (2022)
Reguliuojami sektoriai	7 sektoriai	18 sektorių
Subjektų skaičius ES	~10 000	~160 000+
Subjektų klasifikacija	Pagrindinių paslaugų operatoriai, skaitmeninių paslaugų teikėjai	Pagrindiniai ir svarbūs subjektai
Baudos	Nustatytos nacionaliniu lygiu, dažnai simbolinės	Iki 10 mln. EUR arba 2% pasaulinės apyvartos
Vadovybės atsakomybė	Neapibrėžta	Tiesioginė asmeninė atsakomybė
Incidentų pranešimas	72 valandos	Daugiapakopis: 24 val. + 72 val. + 1 mėn.
Tiekimo grandinės saugumas	Neįtrauktas	Privalomas reikalavimas

Kam NIS2 taikoma Lietuvoje

Vienas dažniausių klausimų: „Ar mano įmonei tai aktualu?” NIS2 taikymo sritis yra žymiai platesnė nei daugelis tikisi.

Dydžio kriterijus

NIS2 pagal nutylėjimą taikoma vidutinėms ir didelėms įmonėms reguliuojamuose sektoriuose:

Vidutinės įmonės: 50-249 darbuotojai arba metinė apyvarta 10-50 mln. EUR
Didelės įmonės: 250+ darbuotojų arba metinė apyvarta viršija 50 mln. EUR

Tačiau kai kurioms organizacijoms NIS2 taikoma nepriklausomai nuo dydžio (apie tai žemiau).

Aukšto kritiškumo sektoriai (I priedas)

Šiuose sektoriuose veikiančios organizacijos laikomos pagrindiniais subjektais (essential entities) ir joms taikomi griežčiausi reikalavimai:

1. Energetika

Elektros tiekėjai, skirstomųjų tinklų operatoriai, perdavimo sistemos operatoriai
Centralizuoto šilumos tiekimo ir vėsinimo operatoriai
Naftos ir dujų sektoriaus įmonės
Vandenilio gamyba ir saugojimas

2. Transportas

Oro transportas (oro linijos, oro uostų valdytojai, eismo valdymo tarnybos)
Geležinkelių transportas (infrastruktūros valdytojai, vežėjai)
Vandens transportas (laivybos bendrovės, uostų valdytojai)
Kelių transportas (eismo valdymo sistemos, intelektinės transporto sistemos)

3. Bankininkystė

Kredito įstaigos pagal Reglamentą (ES) Nr. 575/2013

4. Finansų rinkos infrastruktūra

Prekybos vietų operatoriai
Pagrindinės sandorio šalys

5. Sveikatos priežiūra

Sveikatos priežiūros paslaugų teikėjai (ligoninės, klinikos, laboratorijos)
ES referencinių laboratorijų tinklai
Vaistų ir medicinos prietaisų gamintojai (kai jų produktai laikomi kritiniais)

6. Geriamasis vanduo

Geriamojo vandens tiekėjai ir paskirstytojai

7. Nuotekų valymas

Nuotekų surinkimo, valymo ir šalinimo operatoriai

8. Skaitmeninė infrastruktūra

Interneto mainų taškai
DNS paslaugų teikėjai
Aukščiausio lygio domenų (TLD) registrai
Debesų kompiuterijos paslaugų teikėjai
Duomenų centrų paslaugų teikėjai
Turinio pristatymo tinklai (CDN)
Patikimumo paslaugų teikėjai
Elektroninių ryšių tinklų ir paslaugų teikėjai

9. IRT paslaugų valdymas (B2B)

Valdomų paslaugų teikėjai (MSP)
Valdomų saugumo paslaugų teikėjai (MSSP)

10. Viešasis administravimas

Centrinės valdžios institucijos
Regioninės valdžios institucijos (pagal valstybės narės sprendimą)

11. Kosmosas

Antžeminės infrastruktūros operatoriai

Kiti kritiški sektoriai (II priedas)

Šiuose sektoriuose veikiančios organizacijos laikomos svarbiais subjektais (important entities):

