Duomenų apsauga

NIS2 Lietuvoje 2026: NKSC, perkėlimas ir įpareigojimai

NIS2 Lietuvoje 2026: Kibernetinio saugumo įstatymo perkėlimas, NKSC priežiūra, esminiai ir svarbūs subjektai, rizikos valdymas ir incidentų pranešimo terminai.

Also available in:Français·Deutsch·Español·Polski

NIS2 direktyva (ES) 2022/2555 Lietuvoje perkelta Kibernetinio saugumo įstatymo pakeitimais, o priežiūrą vykdo Nacionalinis kibernetinio saugumo centras (NKSC), veikiantis prie Krašto apsaugos ministerijos. Direktyva turėjo būti perkelta iki 2024 m. spalio 17 d. ir gerokai išplečia kibernetinio saugumo pareigų taikymo sritį – nuo ankstesnės NIS direktyvos siauresnio rato iki daug platesnio esminių ir svarbių subjektų rato daugelyje sektorių. Pagrindinės pareigos: kibernetinio saugumo rizikos valdymo priemonės, incidentų pranešimas NKSC (pradinis pranešimas per 24 valandas), tiekimo grandinės saugumas ir tiesioginė vadovybės atskaitomybė. Šis vadovas paaiškina, kam NIS2 taikoma Lietuvoje, kokios pareigos kyla ir kaip jos persidengia su BDAR.

Kaip NIS2 perkelta Lietuvoje?

Lietuva NIS2 direktyvą įgyvendino atnaujindama nacionalinį Kibernetinio saugumo įstatymą ir jį lydinčius poįstatyminius aktus. Kompetentinga priežiūros institucija yra NKSC – nacionalinis kibernetinio saugumo centras, atsakingas už subjektų priežiūrą, incidentų koordinavimą ir metodinę pagalbą. Skirtingai nuo ankstesnės sistemos, NIS2 numato griežtesnius priežiūros ir sankcijų mechanizmus bei platesnį įpareigotų subjektų ratą.

Bendrą NIS2 metodiką ir reikalavimų logiką rasite NIS2 atitikties vadove.

Kam Lietuvoje taikoma NIS2?

NIS2 skiria dvi subjektų kategorijas:

  • Esminiai subjektai – energetika, transportas, bankininkystė, finansų rinkų infrastruktūra, sveikatos priežiūra, geriamasis vanduo, nuotekos, skaitmeninė infrastruktūra, viešasis administravimas, kosmosas.
  • Svarbūs subjektai – pašto ir kurjerių paslaugos, atliekų tvarkymas, cheminių medžiagų gamyba, maisto gamyba, tam tikri gamybos sektoriai, skaitmeninių paslaugų teikėjai, moksliniai tyrimai.

Taikymas paprastai priklauso ir nuo dydžio: vidutinės bei didelės įmonės apibrėžtuose sektoriuose patenka į reguliavimą, nors tam tikriems kritiniams subjektams dydžio riba netaikoma. Praktiškai daugeliui organizacijų svarbiausias klausimas yra ne „ar", o „į kurią kategoriją" jos patenka, nes nuo to priklauso priežiūros intensyvumas.

Kaip NIS2 keičia ankstesnę tvarką?

Lietuva turėjo nacionalinę kibernetinio saugumo sistemą dar iki NIS2, tačiau naujoji direktyva ją reikšmingai išplečia. Anksčiau reguliavimas apėmė siauresnį ypatingos svarbos informacinės infrastruktūros valdytojų ratą, o dabar į jį patenka daug daugiau sektorių ir subjektų. Praktikoje tai reiškia, kad daugelis vidutinių įmonių, kurioms kibernetinio saugumo pareigos anksčiau netaikytos, dabar turi jas įgyvendinti pirmą kartą.

Kartu sugriežtinama priežiūra: NKSC gauna platesnius įgaliojimus atlikti patikrinimus ir taikyti sankcijas, o vadovybei nustatoma tiesioginė atsakomybė. Todėl subjektams, kuriems NIS2 taikoma pirmą kartą, svarbiausia nedelsiant nustatyti savo statusą ir pradėti kurti dokumentuotą rizikos valdymo sistemą – rankinis požiūris čia greitai tampa neperspektyvus.

Kokios pareigos kyla iš NIS2?

