Paslaugos Apie mus Kaip dirbame Rezultatai Kainos Tinklaraštis Susisiekti →
Pradžia  /  Tinklaraštis  /  NIS2
NIS2 2026 m. gegužės 10 d. 12 min skaitymo

NIS2 Lietuvoje 2026: kam taikoma, baudos, 10 priemonių

NIS2 įsigaliojo 2025-10-17. 18 sektorių, esminių subjektų baudos iki 10 mln. EUR. Praktinis vadovas: kam taikoma, kokias 10 saugumo priemonių privaloma įgyvendinti, kaip pranešti apie incidentą per 24 val.

J
Justinas
IT saugumo ekspertas
NIS2 direktyva Lietuvoje 2026 — 18 sektorių schema su esminių subjektų (10 mln. EUR bauda) ir svarbių subjektų (7 mln. EUR bauda) klasifikacija pagal LR Kibernetinio saugumo įstatymą
NIS2 taikymo sritis Lietuvoje — du subjektų klasai ir 18 reguliuojamų sektorių

NIS2 direktyva (ES 2022/2555) yra ES kibernetinio saugumo reglamentas, įsigaliojęs Lietuvoje 2025 m. spalio 17 d. Taikoma 18 sektorių vidutinėms ir didelėms įmonėms. Esminių subjektų baudos siekia iki 10 mln. EUR arba 2% apyvartos. Privaloma įgyvendinti 10 saugumo priemonių pagal NIS2 21 straipsnį.

Šiame straipsnyje
  1. Kas yra NIS2 direktyva ir kodėl ji svarbi 2026 m.?
  2. Kam taikoma NIS2 Lietuvoje — 18 sektorių sąrašas
  3. NIS2 baudos Lietuvoje — kiek gali kainuoti pažeidimas?
  4. 10 NIS2 privalomų saugumo priemonių (21 str.)
  5. Incidentų pranešimo terminai — 24 / 72 / 30 dienų
  6. Vadovybės asmeninė atsakomybė pagal NIS2 20 str.
  7. NIS2 ir BDAR — du paraleliniai režimai vienai įmonei
  8. Atotrūkio analizė — kaip įvertinti įmonės pasiruošimą?
  9. Kaip pasiruošti NIS2 atitikčiai per 90 dienų
  10. Ką daryti toliau — konkretūs žingsniai šią savaitę

NIS2 direktyva Lietuvoje 2026 m. nėra ateities tema. Atnaujintas Kibernetinio saugumo įstatymas įsigaliojo 2025 m. spalio 17 d. — perkėlimo terminas pasibaigė. Pagal NKSC duomenis, apie 50% įmonių, patenkančių į reguliavimo sritį, dar nėra atlikusios pirminio taikomumo vertinimo. Tai reiškia tūkstančius LT įmonių, kurios formaliai jau yra pažeidime.

Kas išskiria NIS2 nuo ankstesnių kibernetinio saugumo reikalavimų — vadovybės asmeninė atsakomybė, konkretūs incidentų pranešimo terminai (24 valandos pirmajam perspėjimui) ir baudos iki 10 mln. EUR. Šis straipsnis paaiškina, kam NIS2 taikoma, ką tiksliai reikia padaryti pagal 21 straipsnio 10 priemonių, ir pateikia praktinį 90 dienų atitikties planą.

Kas yra NIS2 direktyva ir kodėl ji svarbi 2026 m.?

NIS2 (Network and Information Security 2) — Europos Sąjungos direktyva 2022/2555, pakeitusi pirmąją NIS direktyvą iš 2016 m. ES Taryba ir Parlamentas patvirtino reglamentą 2022 m. gruodį. Valstybės narės privalėjo perkelti NIS2 į nacionalinę teisę iki 2024 m. spalio 17 d. Lietuva tai padarė atnaujindama Kibernetinio saugumo įstatymą — galutinis variantas įsigaliojo 2025 m. spalio 17 d.

Kuo NIS2 skiriasi nuo NIS1

NIS1 buvo bendro pobūdžio direktyva su rekomendacinio lygio reikalavimais. NIS2 — daug konkretesnis dokumentas. Pagrindiniai skirtumai:

  • Sektorių skaičius išaugo nuo 7 (NIS1) iki 18 (NIS2)
  • Atsirado dydžio kriterijus — 50+ darbuotojų arba €10 mln.+ apyvartos
  • Dvi subjektų kategorijos — esminiai ir svarbūs (skirtingos baudos)
  • Konkretūs incidentų pranešimo terminai: 24 / 72 valandos / 30 dienų
  • Vadovybės asmeninė atsakomybė pagal NIS2 20 straipsnį
  • Privalomas tiekimo grandinės saugumo vertinimas
  • Registracija nacionalinėje kompetentingoje institucijoje

NKSC vaidmuo Lietuvoje

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos yra pagrindinė kompetentinga institucija NIS2 įgyvendinimui Lietuvoje. NKSC atlieka subjektų registraciją, priima incidentų pranešimus, vykdo patikrinimus, skiria sankcijas. Centras taip pat skelbia metodines rekomendacijas ir techninius standartus, kurie patikslina NIS2 21 straipsnio reikalavimus LT kontekste.