12. Pašto ir kurjerių paslaugos

Pašto paslaugų teikėjai, kurjerių bendrovės

13. Atliekų tvarkymas

Atliekų surinkimo, apdorojimo ir perdirbimo įmonės

14. Chemijos pramonė

Cheminių medžiagų gamyba, platinimas ir naudojimas

15. Maisto pramonė

Maisto produktų gamyba, perdirbimas ir didmeninė prekyba

16. Gamyba

Medicinos prietaisų gamyba
Kompiuterių, elektronikos ir optinių gaminių gamyba
Elektros įrenginių gamyba
Mašinų ir įrangos gamyba
Motorinių transporto priemonių gamyba
Kitos transporto priemonės ir įranga

17. Skaitmeninių paslaugų teikėjai

Internetinės prekyvietės
Paieškos sistemos
Socialinių tinklų platformos

18. Moksliniai tyrimai

Mokslinių tyrimų organizacijos (kai jų veikla yra ypatingos svarbos)

Subjektai, kuriems NIS2 taikoma nepriklausomai nuo dydžio

Kai kurioms organizacijoms NIS2 taikoma net jei jos neatitinka vidutinės ar didelės įmonės kriterijų:

Elektroninių ryšių tinklų ar viešai prieinamų elektroninių ryšių paslaugų teikėjai
Patikimumo paslaugų teikėjai
DNS paslaugų teikėjai ir TLD vardų registrai
Subjektai, kurie yra vienintelis tam tikros paslaugos teikėjas valstybėje narėje
Subjektai, kurių paslaugų sutrikimas turėtų reikšmingą sisteminį poveikį
Viešojo administravimo subjektai
Subjektai, identifikuoti pagal ankstesnę NIS direktyvą

Tiekimo grandinės efektas

Net jei jūsų įmonė tiesiogiai nepatenka į NIS2 reguliavimo sritį, ji gali būti netiesiogiai paveikta. NIS2 reguliuojami subjektai privalo valdyti kibernetinio saugumo rizikas savo tiekimo grandinėje. Tai reiškia, kad jie gali kelti saugumo reikalavimus savo tiekėjams, rangovams ir partneriams.

Praktiškai: jei jūsų klientas yra NIS2 subjektas, jis gali pareikalauti, kad jūsų įmonė atitiktų tam tikrus saugumo standartus, pateiktų saugumo audito rezultatus arba įdiegtų konkrečias apsaugos priemones.

Pagrindiniai NIS2 reikalavimai

NIS2 direktyva nustato keturias pagrindines reikalavimų grupes: rizikos valdymas, incidentų valdymas, vadovybės atsakomybė ir priežiūra.

1. Kibernetinio saugumo rizikos valdymo priemonės

NIS2 21 straipsnis nustato, kad subjektai privalo įgyvendinti „tinkamas ir proporcingas technines, operacines ir organizacines priemones” kibernetinio saugumo rizikoms valdyti. Direktyva konkrečiai nurodo šias sritis:

a) Rizikos analizės ir informacinių sistemų saugumo politikos
Organizacija privalo turėti dokumentuotas saugumo politikas ir reguliariai atlikti rizikos vertinimą.

b) Incidentų valdymas
Aiškios procedūros incidentams aptikti, analizuoti, valdyti ir apie juos pranešti.

c) Veiklos tęstinumas ir krizių valdymas
Atsarginių kopijų strategija, atkūrimo planai, krizių valdymo procedūros.

d) Tiekimo grandinės saugumas
Kibernetinio saugumo rizikų valdymas tiekėjų ir paslaugų teikėjų atžvilgiu, saugumo reikalavimų įtraukimas į sutartis.

e) Tinklo ir informacinių sistemų saugumas
Saugumo priemonės sistemų įsigijimo, kūrimo ir priežiūros procesuose, pažeidžiamumų valdymas.

f) Kibernetinio saugumo rizikos valdymo priemonių veiksmingumo vertinimas
Reguliarus apsaugos priemonių testavimas ir auditas.

g) Bazinė kibernetinė higiena ir kibernetinio saugumo mokymai
Darbuotojų švietimas, saugaus elgesio standartai.

h) Kriptografijos ir šifravimo naudojimas
Duomenų apsauga šifravimo priemonėmis, kai tinkama.

i) Žmogiškųjų išteklių saugumas, prieigos kontrolės politikos ir turto valdymas
Prieigos teisių valdymas, darbuotojų patikimumo užtikrinimas, IT turto inventorizacija.

j) Kelių veiksnių autentifikavimas arba nuolatinio autentifikavimo sprendimai
Saugios komunikacijos priemonės, 2FA/MFA diegimas.

2. Incidentų pranešimo tvarka

NIS2 nustato griežtą, daugiapakopę incidentų pranešimo procedūrą:

graph TD
    A["Incidentas aptiktas"] --> B["Per 24 valandas: ankstyvasis perspėjimas"]
    B --> C["Per 72 valandas: incidento pranešimas"]
    C --> D["Per 1 mėnesį: galutinė ataskaita"]

Ankstyvasis perspėjimas (per 24 valandas nuo sužinojimo):

Pranešimas kompetentingai institucijai (Lietuvoje – Nacionaliniam kibernetinio saugumo centrui, NKSC)
Nurodoma, ar įtariama, kad incidentas sukėlė neteisėti veiksmai
Nurodoma, ar incidentas gali turėti tarpvalstybinį poveikį

Incidento pranešimas (per 72 valandas):

Atnaujinta informacija apie incidentą
Pradinis poveikio ir sunkumo vertinimas
Kompromitavimo indikatoriai (IoC), jei prieinami

Galutinė ataskaita (per 1 mėnesį po incidento pranešimo):

Detali incidento aprašymas: tipas, priežastys
Taikytos ir vykdomos švelninimo priemonės
Tarpvalstybinis poveikis (jei taikytina)
Pagrindinė priežasties analizė

Kas laikoma reikšmingu incidentu?
Incidentas, kuris:

Sukėlė arba gali sukelti rimtą paslaugų sutrikimą ar finansinius nuostolius subjektui
Paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę materialinę ar nematerialinę žalą

3. Vadovybės atsakomybė

Tai vienas ryškiausių NIS2 naujovių. Direktyvos 20 straipsnis nustato, kad:

Valdymo organai privalo:

Patvirtinti kibernetinio saugumo rizikos valdymo priemones
Prižiūrėti jų įgyvendinimą
Būti asmeniškai atskaitingi už pažeidimus

Privalomi mokymai:
Valdymo organų nariai privalo reguliariai dalyvauti kibernetinio saugumo mokymuose. Tai nėra formalumas – mokymai turi suteikti pakankamai žinių ir kompetencijų, leidžiančių identifikuoti rizikas ir vertinti kibernetinio saugumo valdymo praktikas.

Asmeninė atsakomybė:
Jei dėl vadovybės neveiklumo ar aplaidumo organizacija neatitinka NIS2 reikalavimų, vadovybės nariai gali būti asmeniškai atsakingi. Tai gali apimti:

Laikiną draudimą eiti vadovaujančias pareigas
Asmenines baudas
Viešą pažeidimo paskelbimą, susiejant su konkrečiais asmenimis

4. Priežiūra ir sankcijos

Pagrindinių subjektų priežiūra (proaktyvi):

Reguliarūs ir tiksliniai auditai
Patikrinimai vietoje ir nuotoliniai
Atsitiktiniai patikrinimai
Saugumo skenavimas
Informacijos ir dokumentų užklausos

Svarbių subjektų priežiūra (reaktyvi):

Priežiūra inicijuojama gavus informacijos apie galimą pažeidimą
Auditai ir patikrinimai atliekami pagal poreikį
Informacijos užklausos

Baudos:

Subjekto tipas	Maksimali bauda
Pagrindiniai subjektai	10 mln. EUR arba 2% pasaulinės metinės apyvartos (taikoma didesnė suma)
Svarbūs subjektai	7 mln. EUR arba 1,4% pasaulinės metinės apyvartos (taikoma didesnė suma)

Papildomos sankcijos:

Privalomas nurodymas pašalinti trūkumus per nustatytą terminą
Viešas pažeidimo paskelbimas
Laikinas veiklos sustabdymas
Laikinas draudimas vadovybės nariams eiti pareigas