NIS2 nustato keturias pareigų grupes:

Pareiga Ką reikia padaryti
Rizikos valdymas Įdiegti technines ir organizacines kibernetinio saugumo priemones
Incidentų pranešimas Pranešti NKSC per nustatytus terminus (24 val. / 72 val. / 1 mėn.)
Tiekimo grandinės saugumas Vertinti ir valdyti tiekėjų riziką
Vadovybės atskaitomybė Valdymo organai atsako už priemonių įgyvendinimą ir priežiūrą

Rizikos valdymo priemonės apima prieigos kontrolę, šifravimą, incidentų valdymą, veiklos tęstinumą, tiekimo grandinės saugumą ir darbuotojų mokymus – daugelis jų tiesiogiai persidengia su BDAR 32 straipsnio saugumo reikalavimais.

Kaip veikia incidentų pranešimas?

NIS2 numato pakopinį incidentų pranešimą NKSC:

  1. Pradinis įspėjimas – per 24 valandas nuo reikšmingo incidento sužinojimo.
  2. Incidento pranešimas – per 72 valandas, su pradiniu vertinimu.
  3. Galutinė ataskaita – ne vėliau kaip per vieną mėnesį.

Svarbu, kad kibernetinis incidentas dažnai kartu yra ir asmens duomenų saugumo pažeidimas, apie kurį per 72 valandas reikia pranešti ir VDAI pagal BDAR 33 straipsnį. Tai reiškia dvigubą pranešimo pareigą, kurią būtina koordinuoti.

Kaip NIS2 persidengia su BDAR?

NIS2 ir BDAR persidengia dviejose srityse. Pirma, saugumo priemonės – NIS2 rizikos valdymas iš esmės atkartoja BDAR 32 straipsnio techninių ir organizacinių priemonių reikalavimą. Antra, incidentų pranešimas – tas pats incidentas gali reikalauti pranešimo ir NKSC (NIS2), ir VDAI (BDAR). Todėl subjektui, dokumentuojančiam priemones ir incidentus atskirai, atsiranda didelis dubliavimas. Bendrą BDAR Lietuvoje kontekstą verta valdyti kartu su NIS2. Finansų sektoriui prisideda ir DORA, kurios IRT rizikos valdymas taip pat sutampa.

Kokios sankcijos ir vadovybės atsakomybė?

NIS2 įveda griežtesnę sankcijų sistemą nei ankstesnė NIS direktyva. Esminiams subjektams numatytos baudos iki 10 mln. eurų arba 2 % pasaulinės metinės apyvartos, svarbiems – iki 7 mln. eurų arba 1,4 %. Konkrečias procedūras ir dydžius Lietuvoje nustato Kibernetinio saugumo įstatymas, o taiko NKSC.

Ypač svarbi naujovė – tiesioginė valdymo organų atsakomybė. Vadovybė turi patvirtinti kibernetinio saugumo rizikos valdymo priemones, prižiūrėti jų įgyvendinimą ir gali būti asmeniškai atsakinga už pareigų nesilaikymą. Tai reiškia, kad NIS2 nebėra vien IT skyriaus reikalas – ji tampa valdybos lygio klausimu. Todėl dokumentacija turi būti tokia, kad ją suprastų ir patvirtintų vadovybė, o ne tik technikos specialistai.

Kaip nustatyti, ar esate įpareigotas subjektas?

Praktiškai svarbiausias pirmasis žingsnis – nustatyti, ar jūsų organizacija patenka į NIS2 taikymo sritį, ir į kurią kategoriją. Vertinimo logika:

  1. Sektorius – ar veikiate viename iš direktyvoje išvardytų sektorių (energetika, transportas, sveikata, skaitmeninė infrastruktūra, pašto paslaugos, gamyba ir kt.)?
  2. Dydis – ar esate vidutinė ar didelė įmonė pagal ES apibrėžimą (paprastai 50+ darbuotojų arba 10+ mln. eurų apyvarta)?
  3. Išimtys – kai kuriems kritiniams subjektams dydžio riba netaikoma, todėl jie patenka nepriklausomai nuo dydžio.

Jei atsakymai patvirtina taikymą, dažniausiai reikia registruotis ar informuoti NKSC. Neaiškiais atvejais verta pasitikrinti tiesiogiai NKSC svetainėje arba direktyvos tekste EUR-Lex.

Kaip pasiekti NIS2 atitiktį?

Praktiniai žingsniai:

  1. Nustatykite, ar esate esminis, ar svarbus subjektas, ir informuokite NKSC, jei to reikalaujama.
  2. Atlikite kibernetinio saugumo rizikos vertinimą ir įdiekite priemones.
  3. Sukurkite incidentų pranešimo procedūrą su 24/72 val. terminais.
  4. Įvertinkite tiekimo grandinės riziką.
  5. Užtikrinkite vadovybės įsitraukimą ir dokumentuotą atskaitomybę.