„NIS2 keičia kibernetinio saugumo paradigmą Lietuvoje. Anksčiau saugumas buvo IT skyriaus reikalas — dabar tai vadovybės atsakomybė su asmeninėmis sankcijomis. Tai pirmas kartas, kai įstatymas tiesiogiai sieja kibernetinį saugumą su valdymo lygiu."

Kam taikoma NIS2 Lietuvoje — 18 sektorių sąrašas

NIS2 reguliavimo sritis nustatoma pagal du kriterijus: sektorių (Annex I arba Annex II) ir įmonės dydį. Abu kriterijai turi sutapti, kad subjektas patektų į NIS2 reguliavimą. Tačiau yra išimčių — tam tikros kritinės infrastruktūros įmonės įtrauktos neatsižvelgiant į dydį.

11 itin svarbių sektorių (Annex I)

Į esminių subjektų kategoriją (jei dydžio kriterijai atitinka) patenka šie sektoriai:

  • Energetika — elektros, dujų, naftos, šilumos, vandenilio, anglies tiekėjai
  • Transportas — oro, geležinkelio, vandens, kelių transportas
  • Bankininkystė — kredito įstaigos pagal Reglamentą (ES) 575/2013
  • Finansų rinkų infrastruktūra — biržos, centriniai depozitoriumai
  • Sveikata — sveikatos priežiūros įstaigos, vaistų gamintojai, medicininių prietaisų gamintojai
  • Geriamasis vanduo — vandens tiekimo ir paskirstymo subjektai
  • Nuotekos — nuotekų surinkimo ir valymo įmonės
  • Skaitmeninė infrastruktūra — DNS, TLD, IXP, debesijos, duomenų centrai, CDN
  • IKT paslaugų valdymas (B2B) — valdomos IT paslaugos, valdomi saugumo paslaugų teikėjai
  • Viešasis administravimas — centrinė valdžia (savivalda — pagal kritiškumą)
  • Kosmosas — kosminės infrastruktūros operatoriai

7 svarbūs sektoriai (Annex II)

Į svarbių subjektų kategoriją patenka:

  • Pašto ir kurjerių paslaugos — universaliųjų pašto paslaugų teikėjai
  • Atliekų valdymas — atliekų surinkimas, perdirbimas, šalinimas
  • Chemijos pramonė — gamyba ir platinimas
  • Maisto pramonė — gamyba, didmeninė prekyba, pramoninis perdirbimas
  • Gamyba — medicininiai prietaisai, kompiuteriai ir elektronika, mašinos, transporto priemonės
  • Skaitmeninių paslaugų teikėjai — interneto turgavietės, paieškos sistemos, socialinių tinklų platformos
  • Mokslo tyrimai — mokslo tyrimų organizacijos

Dydžio kriterijai

Dydis nustato kategoriją:

  • Esminiai subjektai — ≥250 darbuotojų ARBA ≥€50 mln. metinė apyvarta ARBA ≥€43 mln. balanso suma (Annex I sektoriai)
  • Svarbūs subjektai — 50-249 darbuotojų ARBA €10-50 mln. apyvartos (Annex I ir II sektoriai)
  • Smulkios įmonės (iki 50 darbuotojų ir iki €10 mln. apyvartos) — bendrai netaikoma, su išimtimis kritinėje infrastruktūroje
NIS2 subjektų klasifikacija Lietuvoje — esminiai vs svarbūs subjektai pagal sektorių (Annex I 11 itin svarbių, Annex II 7 svarbūs) ir dydžio kriterijus (≥250 darbuotojų arba ≥€50 mln. apyvartos = esminiai; 50-249 darbuotojai arba €10-50 mln. apyvartos = svarbūs)
NIS2 subjektų klasifikacija — esminiai vs svarbūs subjektai pagal sektorių ir dydį
Svarbu

Net jei įmonė formaliai patenka į svarbius subjektus pagal dydį, NKSC turi teisę reklasifikuoti ją į esminius pagal kritinę funkciją sektoriui ar regionui. Pavyzdys — vienintelė regiono ligoninė ar pagrindinis savivaldybės IT paslaugų teikėjas. Tai reiškia griežtesnes baudas ir intensyvesnę priežiūrą.

NIS2 baudos Lietuvoje — kiek gali kainuoti pažeidimas?

NIS2 baudos struktūruotos pagal subjekto kategoriją. Esminiams subjektams numatytos griežtesnės sankcijos nei svarbiems. Skirtingai nei BDAR, NIS2 baudos yra ne tik finansinės — vadovybei numatytos asmeninės administracinės sankcijos.

€10M
Maksimali NIS2 bauda esminiam subjektui
arba 2% pasaulinės apyvartos — taikoma didesnė suma. Šaltinis: NIS2 34 str.

Esminiai subjektai — iki 10 mln. EUR arba 2% apyvartos

NIS2 34 straipsnio 4 dalis numato maksimalias administracines baudas esminiams subjektams: iki 10 milijonų eurų arba iki 2% bendros pasaulinės metinės apyvartos. Taikoma didesnė iš šių sumų. Toks pat principas kaip ir BDAR — bauda turi būti efektyvi ir atgrasanti net didžiausioms platformoms.

Svarbūs subjektai — iki 7 mln. EUR arba 1,4% apyvartos

Svarbiems subjektams maksimali bauda mažesnė — iki 7 milijonų eurų arba iki 1,4% pasaulinės apyvartos. Vis dėlto, tai ženkli suma vidutinei LT įmonei (50-249 darbuotojų), kuriai bauda gali sudaryti reikšmingą metinio pelno dalį.

Vadovybės asmeninė atsakomybė

NIS2 20 straipsnis nustato unikalų bruožą — vadovybė asmeniškai atsako už atitikties priežiūrą. NKSC gali skirti administracinę baudą tiesiogiai vadovui. Pakartotinio pažeidimo atveju — laikinai nutraukti vadovo įgaliojimus eiti pareigas. D&O (direktorių ir vadovų atsakomybės) draudimas paprastai administracinių baudų nedengia — tai išlieka asmeninė pinigų išlaida.

NIS2 ir BDAR — dvi paralelinės baudos

Tas pats incidentas gali sukelti dvi atskiras baudas. Pavyzdys: ransomware ataka su asmens duomenų nutekėjimu. VDAI gali skirti BDAR baudą už netinkamas saugumo priemones (BDAR 32 str.) ir nepranešimą per 72 val. (33 str.), o NKSC tuo pat metu — NIS2 baudą už 21 str. priemonių pažeidimą ir nepranešimą per 24 val. Detalią BDAR pusės analizę galima rasti straipsnyje apie BDAR baudas Lietuvoje.

10 NIS2 privalomų saugumo priemonių (21 str.)

NIS2 21 straipsnis išvardija 10 konkrečių rizikos valdymo priemonių, kurias privalo įgyvendinti tiek esminiai, tiek svarbūs subjektai. Reikalavimai paremti „all-hazards" požiūriu — apima ir kibernetines, ir fizines grėsmes informacinėms sistemoms.

10 NIS2 21 straipsnio privalomų kibernetinio saugumo priemonių schema: rizikos analizės politika, incidentų valdymas, veiklos tęstinumas su atsarginėmis kopijomis, tiekimo grandinės saugumas, sistemų įsigijimo saugumas, efektyvumo testavimas, kibernetinė higiena ir mokymai, kriptografija ir šifravimas, žmogiškųjų išteklių saugumas su prieigos kontrole, daugiapakopis autentifikavimas (MFA)
10 NIS2 21 str. privalomų kibernetinio saugumo priemonių

1. Rizikos analizės ir informacijos saugumo politikos

Dokumentuota rizikos vertinimo metodologija ir patvirtinta informacijos saugumo politika. Politika privalo būti aprobuota vadovybės, peržiūrima reguliariai (bent kartą per metus arba po reikšmingų pokyčių). Praktikoje tai apima rizikos registrą, klasifikacijos schemą, akceptavimo kriterijus.

2. Incidentų valdymas

Procesai aptikti, valdyti ir registruoti kibernetinius incidentus. Privaloma turėti dokumentuotą incidentų reagavimo planą (IRP) su aiškiais vaidmenimis ir terminais. Visi reikšmingi incidentai registruojami centrinėje sistemoje.

3. Veiklos tęstinumas

Atsarginių kopijų valdymas, krizių valdymo procedūros, atstatymo planai (DRP). Atsarginės kopijos turi būti reguliariai testuojamos — ne tik daromos. Privaloma RTO (Recovery Time Objective) ir RPO (Recovery Point Objective) apibrėžtis kiekvienai kritinei sistemai.

4. Tiekimo grandinės saugumas

Tiekėjų vertinimas pagal saugumo kriterijus, sutarčių sąlygos su konkrečiais reikalavimais (incidentų pranešimas, audito teisė, nutraukimo sąlygos). NIS2 21 str. 4 dalis aiškiai įvardija tiekimo grandinę kaip atskirą rizikos sritį — tai didelis pakeitimas lyginant su NIS1.