NIS2 įgyvendinimas Lietuvoje

Nacionalinė teisinė bazė

Lietuva NIS2 direktyvą perkelia į nacionalinę teisę per Kibernetinio saugumo įstatymą ir susijusius poįstatyminius aktus. Pagrindinės institucijos:

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos yra pagrindinė kompetentinga institucija, atsakinga už:

NIS2 subjektų priežiūrą
Incidentų pranešimų priėmimą ir koordinavimą
Metodinės pagalbos teikimą
Kibernetinio saugumo standartų nustatymą

Ryšių reguliavimo tarnyba (RRT) atsakinga už elektroninių ryšių sektoriaus priežiūrą.

Valstybinė duomenų apsaugos inspekcija (VDAI) – kai kibernetiniai incidentai susiję su asmens duomenų pažeidimais, NIS2 ir BDAR reikalavimai taikomi lygiagrečiai.

Registracija ir identifikacija

NIS2 reguliuojami subjektai Lietuvoje privalo:

Savarankiškai įsivertinti, ar patenka į NIS2 taikymo sritį
Užsiregistruoti NKSC sistemoje kaip NIS2 subjektas
Pateikti informaciją apie savo veiklą, paslaugas, IT infrastruktūrą ir kontaktinius asmenis
Reguliariai atnaujinti registracijos duomenis

Lietuvos specifika

Lietuva, kaip NATO ir ES narė su unikalia geopolitine padėtimi, kibernetiniam saugumui skiria ypatingą dėmesį. Keletas svarbių aspektų:

Aukštas grėsmių lygis. Lietuvos organizacijos, ypač viešasis sektorius ir kritinė infrastruktūra, yra dažnas kibernetinių atakų taikinys. Tai lemia griežtesnį požiūrį į NIS2 įgyvendinimą.

NKSC kompetencija. NKSC turi ilgametę patirtį kibernetinių incidentų valdyme ir aktyviai teikia metodinę pagalbą organizacijoms.

Mažų ir vidutinių įmonių dominuojanti struktūra. Lietuvos ekonomikoje dominuoja MVĮ, todėl NIS2 įgyvendinimas turi atsižvelgti į šių įmonių ribotus resursus.

Praktinis NIS2 atitikties vadovas

1 etapas: ar NIS2 taikoma jūsų organizacijai?

Pradėkite nuo šio vertinimo:

Klausimas 1: ar jūsų organizacija veikia NIS2 reguliuojamame sektoriuje?
Peržiūrėkite I ir II priedų sektorių sąrašą (pateiktą aukščiau). Jei taip – pereikite prie 2 klausimo.

Klausimas 2: ar jūsų organizacija atitinka dydžio kriterijus?

50+ darbuotojų, ARBA
Metinė apyvarta 10+ mln. EUR, ARBA
Metinis balansas 10+ mln. EUR

Jei atitinkate nors vieną kriterijų ir veikiate reguliuojamame sektoriuje – NIS2 jums taikoma.

Klausimas 3: ar jūsų organizacija patenka į išimčių sąrašą?
Kai kuriems subjektams NIS2 taikoma nepriklausomai nuo dydžio (žr. sąrašą aukščiau).

Klausimas 4: ar esate NIS2 subjekto tiekėjas ar partneris?
Net jei NIS2 jums tiesiogiai netaikoma, jūsų klientai gali kelti saugumo reikalavimus, grindžiamus NIS2 tiekimo grandinės saugumo nuostatomis.

2 etapas: GAP analizė (spragų vertinimas)

Nustatę, kad NIS2 jums taikoma, atlikite spragų analizę – palyginimą tarp dabartinės jūsų saugumo būklės ir NIS2 reikalavimų.