Kadangi šios pareigos plačiai persidengia su BDAR ir DORA, integruota platforma leidžia priemones dokumentuoti vieną kartą. Legiscope apima persidengiančias NIS2, BDAR ir DORA dokumentavimo pareigas su ES talpinimu. Įrankių palyginimą rasite geriausios NIS2 programinės įrangos apžvalgoje.

Kokias saugumo priemones reikia įdiegti?

NIS2 21 straipsnis nurodo minimalų rizikos valdymo priemonių rinkinį, kurį įpareigoti subjektai privalo įgyvendinti. Tai apima rizikos analizės ir informacinių sistemų saugumo politiką, incidentų valdymą, veiklos tęstinumą ir atsargines kopijas, tiekimo grandinės saugumą, sistemų įsigijimo ir priežiūros saugumą, priemonių veiksmingumo vertinimą, kibernetinės higienos praktikas ir mokymus, kriptografijos ir šifravimo naudojimą, prieigos kontrolę bei daugiafaktorę autentifikaciją.

Šios priemonės turi būti proporcingos subjekto rizikai ir dokumentuotos taip, kad jas galėtų patvirtinti vadovybė ir patikrinti NKSC. Kadangi didelė dalis šių reikalavimų sutampa su BDAR 32 straipsnio techninėmis ir organizacinėmis priemonėmis, jas racionalu aprašyti vieną kartą ir panaudoti abiem reguliavimams. Būtent tokį integruotą dokumentavimą lengviausia palaikyti struktūrizuotai, o ne atskirose skaičiuoklėse.

Dažnai užduodami klausimai (FAQ)

Kas Lietuvoje prižiūri NIS2 vykdymą?

Priežiūrą vykdo Nacionalinis kibernetinio saugumo centras (NKSC), veikiantis prie Krašto apsaugos ministerijos. Jis atsakingas už subjektų priežiūrą, incidentų koordinavimą ir metodinę pagalbą. NIS2 perkelta Kibernetinio saugumo įstatymo pakeitimais.

Ar mano įmonei taikoma NIS2?

NIS2 taikoma esminiams ir svarbiems subjektams apibrėžtuose sektoriuose (energetika, transportas, sveikata, skaitmeninė infrastruktūra, pašto paslaugos, gamyba ir kt.), paprastai vidutinėms ir didelėms įmonėms. Kai kuriems kritiniams subjektams dydžio riba netaikoma. Reikia įvertinti, ar patenkate į reguliuojamą sektorių.

Per kiek laiko reikia pranešti apie NIS2 incidentą?

Pradinį įspėjimą NKSC reikia pateikti per 24 valandas nuo reikšmingo incidento sužinojimo, incidento pranešimą su vertinimu – per 72 valandas, o galutinę ataskaitą – per vieną mėnesį. Jei incidentas apima ir asmens duomenis, papildomai taikomas BDAR 33 straipsnio 72 valandų pranešimas VDAI.

Ar NIS2 taikoma įmonės tiekėjams?

Tiesiogiai NIS2 taikoma pačiam įpareigotam subjektui, tačiau viena iš pareigų yra tiekimo grandinės saugumo valdymas. Tai reiškia, kad įpareigotas subjektas turi vertinti savo IRT tiekėjų riziką ir įtraukti saugumo reikalavimus į sutartis. Praktiškai NIS2 poveikis pasklinda ir tiekėjams, net jei jie patys tiesiogiai nepatenka į reguliavimą.

Ar galima NIS2 ir BDAR valdyti kartu?

Taip, ir tai rekomenduojama. NIS2 saugumo priemonės ir incidentų pranešimas persidengia su BDAR 32 ir 33 straipsniais, todėl integruotas dokumentavimas leidžia tas pačias priemones aprašyti vieną kartą. Tai ypač aktualu Lietuvos subjektams, kuriems kartu taikoma ir NIS2, ir BDAR – integruota platforma sumažina darbo apimtį ir užtikrina nuoseklumą.

Išvada

NIS2 Lietuvoje perkelta Kibernetinio saugumo įstatymu, o priežiūrą vykdo NKSC. Direktyva reikšmingai išplečia įpareigotų subjektų ratą ir įveda griežtesnę rizikos valdymo, incidentų pranešimo ir vadovybės atskaitomybės sistemą. Kadangi pareigos plačiai persidengia su BDAR ir DORA, integruotas dokumentavimas yra efektyviausias kelias į atitiktį.

Šaltiniai: NKSC oficiali svetainė, NIS2 direktyva (EUR-Lex), Kibernetinio saugumo įstatymas (Teisės aktų registras).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →