Namai
/
Gidai
/
Galutinis NIS2 vadovas Baltijos šalyse: Lietuva, Latvija ir Estija
Teksto nuoroda
March 17, 2026
10 minučių skaitymas
Arūnas Vrubliauskas

Galutinis NIS2 vadovas Baltijos šalyse: Lietuva, Latvija ir Estija

2024 m. Europos organizacijos sustiprino jų dėmesį kibernetiniam saugumui, nes NIS2 direktyva tapo teise Europoje. Kadangi laikomasi atitikties dabar, mes esame čia, kad išsamiai suprastume NIS2 direktyvą, kad jūsų organizacija galėtų užtikrinti visišką atitikimą.

Šiame tinklaraščio įraše apžvelgiame pagrindinius NIS2 direktyvos aspektus, jos reikšmę, atitikties reikalavimus, paveiktus sektorius ir subjektus bei kokių veiksmų gali imtis kiekviena organizacija.

Kas yra NIS2 direktyva?

NIS2 direktyva, trumpinė nuo Tinklų ir informacijos saugumo direktyvos, yra Europos Sąjungos įdiegta teisinė sistema, kuria siekiama sustiprinti kibernetinio saugumo priemones visose valstybėse narėse.

Įstatymu jis tapo 2024 m. Todėl subjektai, kuriems taikoma NIS2 taikymo sritis, turi atitikti jos reikalavimus, nes kiekviena valstybė narė perkėlė jį į nacionalinę teisę.

Kodėl buvo pradėta taikyti NIS2 direktyva?

NIS direktyva buvo priimta 2016 m. liepos 6 d., tą dieną oficialiai patvirtinus Europos Parlamentas ir Europos Sąjungos Taryba. Direktyva buvo siekiama nustatyti standartinį pasirengimo kibernetiniam saugumui lygį visose Europos Sąjungos valstybėse narėse.

Iškilusi iš sunkumų, su kuriais susidūrė pradinė NIS direktyva, NIS2 direktyva buvo pasiūlyta 2020 m. ir priimta 2023 m. sausio 16 d. Jis tarnauja kaip savo pirmtako tęsinys ir išplėtimas, siekiant pašalinti trūkumus. NIS2 pagrindinis dėmesys skiriamas tinklų ir informacinių sistemų saugumo didinimui, įpareigojant ypatingos svarbos infrastruktūros ir pagrindinių paslaugų operatorius įgyvendinti saugumo priemones ir pranešti apie incidentus atitinkamoms institucijoms. Palyginti su NIS, NIS2 plečia savo taikymo sritį ir apima daugiau organizacijų ir sektorių visoje ES. Jame pabrėžiamas geresnis tiekimo grandinės saugumas, supaprastinti įsipareigojimai teikti ataskaitas ir griežtų priemonių ir sankcijų vykdymas visoje Europoje.

Kaip rengiatės NIS2 direktyvai?

Taikomos organizacijos turi imtis veiksmų, kad užtikrintų, kad būtų laikomasi reikalavimų. Tai apima:

  • Patikrinkite, ar jūsų organizacijai taikoma direktyva, ir nustatykite paveiktus padalinius.
  • Peržiūrėkite dabartines saugumo priemones, atnaujinkite saugos politiką ir NIS2 atitikties strategijas.
  • Integruoti naujas saugumo priemones ir užtikrinti, kad pranešimo apie incidentus įsipareigojimai būtų įtraukti į tiekimo grandinę.
  • Bendradarbiaukite su IT partneriu, kuris gali padėti pasiruošti NIS2 direktyvos laikymuisi priimant reikalingas saugumo priemones.

Nežinote, nuo ko pradėti laikytis NIS2 direktyvos? Norėdami gauti patarimų, užsisakykite konsultacijas su mūsų kibernetinio saugumo ekspertais.

Kokius organizacijų aspektus apima NIS2 direktyva?

