NIS2 Lietuvoje: ką turi padaryti kiekviena įmonė iki 2026 m.?

2024 m. spalio 18 d. Lietuvoje įsigaliojo NIS2 (TIS2) direktyvos reikalavimai. Tai vienas didžiausių kibernetinio saugumo reguliacinių pokyčių per pastaruosius metus, kuris palies tiek kritinės infrastruktūros valdytojus, tiek daugelį kitų privačių įmonių.

Visos įmonės, nepriklausomai nuo dydžio, jei jos veikia svarbiuose sektoriuose (pvz., finansai, energetika, transportas, gamyba, IT paslaugos, sveikatos apsauga), privalės įdiegti papildomas kibernetinio saugumo priemones, užtikrinti procesų skaidrumą ir atsakomybę vadovybės lygiu.

Baltic Amadeus – viena pirmųjų Lietuvoje parengė išsamų pasiruošimo planą, padedantį įmonėms atitikti NIS2 reikalavimus.

Kodėl NIS2 direktyva yra svarbi Lietuvos įmonėms?

• Visuomenės pasitikėjimas. Kibernetiniai incidentai gali ne tik sustabdyti veiklą, bet ir pakenkti reputacijai.
• Didelės baudos. Už neatitiktį gresia iki 10 mln. eurų arba 2 % metinių pajamų.
• Asmeninė vadovybės atsakomybė. Direktoriai ir valdybos nariai gali atsakyti už neužtikrintą saugumą.
• Plati taikymo sritis. Direktyva apima daugiau sektorių ir vidutinio dydžio įmones.

6 žingsniai, kuriuos turi atlikti kiekviena įmonė

1. Įsivertinti dabartinę būklę

Atlikti NIS2 atitikties vertinimą (angl. gap analysis) – kokios priemonės jau yra taikomos ir kur yra silpnosios vietos.

2. Parengti saugumo politiką

Politikos dokumentai turi apimti rizikų vertinimą, prieigos kontrolę, incidentų valdymą ir darbuotojų atsakomybę.

3. Sukurti incidentų pranešimo sistemą

Pagal NIS2 incidentai turi būti pranešti atsakingoms institucijoms per 24–72 val. Reikia turėti aiškius procesus ir atsakomybės grandinę.

4. Valdyti tiekimo grandinės rizikas

Įtraukti saugumo reikalavimus į sutartis su tiekėjais, atlikti trečiųjų šalių vertinimus ir periodinius auditus.

5. Įdiegti technines apsaugos priemones

Tinklų segmentavimas, šifravimas, prieigos kontrolė, testavimai (įsilaužimų testavimai, pažeidžiamumų analizė) – visos šios priemonės turi būti nuolat taikomos.

6. Įtraukti vadovybę

NIS2 direktyva Lietuvoje aiškiai numato, kad atsakomybė tenka ne tik IT vadovams. Įmonės vadovai turi būti supažindinti su rizikomis ir reguliariai gauti ataskaitas apie pasirengimo eigą.

Kaip Baltic Amadeus padeda pasirengti NIS2?

Baltic Amadeus NIS2 paslaugos apima visą pasirengimo procesą – nuo spragų analizės ir politikos kūrimo iki incidentų valdymo planų, tiekėjų priežiūros bei techninių testų.

• Atitikties analizė. Nustatome, kurioje vietoje įmonė neatitinka NIS2 reikalavimų.
• Politikos ir procesų kūrimas. Parengiame reikiamus dokumentus ir procedūras, kad įmonė būtų pasirengusi auditams.
• Incidentų valdymo planai. Sukuriame praktinę sistemą, kaip reaguoti į incidentus ir apie juos pranešti.
• Tiekėjų priežiūra. Padedame sukurti trečiųjų šalių rizikos vertinimo modelius.
• Techniniai testai. Atliekame pažeidžiamumų analizę, įsilaužimų testavimus, pasirengimo patikras.
• Vadovybės mokymai. Supažindiname su atsakomybėmis ir būtinais sprendimais.

Dažniausiai užduodami klausimai apie NIS2 direktyvą  Lietuvoje

Ar ši direktyva taikoma tik viešajam sektoriui?

Ne. Ji galioja ir privačioms įmonėms, veikiančioms svarbiuose sektoriuose.

Ar ISO 27001 sertifikatas reiškia automatinę direktyvos atitiktį?

Ne. Sertifikatas padeda, tačiau NIS2 reikalauja papildomų veiksmų – incidentų pranešimo, tiekimo grandinės kontrolės, vadovybės atsakomybės.

Kada pradėti ruoštis?

Nedelsiant. Paruošiamieji darbai (analizė, dokumentai, mokymai) užtrunka, todėl pradėti tik 2025 m. gali būti per vėlu.

NIS2 Lietuvoje nėra tik formalumas – tai esminis žingsnis didinant kibernetinį atsparumą ir verslo patikimumą. Įmonės, kurios pasiruoš iki 2026 m., apsaugos ne tik savo veiklą, bet ir sustiprins reputaciją rinkoje.