5. Sistemų įsigijimas, plėtra ir priežiūra

Saugumas integruojamas į IT sistemų įsigijimo, plėtros ir priežiūros procesus. Apima secure-by-design principus, pažeidžiamumų valdymą, patch'ų politiką, change management procedūras.

6. Saugumo priemonių efektyvumo testavimas

Reguliarus saugumo kontrolių efektyvumo vertinimas — penetration testing, pažeidžiamumų skenavimas, audito pratybos. NIS2 nereikalauja konkretaus dažnio, bet praktikoje rekomenduojama bent kartą per metus išorinis pen-test'as kritinėms sistemoms.

7. Kibernetinė higiena ir mokymai

Pagrindinės praktikos visiems darbuotojams: stipri slaptažodžių politika, phishing atpažinimas, įrenginių apsauga, saugus naršymas. Privalomi periodiniai mokymai, dokumentuotas dalyvavimas. Vadovybei — atskira mokymų programa pagal NIS2 20 straipsnį.

8. Kriptografija ir šifravimas

Šifravimo politikų taikymas duomenims rimties būsenoje (at rest) ir perdavime (in transit). TLS 1.2+ visiems tinklo ryšiams, šifruoti duomenų bazių diskai, šifruoti backup'ai. Raktų valdymo procedūros — kas, kada, kaip generuoja, saugo ir keičia raktus.

9. Žmogiškųjų išteklių saugumas, prieigos kontrolė, turto valdymas

Apima darbuotojų patikras (kur taikoma), prieigos teisių valdymą pagal least-privilege principą, turto inventorizaciją (CMDB), priėmimo ir atleidimo procedūras (onboarding/offboarding). Reguliarūs prieigos teisių peržiūros — bent kas pusmetį.

10. Daugiapakopis autentifikavimas (MFA) ir saugus ryšys

MFA privaloma visoms kritinėms sistemoms ir nuotolinei prieigai. Saugaus ryšio sprendimai — VPN, šifruotas vidinis tinklas, nuolatinio autentifikavimo (continuous authentication) sprendimai aukštesnės rizikos sistemoms. Šis reikalavimas dažnai yra pirmasis P0 prioritetas atotrūkio analizėje.

Incidentų pranešimo terminai — 24 / 72 / 30 dienų

NIS2 23 straipsnis nustato vieną iš griežčiausių incidentų pranešimo režimų ES kibernetinio saugumo srityje. Reikšmingiems incidentams numatyti trys terminai. Visi terminai pradedami skaičiuoti nuo incidento aptikimo momento, ne nuo įvykio pradžios.

24 valandos — ankstyvas perspėjimas (early warning)

Per 24 valandas nuo aptikimo subjektas privalo NKSC pateikti ankstyvą perspėjimą. Šiame etape pateikiama ribota informacija: ar incidentas tikėtinai sukeltas neteisėto veiksmo, ar gali turėti tarpvalstybinį poveikį. Tikslas — leisti NKSC ir kitoms institucijoms reaguoti laiku.

72 valandos — incidento pranešimas

Per 72 valandas nuo aptikimo pateikiamas oficialus incidento pranešimas su pirminiu vertinimu: incidento pobūdis, sunkumas, poveikis, taikytos švelninimo priemonės. Šiuo etapu informacija jau detalesnė, bet vis dar gali būti nepilna.

30 dienų — galutinė ataskaita

Per mėnesį nuo incidento subjektas privalo pateikti galutinę ataskaitą su išsamiomis priežastimis (root cause), pilnu poveikio aprašymu, taikytomis ir planuojamomis korekcinėmis priemonėmis, tarpvalstybinio poveikio analize. NKSC gali pareikalauti tarpinių ataskaitų, jei incidentas tęsiasi.

Kas laikoma „reikšmingu" incidentu

NIS2 23 straipsnio 3 dalis apibrėžia reikšmingumo kriterijus:

  • Sukėlė arba gali sukelti rimtus paslaugų teikimo sutrikimus
  • Sukėlė arba gali sukelti finansinius nuostolius susijusiam subjektui
  • Paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas materialinę ar nematerialinę žalą

Pavyzdys — ransomware ataka. T+0: aptiktas šifravimas. T+24h: NKSC ankstyvas perspėjimas su preliminariu vertinimu. T+72h: oficialus pranešimas su paveiktų sistemų sąrašu, švelninimo priemonėmis. T+30d: galutinė ataskaita su root cause, atstatymo statusu, korekcinių priemonių planu.

Praktiškai

NKSC pranešimo formą reikia turėti paruoštą iš anksto — incidento metu nebus laiko jos pildyti nuo nulio. Veriva rekomenduoja parengti pranešimo šabloną kaip incidentų reagavimo plano dalį, kad krizės metu reaguotų pagal procedūrą, ne improvizuotų.

Vadovybės asmeninė atsakomybė pagal NIS2 20 str.

NIS2 20 straipsnis yra vienas iš didžiausių paradigmos pakeitimų. Anksčiau kibernetinis saugumas buvo IT skyriaus reikalas — dabar tai vadovybės teisinė pareiga su asmeninėmis sankcijomis. Tai keičia ne tik atitikties procesą, bet ir vadovybės kasdienę darbotvarkę.

Trys pagrindinės vadovybės pareigos

NIS2 20 str. nustato tris konkrečias vadovybės pareigas:

  1. Patvirtinti rizikos valdymo priemones. Vadovybė formaliai patvirtina 21 str. priemonių įgyvendinimo planą — ne tik žino apie jį.
  2. Prižiūrėti įgyvendinimą. Reguliarus statuso peržiūrėjimas valdyboje arba vadovybės posėdžiuose. Dokumentuoti sprendimai protokoluose.
  3. Mokytis kibernetinio saugumo. Privalomi mokymai vadovams — pakankamo lygio, kad galėtų suprasti rizikas, vertinti priemonių efektyvumą ir priimti sprendimus.

Asmeninės sankcijos

NKSC turi teisę skirti administracinę baudą tiesiogiai vadovui, ne tik įmonei. Pakartotinio pažeidimo atveju — laikinai nutraukti vadovo įgaliojimus eiti pareigas. Tai unikali sankcija ES reguliavime — net BDAR neturi tiesioginės asmeninės profesinės sankcijos.

D&O draudimas — ar padengia?

Standartiniai D&O draudimo polisai administracinių baudų paprastai nedengia — tai laikoma asmenine atsakomybe. Kai kurie nauji polisai siūlo specifinį „regulatory defence" priedą, padengiantį teisinės gynybos išlaidas, bet ne pačios baudos sumą. Kiekvieną polisą reikia tikrinti individualiai.

Reikia NIS2 vadovybės mokymų?

Veriva organizuoja NIS2 mokymus vadovybei pagal 20 str. reikalavimus. 4 val. sesija su dokumentuotu dalyvavimu. 120+ klientų, €0 baudų nuo 2017 m.

Užsakyti mokymus

NIS2 ir BDAR — du paraleliniai režimai vienai įmonei

Daugelis LT įmonių, patenkančių į NIS2 reguliavimą, jau yra BDAR subjektai. Tai reiškia dvigubą reguliavimo režimą su dviem skirtingomis kompetentingomis institucijomis: VDAI (BDAR) ir NKSC (NIS2). Suprasti, kur jie persidengia ir kur skiriasi, yra praktiškai būtina.

Persidengimas — apie 80% techninių priemonių

Daugumas techninių ir organizacinių priemonių yra bendros:

  • Rizikos vertinimas ir saugumo politikos
  • Prieigos kontrolė ir least-privilege principas
  • Šifravimas (rimties būsenoje ir perdavime)
  • Incidentų valdymo procesai
  • Atsarginės kopijos ir veiklos tęstinumas
  • Darbuotojų mokymai ir kibernetinė higiena
  • Pažeidžiamumų valdymas ir patch'avimas

Pagrindiniai skirtumai

Skirtumai vis dėlto reikšmingi:

  • Apimtis: BDAR — asmens duomenys; NIS2 — visa IT infrastruktūra ir paslaugų teikimas
  • Tiekimo grandinė: NIS2 reikalauja struktūruotos tiekėjų vertinimo metodologijos; BDAR — DPA sutartys
  • MFA: NIS2 privaloma reikalavimas; BDAR — geroji praktika, ne įsipareigojimas
  • Pranešimo terminai: NIS2 — 24/72 val./30 d.; BDAR — 72 val.
  • Vadovybės atsakomybė: NIS2 — asmeninė; BDAR — netiesioginė
  • Kompetentinga institucija: NKSC vs VDAI

Integruotas auditas — efektyvesnis nei du atskiri

Praktikoje 80% reikalavimų persidengia. Vienas integruotas auditas pagal abu standartus efektyvesnis nei du atskiri tikrinimai. Veriva atlieka jungtinius BDAR ir NIS2 auditus — vienos komandos atliktas vertinimas, vienas dokumentų rinkinys, vienas veiksmų planas su prioritetais abiem režimais.

Atotrūkio analizė — kaip įvertinti įmonės pasiruošimą?

Atotrūkio analizė (gap analysis) — pirmasis praktinis žingsnis NIS2 atitikties kelyje. Tai struktūruotas esamos saugumo lygio palyginimas su NIS2 21 straipsnio 10 priemonių reikalavimais. Rezultatas — prioritetuotas veiksmų sąrašas su konkrečiais terminais ir atsakingais asmenimis.

5 brandos lygiai

Veriva atotrūkio analizėje naudojama 5 lygių brandos skalė kiekvienai iš 10 NIS2 priemonių:

  • 0 — Nedaroma: priemonė neegzistuoja, nėra dokumentacijos
  • 1 — Dokumentuota: politikos parašytos, bet ne pilnai įgyvendintos
  • 2 — Įgyvendinta: priemonė veikia, naudojama kasdien
  • 3 — Testuojama: efektyvumas reguliariai matuojamas, koreguojama
  • 4 — Audituojama: nepriklausomas išorinis vertinimas, sertifikavimas

NIS2 atitikčiai paprastai pakanka pasiekti 2-3 lygį visoms priemonėms. Aukščiausias lygis (4) reikalingas tik kritinėms sistemoms ar siekiant ISO 27001 sertifikato.

50% LT įmonių dar nieko nedaro

Pagal NKSC duomenis, apie pusė įmonių, patenkančių į NIS2 reguliavimo sritį, dar nėra atlikusios pirminio taikomumo vertinimo. Tai reiškia, kad ne tik nepradėta atitikties darbai — net nežinoma, ar įmonė formaliai patenka į esminius ar svarbius subjektus. Šios įmonės jau formaliai yra pažeidime.

Tipinis atitikties laikas

Vidutinė LT įmonė (100-300 darbuotojų), pradėjusi nuo nulio, NIS2 atitikčiai pasiekia per 60-90 darbo dienų. Skaičiai pagal Veriva atliktų projektų patirtį: atotrūkio analizė 5-10 d., politikos ir procesai 15-20 d., techninės priemonės 30-45 d., mokymai ir registracija 10-15 d.

Po NIS2 įsigaliojimo NKSC paskelbė, kad mūsų sektoriaus įmonės bus tikrinamos pirmiausia. Veriva per 12 savaičių atliko atotrūkio analizę, sukūrė rizikos valdymo politiką, įdiegė MFA visose sistemose ir parengė incidentų reagavimo planą. NKSC registracija atlikta. Esame pasiruošę pirmajam patikrinimui.
IT vadovas, logistikos įmonė · 2026 m. kovas
NIS2 atitiktis · 12 sav.

Kaip pasiruošti NIS2 atitikčiai per 90 dienų

NIS2 atitiktis nepasiekiama per kelias savaites — bet ir nereikia kelerių metų. Praktinis 90 dienų planas, paremtas Veriva atliktų projektų patirtimi, padalinamas į penkis konkrečius etapus. Kiekvienas etapas turi aiškius deliverable'us ir matuojamus rezultatus.

1 žingsnis — taikomumo vertinimas (1-3 d.)

Patikrinama, ar įmonė patenka į NIS2 reguliavimo sritį. Vertinami du kriterijai: sektorius (Annex I arba II) ir dydis (darbuotojų skaičius, apyvarta, balansas). Rezultatas — formalus dokumentas su kategorija (esminis / svarbus / netaikoma) ir pagrindimu.

2 žingsnis — atotrūkio analizė (5-10 d.)

Esamo saugumo lygio palyginimas su 10 NIS2 21 str. priemonių. Apima dokumentacijos peržiūrą, pokalbius su atsakingais asmenimis, technines apžvalgas. Rezultatas — gap analysis ataskaita su prioritetuotu veiksmų sąrašu (P0/P1/P2) ir biudžeto įvertinimu.

3 žingsnis — politikos ir procesai (15-20 d.)

Pagrindiniai dokumentai, kuriuos privalo turėti kiekvienas NIS2 subjektas:

  • Informacijos saugumo politika — aukšto lygio, vadovybės patvirtinta
  • Rizikos valdymo metodologija — registras, vertinimo kriterijai
  • Incidentų reagavimo planas (IRP) — 24/72/30 d. NKSC pranešimo procesas
  • Tiekėjų saugumo procedūra — vertinimo kriterijai, sutarčių sąlygos
  • Veiklos tęstinumo planas (BCP) — RTO/RPO, atstatymo procedūros
  • Prieigos kontrolės politika — least-privilege, peržiūros dažnis
  • Šifravimo standartas — algoritmai, raktų valdymas

4 žingsnis — techninės priemonės (30-45 d.)

Praktinis priemonių diegimas:

  • MFA visose kritinėse sistemose ir nuotolinei prieigai
  • Šifravimas duomenims rimties būsenoje (diskai, duomenų bazės) ir perdavime (TLS 1.2+)
  • Centralizuotas log'avimas ir SIEM monitoring sprendimas
  • Automatinės atsarginės kopijos su periodiniu testavimu
  • Pažeidžiamumų skenavimas ir patch management procesas
  • Endpoint protection visiems darbuotojų įrenginiams

5 žingsnis — mokymai, NKSC registracija, tęstinė priežiūra (10-15 d.)

Vadovybės mokymai pagal NIS2 20 str. — 4 valandų sesija su dokumentuotu dalyvavimu. Bendrieji kibernetinės higienos mokymai darbuotojams. Registracija NKSC sistemoje su atnaujintais kontaktiniais duomenimis. Periodinės priežiūros plano sukūrimas — kvartalinė rizikos peržiūra, metinis išorinis auditas.

Svarbu

Registracija NKSC privaloma per 3 mėnesius nuo NIS2 įsigaliojimo arba nuo dienos, kai įmonė pateko į reguliavimo sritį. Praktinis terminas Lietuvai — 2026 m. sausio 17 d. Įmonės, kurios iki šios datos neregistruotos, jau formaliai yra pažeidime ir gali sulaukti atskiros baudos vien už neregistraciją.

Ką daryti toliau — konkretūs žingsniai šią savaitę

Skaitymas — tik pradžia. NIS2 atitiktis pasiekiama struktūruotu darbu, ne ketinimais. Štai konkretūs veiksmai, kurių galima imtis šią savaitę, kad pradėtumėte mažinti NIS2 baudos riziką:

  1. Patikrinkite NIS2 taikomumą. Sektorius (Annex I/II), darbuotojų skaičius, apyvarta. Jei abu kriterijai atitinka — esate reguliavimo srityje.
  2. Atlikite NKSC registraciją. Jei dar nesate užregistruoti — tai pirmiausias prioritetas. Neregistracija yra atskiras pažeidimas su atskira sankcija.
  3. Inventorizuokite IT turtą. Sąrašas serverių, programinės įrangos, debesijos paslaugų, duomenų srautų. Tai pagrindas visoms NIS2 priemonėms.
  4. Peržiūrėkite tiekėjų sutartis. NIS2 21 str. 4 dalis reikalauja saugumo sąlygų sutartyse su kritiniais tiekėjais (debesija, IT paslaugos, valdomi saugumo paslaugų teikėjai).
  5. Užsakykite nepriklausomą NIS2 atitikties auditą. Vidinis vertinimas naudingas pradžiai, bet tik išorinis ekspertas pamatys spragas, kurių komanda nepastebi.

Profesionali NIS2 atotrūkio analizė apima sektoriaus klasifikacijos patikrinimą, 10 priemonių vertinimą, tiekėjų grandinės analizę ir prioritetuotą veiksmų sąrašą su biudžeto įvertinimu. Tai investicija į rizikos sumažinimą — viena bauda gali viršyti viso atitikties projekto kaštus dešimtimis kartų. Pirmoji konsultacija dažniausiai būna nemokama, kad galėtumėte įvertinti apimtį prieš sprendimą.

Šaltiniai: NIS2 direktyva (ES 2022/2555) EUR-Lex · NKSC — Nacionalinis kibernetinio saugumo centras · LR Kibernetinio saugumo įstatymas (e-tar.lt)