Siekiant sustiprinti ES gebėjimą kovoti su esamomis ir būsimomis kibernetinėmis grėsmėmis, NIS2 direktyva nustato naujas taisykles organizacijoms keliose pagrindinėse srityse. Pagrindinės reikalavimų sritys yra:

  • Rizikos valdymas. Organizacijos turi imtis veiksmų, kad būtų laikomasi naujų taisyklių, sumažindamos kibernetinę riziką. Tai apima incidentų tvarkymą, tiekimo grandinės saugumo stiprinimą, tinklo saugumo gerinimą, geresnę prieigos kontrolę ir šifravimo naudojimą.
  • Įmonių atskaitomybė. Organizacijų vadovybė, spręsdama kibernetinę riziką, turi prižiūrėti, patvirtinti ir mokytis apie kibernetinio saugumo priemones. Jei yra pažeidimų, vadovams gali būti taikomos nuobaudos, įskaitant galimą atsakomybę ir laikiną draudimą eiti vadovaujančias pareigas.
  • Ataskaitų teikimo įsipareigojimai. Esminiai subjektai turi nustatyti procesus, kad būtų galima greitai pranešti apie saugumo incidentus, turinčius didelę įtaką paslaugoms ar gavėjams. NIS2 nustato konkrečius pranešimų pateikimo terminus.
  • Verslo tęstinumas. NIS2 reikalauja, kad subjektai planuotų, kaip išlaikyti reikalus didelių kibernetinių incidentų metu. Šis planas turėtų apimti atkūrimo sistemas, avarines procedūras ir reagavimo į krizes grupės sudarymą.

NIS2 direktyva Baltijos regione

NIS2 Lietuvoje

Lietuvoje už NIS2 direktyvos įgyvendinimo priežiūrą atsakingas Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos. Lietuvos subjektai, priskiriami esminiams ar svarbiems, turėtų lygiuotis su NCSC nustatytomis atitikties priemonėmis.

NIS2 Latvijoje

Latvijos gynybos ministerija (Aizsardzības ministrija) per savo kibernetinio saugumo padalinį užtikrina nacionalinę NIS2 direktyvos laikymąsi. Latvijos organizacijos, kurioms taikoma direktyva, privalo laikytis atnaujintų nacionalinių institucijų nustatytų rizikos valdymo ir pranešimų apie incidentus sistemų.

NIS2 Estijoje

Estijos nacionalinis kibernetinio saugumo centras (Riiklik Küberturvalisuse Keskus), kuris yra Informacinės sistemos institucijos (Riigi Infosystem Amet) dalis, tvarko NIS2 atitikties įgyvendinimą ir priežiūrą Estijos institucijose ir įmonėse. Ūkio subjektai turėtų užtikrinti, kad yra susipažinę su RIA saugumo gairėmis ir ataskaitų teikimo įsipareigojimais.

Kokiuose sektoriuose taikoma NIS2 direktyva?

2018 m. Interneto tinklų ir ryšių direktyvoje pažymėti septyni esminiai sektoriai, gyvybiškai svarbūs ES stabilumui užtikrinti. Vėliau, 2023 m., NIS2 direktyva išplėsta į dar aštuonis svarbius sektorius. Pažvelkime į paveiktus sektorius žemiau.

7 pradiniai pagrindinių subjektų sektoriai:

  • Energija. Dėl ypatingos svarbos infrastruktūros statuso energetikos sektorius yra labai pažeidžiamas kibernetinių atakų pagal NIS2 direktyvą. Siekiant apsaugoti tinklus ir informacines sistemas, keliami specialūs reikalavimai.
  • Sveikata. Šis sektorius, kurį sudaro viešieji ir privatūs sveikatos priežiūros paslaugų teikėjai, medicinos įrangos gamintojai ir draudimo paslaugos, vaidina esminį vaidmenį ES visuomenėje ir ekonomikoje.
  • Transportas. Transporto sektorius, apimantis miesto viešąjį transportą, kaimo kelius ir tarpregionines oro keliones, yra šiuolaikinės visuomenės pagrindas. NIS2 direktyva įpareigoja priemones, skirtas apsaugoti nuo galimų kibernetinių grėsmių.
  • Finansai. Finansų sektorius, įskaitant bankus, investicines įmones ir draudimo bendroves, yra labai svarbus ES ekonomikai. Specialiaisiais NIS2 direktyvoje numatytais reikalavimais siekiama didinti atsparumą kibernetiniam saugumui.
  • Vandens tiekimas. Šis sektoriaus sutrikimas gali turėti rimtų pasekmių, dėl kurių jis gali būti suskirstytas į kategorijas pagal NIS2 direktyvą. Siekiant užtikrinti nepertraukiamas paslaugas, akcentuojamos apsaugos priemonės.
  • Skaitmeninė infrastruktūra. Apimdamas telekomunikacijas, DNS, TLD, duomenų centrus, patikimumo užtikrinimo paslaugas ir debesų paslaugas, šis sektorius susiduria su didėjančiomis kibernetinėmis grėsmėmis. NIS2 direktyvoje sprendžiamas skaitmeninių technologijų, ypač duomenų centrų, pažeidžiamumas.
  • Viešasis administravimas. Viešojo administravimo sektorius yra labai svarbus ES visuomenei, teikiantis svarbiausias paslaugas, tokias kaip socialinės paslaugos ir visuomenės saugumas. NIS2 direktyvoje pabrėžiama sistemų apsauga nuo galimų kibernetinių grėsmių.