Ką vertinti:

NIS2 reikalavimas	Klausimai vertinimui
Rizikos valdymo politika	Ar turite dokumentuotą kibernetinio saugumo politiką? Ar atliekate reguliarius rizikos vertinimus?
Incidentų valdymas	Ar turite incidentų valdymo planą? Ar galite pranešti apie incidentą per 24 valandas?
Veiklos tęstinumas	Ar turite atsarginių kopijų strategiją? Ar testuojate atkūrimo procedūras?
Tiekimo grandinės saugumas	Ar vertinate tiekėjų kibernetinį saugumą? Ar saugumo reikalavimai įtraukti į sutartis?
Šifravimas	Ar duomenys šifruojami ramybės būsenoje ir perdavimo metu?
Prieigos kontrolė	Ar taikomas mažiausių teisių principas? Ar naudojamas MFA?
Darbuotojų mokymai	Ar vykdomi reguliarūs kibernetinio saugumo mokymai? Ar vadovybė yra apmokyta?
Pažeidžiamumų valdymas	Ar reguliariai skenuojate sistemas? Ar laiku diegiate saugumo atnaujinimus?

Kiekvienam reikalavimui nustatykite: „atitinkame”, „dalinai atitinkame” arba „neatitinkame”. Tai suformuos jūsų veiksmų planą.

3 etapas: veiksmų planas

Remiantis GAP analize, sudarykite prioritetinį veiksmų planą. Rekomenduojama pradėti nuo didžiausios rizikos sričių.

Aukščiausias prioritetas (0-3 mėnesiai):

[ ] Paskirti atsakingą asmenį arba komandą už NIS2 atitiktį
[ ] Užregistruoti organizaciją NKSC kaip NIS2 subjektą
[ ] Sukurti arba atnaujinti kibernetinio saugumo politiką
[ ] Įdiegti incidentų pranešimo procedūrą, atitinkančią 24/72 val. terminus
[ ] Surengti vadovybės kibernetinio saugumo mokymus
[ ] Įjungti daugiaveiksnį autentifikavimą (MFA) visose kritinėse sistemose

Aukštas prioritetas (3-6 mėnesiai):

[ ] Atlikti pilną kibernetinio saugumo rizikos vertinimą
[ ] Sukurti veiklos tęstinumo ir atkūrimo planus
[ ] Peržiūrėti ir sustiprinti atsarginių kopijų strategiją (3-2-1 taisyklė)
[ ] Pradėti tiekėjų kibernetinio saugumo vertinimą
[ ] Įdiegti centralizuotą stebėjimo ir registravimo (logging) sistemą
[ ] Sukurti pažeidžiamumų valdymo procesą

Vidutinis prioritetas (6-12 mėnesiai):

[ ] Įdiegti tinklo segmentaciją
[ ] Sukurti darbuotojų saugumo sąmoningumo programą su reguliariais mokymais
[ ] Atnaujinti sutartis su tiekėjais, įtraukiant saugumo reikalavimus
[ ] Atlikti penetracinį testavimą
[ ] Dokumentuoti visas saugumo procedūras ir politikas
[ ] Sukurti IT turto inventorizacijos ir valdymo procesą

Nuolatiniai veiksmai:

[ ] Kas ketvirtį: rizikos vertinimo atnaujinimas, darbuotojų mokymai
[ ] Kas pusmetį: tiekėjų saugumo peržiūra, politikų atnaujinimas
[ ] Kasmet: pilnas saugumo auditas, penetracinis testavimas, incidentų valdymo pratybos

4 etapas: dokumentacija

NIS2 atitiktis reikalauja ne tik techninių priemonių, bet ir dokumentacijos. Pagrindiniai dokumentai, kuriuos turite turėti:

Privalomi dokumentai:

Kibernetinio saugumo politika. Bendras dokumentas, apibrėžiantis organizacijos požiūrį į kibernetinį saugumą, tikslus, atsakomybes ir principus.
Rizikos vertinimo ataskaita. Identifikuotos rizikos, jų vertinimas, priimti sprendimai (priimti, sumažinti, perkelti, vengti).
Incidentų valdymo planas. Procedūros incidentams aptikti, klasifikuoti, valdyti, pranešti ir analizuoti.
Veiklos tęstinumo planas. Kritinių paslaugų atstatymo procedūros, RTO (atkūrimo laiko tikslas) ir RPO (atkūrimo taško tikslas) kiekvienai kritinei sistemai.
Atsarginių kopijų politika. Kopijų darymo tvarkaraštis, saugojimo vietos, šifravimas, testavimo procedūros.
Prieigos kontrolės politika. Prieigos suteikimo, peržiūros ir panaikinimo procedūros, MFA reikalavimai.
Tiekėjų saugumo vertinimo procedūra. Kriterijai tiekėjų vertinimui, sutarčių saugumo reikalavimai, stebėjimo tvarka.
Darbuotojų mokymo planas. Mokymų turinys, dažnumas, dalyvių sąrašai, vertinimo kriterijai.
IT turto registras. Visų informacinių sistemų, tinklo įrangos, programinės įrangos ir duomenų bazių inventorius.
Incidentų žurnalas. Visų saugumo incidentų registras, nepriklausomai nuo jų sunkumo.

NIS2 ir kiti reguliavimai: kaip jie sąveikauja

NIS2 ir BDAR (GDPR)

NIS2 ir BDAR yra papildantys vienas kitą reguliavimai, bet jie nėra identiški:

BDAR orientuotas į asmens duomenų apsaugą. Jis reguliuoja, kaip renkami, tvarkomi ir saugomi asmens duomenys.

NIS2 orientuotas į tinklo ir informacinių sistemų saugumą plačiąja prasme. Jis apima ne tik asmens duomenis, bet visą informacinę infrastruktūrą.

Praktinė sąveika:

Kibernetinis incidentas, paveikiantis asmens duomenis, sukelia pranešimo pareigas pagal abu reguliavimus
BDAR pranešimas VDAI per 72 valandas ir NIS2 pranešimas NKSC per 24 valandas vykdomi lygiagrečiai
Daugelis techninių priemonių (šifravimas, prieigos kontrolė, stebėjimas) tenkina abu reguliavimus
Organizacija gali gauti baudas pagal abu reguliavimus už tą patį incidentą

NIS2 ir sektoriniai reguliavimai

Finansų sektorius: DORA (Digital Operational Resilience Act) nustato specifinius kibernetinio saugumo reikalavimus finansų sektoriui. Kai DORA ir NIS2 reikalavimai sutampa, DORA turi pirmenybę kaip sektorinis reguliavimas (lex specialis principas).

Telekomunikacijos: Europos elektroninių ryšių kodeksas nustato specifinius saugumo reikalavimus ryšių teikėjams, kurie papildo NIS2.

Energetika: Tinklo kodeksai energetikos sektoriui gali nustatyti papildomus reikalavimus, kurie veikia kartu su NIS2.

NIS2 ir ISO 27001

ISO 27001 yra tarptautinis informacijos saugumo valdymo standartų, o NIS2 – teisinis reguliavimas. Jie gerai dera tarpusavyje:

ISO 27001 kaip NIS2 atitikties pagrindas:
Organizacija, turinti ISO 27001 sertifikavimą, jau atitinka didelę dalį NIS2 reikalavimų. Tačiau ISO 27001 savaime negarantuoja pilnos NIS2 atitikties – yra sričių, kuriose NIS2 kelia specifinius reikalavimus, neapibrėžtus ISO 27001 (pvz., konkretūs incidentų pranešimo terminai, vadovybės asmeninė atsakomybė).

Praktinė rekomendacija: Jei dar neturite struktūrizuoto saugumo valdymo, ISO 27001 diegimas yra puikus pradinis taškas, kuris palengvins NIS2 atitiktį. Jei jau turite ISO 27001, atlikite GAP analizę identifikuoti papildomus NIS2 reikalavimus.

Dažniausios klaidos rengiantis NIS2

1. „Tai tik IT skyriaus reikalas”

NIS2 aiškiai nustato vadovybės atsakomybę. Kibernetinis saugumas yra verslo rizikos valdymo dalis, ne vien techninė problema. Valdyba ar direktorių taryba turi būti tiesiogiai įtraukta į saugumo sprendimų priėmimą.

2. Dokumentacijos ignoravimas

Turėti gerai veikiančias saugumo priemones neužtenka – turite galėti tai įrodyti. Priežiūros institucija vertins ne tik faktinę būklę, bet ir dokumentaciją: politikas, procedūras, rizikos vertinimus, mokymų įrašus, incidentų žurnalus.

3. Tiekimo grandinės ignoravimas

Daugelis organizacijų susitelkia tik į savo vidinį saugumą, pamiršdamos, kad tiekėjų pažeidžiamumai gali tapti jų pačių problema. NIS2 aiškiai reikalauja tiekimo grandinės saugumo valdymo.

4. Vienkartinis projektas vietoj nuolatinio proceso

NIS2 atitiktis nėra „varnelės uždėjimas”. Tai nuolatinis procesas: reguliarus rizikos vertinimas, mokymų atnaujinimas, politikų peržiūra, naujų grėsmių stebėjimas. Organizacijos, kurios traktuoja tai kaip vienkartinį projektą, greitai atsiduria neatitikties zonoje.

5. Per didelės ambicijos be plano

Bandymas vienu metu įgyvendinti visus reikalavimus dažnai baigiasi chaosu ir perdegimu. Geriau pradėti nuo prioritetizuoto veiksmų plano ir eiti palaipsniui, pradedant nuo didžiausios rizikos sričių.

6. Ignoruoti žmogiškąjį veiksnį

Technologijos yra tik dalis sprendimo. Be darbuotojų sąmoningumo programos net pažangiausia techninė apsauga bus neefektyvi. NIS2 tai pripažįsta, aiškiai reikalaudama kibernetinės higienos praktikų ir mokymų.

NIS2 atitikties kaina

Orientaciniai kaštai pagal organizacijos dydį

Maža-vidutinė organizacija (50-100 darbuotojų):

Pradinis GAP analizės ir konsultacijos: 3 000-8 000 EUR
Politikų ir procedūrų kūrimas: 5 000-15 000 EUR
Techninės priemonės (MFA, stebėjimas, atsarginės kopijos): 10 000-30 000 EUR/metams
Darbuotojų mokymai: 2 000-5 000 EUR/metams
Penetracinis testavimas: 3 000-10 000 EUR
Orientacinė bendra pirminė investicija: 25 000-70 000 EUR

Vidutinė-didelė organizacija (100-500 darbuotojų):

Pradinis vertinimas ir konsultacijos: 10 000-25 000 EUR
Politikų, procedūrų ir dokumentacijos: 15 000-40 000 EUR
Techninės priemonės: 30 000-100 000 EUR/metams
SIEM/SOC sprendimai: 20 000-80 000 EUR/metams
Darbuotojų mokymai ir simuliacijos: 5 000-20 000 EUR/metams
Reguliarūs auditai ir testavimas: 10 000-30 000 EUR/metams
Orientacinė bendra pirminė investicija: 90 000-300 000 EUR

Kontekstas: šios sumos gali atrodyti didelės, bet palyginkite jas su potencialiomis NIS2 baudomis (iki 10 mln. EUR) ir vidutine duomenų pažeidimo kaina (4,88 mln. USD, 2024 m. IBM duomenimis). Investicija į prevenciją beveik visada kainuoja mažiau nei incidento padariniai.

Kaip optimizuoti kaštus

Pradėkite nuo to, ką jau turite. Daugelis organizacijų jau turi dalį reikalingų priemonių (ugniasienė, antivirusinė, atsarginės kopijos). GAP analizė padės identifikuoti, ką reikia papildyti, o ne perkurti nuo nulio.

Naudokite atviro kodo sprendimus. Daugelis saugumo įrankių turi kokybiškus atviro kodo analogus: Wazuh (SIEM), OpenVAS (pažeidžiamumų skenavimas), pfSense (ugniasienė), Bitwarden (slaptažodžių tvarkyklė).

Apsvarstykite valdomąsias paslaugas (MSSP). Mažesnėms organizacijoms dažnai pigiau ir efektyviau naudoti valdomas saugumo paslaugas nei kurti vidinę komandą. MSSP gali teikti 24/7 stebėjimą, incidentų valdymą ir atitikties palaikymą.

Grupinis diegimas. Jei priklausote pramonės asociacijai ar verslo grupei, apsvarstykite galimybę dalintis resursais: bendri mokymai, grupinės konsultacijos, bendrų politikų šablonai.