Dažniausi klausimai apie NIS2 direktyvą

NIS2 direktyva (ES 2022/2555) Lietuvoje įgyvendinta per atnaujintą Kibernetinio saugumo įstatymą, kuris įsigaliojo 2025 m. spalio 17 d. Tai oficiali ES nustatyta perkėlimo riba. Nuo šios datos esminiai ir svarbūs subjektai privalo atitikti NIS2 21 straipsnio 10 saugumo priemonių reikalavimus. Registracija NKSC privaloma per 3 mėnesius nuo įsigaliojimo.
NIS2 taikoma 18 sektorių vidutinėms (50-249 darbuotojų, €10-50 mln. apyvartos) ir didelėms (≥250 darbuotojų, ≥€50 mln. apyvartos) įmonėms. 11 itin svarbių sektorių: energetika, transportas, bankininkystė, finansai, sveikata, vanduo, skaitmeninė infrastruktūra, IKT, viešasis administravimas, kosmosas. 7 svarbūs: paštas, atliekos, chemija, maistas, gamyba, skaitmeninės paslaugos, tyrimai.
NIS2 baudos Lietuvoje: esminiams subjektams iki 10 mln. EUR arba 2% pasaulinės apyvartos (taikoma didesnė suma). Svarbiems subjektams iki 7 mln. EUR arba 1,4% apyvartos. Vadovybė asmeniškai atsako pagal NIS2 20 straipsnį. NKSC gali laikinai nutraukti vadovo įgaliojimus pakartotinio pažeidimo atveju. Tas pats incidentas gali sukelti BDAR ir NIS2 baudas vienu metu.
NIS2 23 straipsnis numato tris terminus reikšmingam incidentui: ankstyvas perspėjimas NKSC per 24 valandas nuo aptikimo, oficialus incidento pranešimas su pirminiu vertinimu per 72 valandas, galutinė ataskaita per 30 dienų. Ataskaitoje aprašomos priežastys, poveikis, taikytos švelninimo priemonės ir tarpvalstybinis poveikis. Vėluojant pranešti, baudos rizika auga.
Taip. Viešasis administravimas yra vienas iš 11 itin svarbių sektorių pagal NIS2 Annex I. Centrinės valdžios institucijos visada patenka į esminius subjektus, neatsižvelgiant į dydį. Savivaldybių institucijos vertinamos individualiai pagal kritinę funkciją. Teismai, vykdantys teismines funkcijas, ir parlamentai paprastai netaikomi. Tikslus sąrašas — Kibernetinio saugumo įstatymo prieduose.
NIS2 yra ženkliai platesnis nei NIS1: sektorių skaičius išaugo nuo 7 iki 18, atsirado dydžio kriterijus (50+ darbuotojų), dvi subjektų kategorijos (esminiai vs svarbūs), griežtesnės baudos (iki €10 mln.), asmeninė vadovybės atsakomybė, privalomi incidentų terminai 24/72/30, tiekimo grandinės vertinimas, registracija NKSC. NIS1 buvo direktyva su rekomendacijomis, NIS2 reikalavimai daug konkretesni.
Taip. Visi esminiai ir svarbūs subjektai privalo registruotis NKSC (Nacionaliniame kibernetinio saugumo centre) per 3 mėnesius nuo NIS2 įsigaliojimo arba nuo dienos, kai įmonė patenka į reguliavimo sritį. Registracija atliekama elektroniniu būdu per NKSC sistemą. Pateikiama informacija apie kontaktinius asmenis, pagrindinę veiklą, sektorių, paslaugų teikimo vietas ES. Neregistracija — atskiras pažeidimas su atskira bauda.
Taip. NIS2 20 straipsnis nustato vadovybės asmeninę atsakomybę. Vadovybė privalo patvirtinti rizikos valdymo priemones ir prižiūrėti jų įgyvendinimą. Mokymai vadovams privalomi. NKSC gali skirti administracinę baudą tiesiogiai vadovui, o pakartotinio pažeidimo atveju — laikinai nutraukti vadovo įgaliojimus. D&O draudimas baudų paprastai nedengia — tai asmeninė pinigų išlaida.
Iš dalies. Apie 80% techninių ir organizacinių priemonių sutampa: rizikos vertinimas, prieigos kontrolė, šifravimas, incidentų valdymas, mokymai. Bet NIS2 reguliuoja visą IT infrastruktūrą, ne tik asmens duomenis. Skiriasi: tiekimo grandinės vertinimas, MFA reikalavimas, kibernetinės higienos praktikos, vadovybės atsakomybė. Du paraleliniai režimai — VDAI BDAR, NKSC NIS2. Integruotas auditas efektyviau nei du atskiri.
NIS2 atotrūkio analizė smulkiai įmonei (50-100 darbuotojų) pradeda nuo kelių šimtų eurų ir trunka 5-10 darbo dienų. Vidutinei įmonei (100-500 darbuotojų) kaina svyruoja 3 000-10 000 EUR — apima 10 NIS2 21 str. priemonių vertinimą, tiekėjų grandinės analizę ir prioritetuotą veiksmų sąrašą. Pilnas atitikties įgyvendinimas (politikos, MFA diegimas, mokymai) — papildomos 60-90 darbo dienų.
Bendrai ne — NIS2 taikoma vidutinėms ir didelėms įmonėms (50+ darbuotojų arba €10 mln.+ apyvartos). Tačiau yra išimčių: smulkios įmonės kritinėje infrastruktūroje (skaitmeninė infrastruktūra, viešojo administravimo paslaugos, kvalifikuotos pasitikėjimo paslaugos) gali būti įtrauktos neatsižvelgiant į dydį. Be to, NKSC gali individualiai reklasifikuoti įmonę pagal kritinę funkciją regionui ar sektoriui.
NKSC patikrinimo pasiruošimas: (1) registracija NKSC sistemoje su atnaujintais kontaktais, (2) dokumentuota rizikos valdymo politika ir 10 NIS2 21 str. priemonių aprašai, (3) tiekėjų sutartys su saugumo sąlygomis, (4) incidentų reagavimo planas su 24/72 val. pranešimo procedūra, (5) vadovybės mokymų įrodymai, (6) MFA visose kritinėse sistemose, (7) atsarginių kopijų testavimo žurnalai. Vidutinis pasiruošimas — 8-12 savaičių.

Užsakykite NIS2 atotrūkio analizę

Veriva atlieka NIS2 21 str. gap analizę per 5-10 darbo dienų. Konkretus veiksmų sąrašas su prioritetais (P0/P1/P2). 120+ klientų, €0 baudų nuo 2017 m. Pirmoji konsultacija — nemokama.

Gauti atotrūkio analizę