8 papildomi svarbių subjektų sektoriai:

  • Skaitmeniniai paslaugų teikėjai. Paieškos sistemos, internetinės rinkos ir socialiniai tinklai yra gyvybiškai svarbūs skaitmeniniame amžiuje. Šios platformos, suderintos su NIS2 direktyvos kibernetiniam saugumui, atlieka lemiamą vaidmenį užtikrinant saugią internetinę sąveiką.
  • Pašto paslaugos. Pašto sektorius susiduria su didėjančiomis kibernetinėmis grėsmėmis dėl padidėjusio pasitikėjimo skaitmeninėmis sistemomis. Apsauginiai veiksmai yra būtini siekiant užtikrinti Direktyvas atitinkantį atsparumą kibernetiniam saugumui.
  • Atliekų tvarkymas. Atliekų tvarkymo sektorius, kaip esminis subjektas pagal NIS2 direktyvą, susiduria su kibernetinėmis grėsmėmis, dėl kurių būtinos apsaugos priemonės ypatingos svarbos operacijoms ir su direktyvomis suderintas kibernetinis saugumas.
  • Erdvė. Šiame sektoriuje reikia apsaugoti nuo kibernetinių grėsmių, kad būtų apsaugoti slapti duomenys ir svarbios sistemos, suderintos su Direktyvos kibernetinio saugumo tikslais.
  • Maisto produktai. Maisto sektorius susiduria su didėjančiu pažeidžiamumu kibernetinėms grėsmėms skaitmenizuotoje aplinkoje. Direktyvoje pabrėžiama, kad reikia imtis apsaugos priemonių kibernetiniam saugumui užtikrinti.
  • Gamyba. Gamybos sektorius susiduria su didesne kibernetinio saugumo rizika. Direktyvoje suderintos apsaugos priemonės yra labai svarbios siekiant pašalinti galimas pasekmes ir didinti saugumą, atsižvelgiant į NIS2 direktyvą.
  • Cheminės medžiagos. Šis sektorius turi įgyvendinti apsaugos priemones kibernetinėms grėsmėms sušvelninti, pabrėžiant direktyvos įsipareigojimą siekti konkrečiam sektoriui skirto kibernetinio saugumo.
  • Tyrimai. NIS2 direktyvoje pabrėžiamos apsaugos priemonės, kuriomis siekiama apsaugoti vertingus duomenis ir svarbias sistemas mokslinių tyrimų sektoriuje, taip prisidedant prie Direktyvos suderintos saugumo praktikos.

O kaip su ES nepriklausančiais subjektais?

Pagal 26 straipsnį (Jurisdikcija ir teritorialumas), jei ne ES subjektas teikia paslaugas ES viduje, bet nėra įsikūręs ES, jis turi paskirti atstovą ES viduje. Šis atstovas turėtų būti vienoje iš valstybių narių, kuriose siūlomos paslaugos.

Subjektui priklausys valstybės narės, kurioje yra įsisteigęs atstovas, jurisdikcija. Jei nėra atstovo, bet kuri valstybė narė, kurioje subjektas siūlo paslaugas, gali imtis teisinių veiksmų prieš jį dėl NIS2 direktyvos pažeidimo.

Kas yra bendro tarp NIS2 direktyvos ir DORA?

NIS2 direktyvos ir skaitmeninio operacinio atsparumo akto (DORA) ryšys yra jų kolektyvinės pastangos didinti kibernetinį saugumą Europos Sąjungoje, nors ir su skirtingais informacijos centrais. NIS2 siekiama standartizuoti kibernetinį saugumą visuose sektoriuose, svarbiuose visuomenės veikimui, pabrėžiant tiekimo grandinės saugumą. Kita vertus, DORA konkrečiai skirta finansų sektoriui, daugiausia dėmesio skirdama skaitmeninių sistemų veiklos atsparumo didinimui. Nors NIS2 direktyvoje nustatomos iš anksto nustatytos finansinės sankcijos už reikalavimų nesilaikymą, DORA sankcijų vertinimą perduoda valstybėms narėms.

Be to, atitikties reikalavimai skiriasi. NIS2 įpareigoja saugumo auditą atlikti kas dvejus metus, o DORA kelia griežtesnius reikalavimus, įskaitant grėsme pagrįstą testą kas trejus metus ir metinę atsparumo testavimo programą. Nepaisant unikalių tikslų, abi direktyvos padeda užtikrinti saugesnes skaitmenines sistemas ES.

Atitiktis NIS2 direktyvai: pagrindiniai etapai ir nuolatiniai reikalavimai

NIS2 direktyva nustatyti keli svarbiausi atitikties etapai. Norint išlaikyti atitiktį, būtina suprasti šiuos terminus ir reikalavimus:

Pagrindiniai NIS2 direktyvos etapai:

  • 2024 m. Spalio 17 d. Valstybės narės priėmė ir paskelbė NIS2 direktyvos atitikties priemones. Komisija priėmė įgyvendinimo aktus, kuriuose nurodyti techniniai reikalavimai įvairiems paslaugų teikėjams.
  • 2024 m. Spalio 18 d. Pradėtas taikyti priimtas priemones. Įsigaliojo Direktyvos (ES) 2016/1148 (toliau — NIS direktyva) panaikinimas.

Nuolatiniai reikalavimai:

“EU-Cyclone” kas 18 mėnesių Europos Parlamentui ir Tarybai teikia savo darbą įvertinančias ataskaitas.

Kompetentingos institucijos kas dvejus metus praneša Komisijai ir Bendradarbiavimo grupei apie kiekvieno sektoriaus svarbius ir svarbius subjektus.

Komisija kas 36 mėnesius peržiūri direktyvos veikimą ir teikia ataskaitas Europos Parlamentui ir Tarybai.

NIS2 2025 metais ir vėliau: kas toliau Baltijos šalyse?

NIS2 direktyva šiuo metu įsigalioja visiškai, o atitikties reikalavimai aktyviai vykdomi. Organizacijos visoje Lietuvoje, Latvijoje ir Estijoje turėjo nustatyti, ar jos patenka į “esmines” ar “svarbias” kategorijas, ir įgyvendinti reikalingas kibernetinio saugumo priemones. Nacionalinės valdžios institucijos pateikė savo reguliuojamų subjektų sąrašus ir aktyviai audituoja, stebi ir vykdo reikalavimų laikymąsi.

Organizacijoms, siekiančioms užtikrinti visišką reikalavimų laikymąsi, pranešimo apie incidentus procedūrų nustatymas, tiekimo grandinės užtikrinimas ir aukščiausio lygio vadovybės mokymas ir atskaitomybės užtikrinimas išlieka svarbiausiais prioritetais. Reguliariai atnaujinami nacionaliniai kibernetinio saugumo centrai ir ES bendradarbiavimo grupė toliau nurodo, kaip keičiasi vykdymo užtikrinimas ir konkretiems sektoriams būdingi įsipareigojimai.

Turite papildomų klausimų apie NIS2 direktyvą? Nedvejodami susisiekite su mūsų IT konsultantais šiandien.

Kokios yra sankcijos už NIS2 nesilaikymą?