Dažnai užduodami klausimai

Ar NIS2 taikoma Lietuvos mažoms įmonėms?
Pagal nutylėjimą NIS2 taikoma tik vidutinėms ir didelėms įmonėms (50+ darbuotojų arba 10+ mln. EUR apyvarta). Tačiau kai kurioms organizacijoms taikoma nepriklausomai nuo dydžio (pvz., elektroninių ryšių teikėjams, DNS paslaugų teikėjams). Be to, mažos įmonės gali būti netiesiogiai paveiktos per tiekimo grandinės reikalavimus.

Kokios baudos gresia už NIS2 neatitiktį?
Pagrindiniai subjektai gali būti baudžiami iki 10 mln. EUR arba 2% pasaulinės metinės apyvartos (taikoma didesnė suma). Svarbūs subjektai – iki 7 mln. EUR arba 1,4% pasaulinės apyvartos. Be to, vadovybės nariai gali būti asmeniškai nubausti, laikinai nušalinti nuo pareigų.

Ar ISO 27001 sertifikavimas reiškia automatinę NIS2 atitiktį?
Ne. ISO 27001 yra puikus pagrindas, apimantis didelę dalį NIS2 reikalavimų, bet NIS2 turi specifinių reikalavimų (pranešimo terminai, vadovybės atsakomybė, tiekimo grandinės valdymas), kurių ISO 27001 tiesiogiai neapibrėžia. Reikia atlikti papildomą GAP analizę.

Kas nutinka, jei incidentas paveikia ir asmens duomenis – pranešti pagal NIS2 ar BDAR?
Pagal abu. NIS2 pranešimas NKSC (per 24 valandas – ankstyvasis perspėjimas) ir BDAR pranešimas VDAI (per 72 valandas) vykdomi lygiagrečiai. Tai skirtingi pranešimai skirtingoms institucijoms.

Ar NIS2 taikoma debesų paslaugų naudotojams, ar tik teikėjams?
NIS2 tiesiogiai reguliuoja debesų paslaugų teikėjus. Tačiau organizacijos, naudojančios debesų paslaugas, lieka atsakingos už savo duomenų saugumą (pasidalintos atsakomybės modelis). Jei jūsų organizacija patenka į NIS2 sritį, turite užtikrinti, kad jūsų debesų teikėjas atitinka saugumo reikalavimus.

Kaip NIS2 veikia kartu su DORA finansų sektoriuje?
DORA (Digital Operational Resilience Act) yra sektorinis reguliavimas finansų sektoriui. Kai NIS2 ir DORA reikalavimai sutampa, DORA turi pirmenybę. Praktiškai finansų sektoriaus organizacijos pirmiausia turi atitikti DORA, o NIS2 taikoma tik tose srityse, kurių DORA neapibrėžia.

Ar galiu pats atlikti NIS2 atitikties vertinimą?
Taip, pradinį savęs vertinimą galite atlikti savarankiškai naudodami GAP analizės klausimyną. Tačiau pilnam vertinimui ir incidentų valdymo plano kūrimui rekomenduojama pasitelkti specialistus, ypač jei neturite vidinės kibernetinio saugumo komandos.

Kiek laiko užtrunka pasiruošti NIS2 atitikčiai?
Priklauso nuo dabartinės saugumo brandos. Organizacija, jau turinti ISO 27001 ar panašią sistemą, gali pasiekti atitiktį per 3-6 mėnesius. Organizacijai, pradedančiai nuo nulio, realistiškas terminas yra 9-18 mėnesių.

NIS2 direktyva yra rimtas pokytis Europos kibernetinio saugumo reguliavime. Lietuvos verslui tai reiškia konkrečias pareigas, kurios neišnyks ir nebus atidėtos. Gera žinia ta, kad daugelis NIS2 reikalavimų atitinka geras verslo praktikas, kurios apsaugo ne tik nuo reguliatoriaus baudų, bet ir nuo realių kibernetinių grėsmių, galinčių sustabdyti verslą. Pradėkite nuo GAP analizės, prioritetizuokite veiksmus ir kurkite saugumo kultūrą, kurioje kibernetinis saugumas yra ne IT skyriaus rūpestis, o visos organizacijos atsakomybė.