NIS2 direktyvoje nustatytos aiškios sankcijos esminiams ir svarbiems subjektams, kurie nesilaiko. Baudos gali būti skiriamos už tokius dalykus kaip saugumo reikalavimų nesilaikymas ar nepranešimas apie incidentus. Šios nuobaudos apima:

  • Nepiniginės teisės gynimo priemonės
  • Administracinės baudos
  • Baudžiamosios sankcijos

Baudos skiriasi priklausomai nuo valstybės narės. Vis dėlto NIS2 direktyvoje nustatytas minimalus administracinių sankcijų už kibernetinio saugumo rizikos valdymo ir ataskaitų teikimo įsipareigojimų pažeidimą sąrašas.

Nepiniginės baudos

Nacionalinės priežiūros institucijos gali vykdyti nepinigines priemones. Tai apima atitikties nurodymų išdavimą, privalomų nurodymų teikimą, nurodymą atlikti saugumo auditą ir pranešimų apie grėsmes išdavimą subjektų klientams.

Administracinės baudos

Esminiams subjektams, apimantiems viešąsias ir privačias įmones tokiuose sektoriuose kaip transportas, finansai, energetika, vanduo, kosmosas, sveikata, viešasis administravimas ir skaitmeninė infrastruktūra, valdžios institucijos gali skirti ne mažesnę kaip 10 000 000 EUR administracinę baudą arba 2% pasaulinių metinių pajamų, atsižvelgiant į tai, kuri suma yra didesnė.

Svarbiems subjektams, kurie apima viešąsias ir privačias įmones tokiuose sektoriuose kaip maisto produktai, skaitmeniniai paslaugų teikėjai, cheminės medžiagos, pašto paslaugos, atliekų tvarkymas, moksliniai tyrimai ir gamyba, valdžios institucijos gali skirti maksimalią baudą ne mažesnę kaip 7 000 000 eurų arba 1,4% pasaulinių metinių pajamų, atsižvelgiant į tai, kuri suma yra didesnė.

Baudžiamosios sankcijos

Siekiant palengvinti IT departamentams tenkančią naštą ir iš naujo apibrėžti atsakomybės už kibernetinį saugumą aplinką, NIS2 direktyvoje pateikiamos priemonės (baudžiamosios sankcijos), dėl kurių aukščiausioji vadovybė tiesiogiai atsako už didelius saugumo trūkumus.

Visų pirma, jei įrodytas aplaidumas įvyksta po kibernetinio incidento, NIS2 suteikia valstybių narių institucijoms įgaliojimus laikyti organizacijos vadovus asmeniškai atsakingais. Tai apima reikalavimų laikymosi pažeidimų viešinimą, pareiškimų, kuriuose nurodomi atsakingi asmenys ir pažeidimo pobūdis, išdavimą ir, esminiams subjektams, galimai laikiną draudimą asmeniui, atliekančiam valdymo vaidmenį, nustatymą dėl pakartotinių pažeidimų. Šios priemonės užtikrina, kad C lygio vadovybė susiduria su atsakomybe ir atgraso nuo aplaidumo valdant kibernetinę riziką.

Nors organizacijos sprendžia NIS2 direktyvos laikymąsi, taikant veiksmingas gaires procesas gali palengvinti. Leiskite mums susitvarkyti su jūsų atitiktimi, kad galėtumėte sutelkti dėmesį į savo verslą.

Rezervuokite savo konsultaciją šiandien, o likusia dalimi pasirūpinsime mes.

DUK

Is appointing a representative mandatory for non-EU companies operating in the Baltics?

Yes. According to NIS2, non-EU entities offering services within the EU must appoint a representative in a member state where the services are offered. This applies to all three Baltic countries.

Do small and medium-sized enterprises (SMEs) fall under NIS2?

In most cases, SMEs are exempt unless they provide services in critical sectors (like health, digital infrastructure, or finance) or are deemed vital due to their impact on public safety or the economy.

How can organisations in the Baltics check if they are classified as essential or important under NIS2?

Each national authority publishes a list of entities based on the Directive. Organisations can consult their local authority or seek guidance from IT compliance consultants.

Related Guides

What is the Digital Operational Resilience Act (DORA)?
Jūsų galutinis Europos prieinamumo akto atitikties 2025 m. Vadovas