Pagrindinis
/
Gidai
/
TIS2 Lietuvoje: ką turi žinoti kiekviena organizacija?
Teksto nuoroda
May 27, 2026
Arūnas Vrubliauskas

TIS2 Lietuvoje: ką turi žinoti kiekviena organizacija?

2024 m. Europos organizacija skyrė daugiau dėmesio kibernetiniam saugumui, nes TIS2 (angl. Network and Information Security Directive (NIS2)) direktyva tapo teisiniu reikalavimu. Kadangi jos taikymas jau įsigaliojęs, organizacijoms svarbu įsivertinti, ar jos patenka į direktyvos taikymo sritį, ir užtikrinti atitiktį nacionaliniams reikalavimams. Šis vadovas padės geriau suprasti direktyvos turinį ir pasiruošimo principus.

Šiame straipsnyje apžvelgsime pagrindinius TIS2 direktyvos aspektus: jos svarbą, atitikties reikalavimus, paveiktus sektorius, subjektus bei veiksmus, kuriuos turėtų atlikti kiekviena organizacija.

Kas yra TIS2 direktyva?

TIS2 (angl. NIS2) yra Europos Sąjungos teisės aktų sistema, skirta sustiprinti kibernetinio saugumo priemones visose ES priklausančiose valstybėse. Ji tapo teisės aktu 2023 m. sausio 16 d. Visos ES narės turėjo perkelti ją į savo nacionalinę teisę iki 2024 m. spalio 17 d.

Kodėl buvo priimta TIS2 direktyva?

Pirmoji TIS (angl. NIS) direktyva buvo priimta 2016 m., siekiant nustatyti vienodą kibernetinio saugumo pasirengimo lygį visose ES šalyse. Tačiau paaiškėjo, kad jos aprėptis ir veiksmingumas buvo riboti. Todėl 2020 m. buvo pasiūlyta TIS2 (angl. NIS2), kuri tapo teisės aktu 2023 m. ir smarkiai išplėtė pirmtakės reikalavimus.

TIS2 siekia padidinti tinklų ir informacinių sistemų saugumą, įpareigodama svarbių paslaugų ir kritinės infrastruktūros operatorius įgyvendinti saugumo priemones ir pranešti apie incidentus. Palyginti su pirmtaku, TIS2:

  • Apima daugiau sektorių ir organizacijų visoje ES;
  • Labiau pabrėžia tiekimo grandinės saugumą;
  • Nustato supaprastintas pranešimų teikimo pareigas;
  • Numato griežčiau taikomas sankcijas.

Kaip pasiruošti TIS2 direktyvos įsigaliojimui?

Artėjant direktyvos įgyvendinimo terminui, organizacijos turėtų atlikti šiuos veiksmus:

  • Patikrinti, ar jų veikla patenka į TIS2 taikymo sritį;
  • Peržiūrėti ir atnaujinti saugumo politiką ir strategijas;
  • Įgyvendinti naujas saugumo priemones, ypač tiekimo grandinėje, bei nustatyti incidentų pranešimo tvarkas;
  • Bendradarbiauti su IT partneriais, kurie gali padėti tinkamai pasiruošti TIS2 atitikčiai.

Nežinote, nuo ko pradėti? Kreipkitės į mūsų kibernetinio saugumo konsultantus.

Ką apima TIS2 direktyva?

Siekdama sustiprinti ES gebėjimą spręsti esamas ir būsimas kibernetines grėsmes, TIS 2 direktyva įveda naujas taisykles organizacijoms keliuose svarbiuose srityse. Pagrindinės reikalavimų sritys apima:

Rizikos valdymas

Incidentų valdymas, tiekimo grandinės saugumas, tinklų apsauga, prieigos kontrolė ir šifravimas.

Vadovybės atsakomybė  

Vadovai turi tvirtinti ir prižiūrėti kibernetinio saugumo priemones, taip pat dalyvauti mokymuose.

Pranešimų teikimas  

Būtini subjektai turi būti įsivardinę procedūras, leidžiančias greitai pranešti apie reikšmingus incidentus.

Veiklos tęstinumas  

Įmonė turi turėti planus, kaip veikti kibernetinės krizės atveju (atkūrimo sistemos, krizių valdymas ir kt.).

TIS2 direktyva Lietuvoje

Lietuvoje direktyvą įgyvendina Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos. Organizacijos, priskirtos „esminių“ ar „svarbių“ subjektų kategorijoms, turi laikytis šio centro nustatytų atitikties reikalavimų.

Kokiems sektoriams taikoma TIS2 direktyva?

NIS direktyva iš pradžių apėmė 7 pagrindinius sektorius, kurie yra itin svarbūs ES stabilumui. TIS2 direktyva, įsigaliojusi 2023 m., išplėtė taikymo sritį ir papildė ją dar 8 sektoriais.

7 „esminės“ kategorijos sektoriai:

  • Energetika – šiam sektoriui priskiriamos organizacijos valdo kritinę infrastruktūrą ir yra ypač pažeidžiamos kibernetinėms grėsmėms, todėl joms taikomi specialūs saugumo reikalavimai;
  • Sveikatos apsauga – tai viešosios ir privačios sveikatos priežiūros įstaigos, medicinos įrangos gamintojai bei sveikatos draudimo paslaugų teikėjai;
  • Transportas – viešasis transportas miestuose, tarpmiestiniai keliai, oro uostai ir oro linijos;
  • Finansai – bankai, investicinės bendrovės ir draudimo įmonės, kurios yra itin svarbios ES ekonomikai;
  • Vandens tiekimas – šio sektoriaus sutrikimai gali turėti rimtų pasekmių visuomenei, todėl jam taikomi specialūs saugumo standartai;
  • Skaitmeninė infrastruktūra – telekomunikacijų paslaugos, domenų vardų sistemos (DNS), aukščiausio lygio domenai (TLD), duomenų centrai, pasitikėjimo paslaugos ir debesijos paslaugos;
  • Viešasis administravimas – valstybės institucijos, teikiančios svarbias viešąsias paslaugas, įskaitant socialines ir saugumo paslaugas.

8 papildomi „svarbios“ kategorijos sektoriai:

  • Skaitmeniniai paslaugų teikėjai – paieškos sistemos, internetinės prekyvietės ir socialiniai tinklai, kurie yra svarbūs saugiam veikimui internete;
  • Pašto paslaugos – dėl didėjančio skaitmenizavimo šis sektorius tampa vis pažeidžiamesnis kibernetinėms grėsmėms;
  • Atliekų tvarkymas – būtina apsaugoti šio sektoriaus veiklą nuo kibernetinių incidentų, nes jis užtikrina kritines funkcijas;
  • Kosmoso sektorius – saugumas reikalingas tam, kad būtų apsaugoti jautrūs duomenys ir infrastruktūra;
  • Maisto sektorius – skaitmenizuojant tiekimo grandines, šis sektorius tampa vis labiau pažeidžiamas, todėl svarbu taikyti apsaugos priemones;
  • Gamyba – gamybos įmonėms taikomi specifiniai saugumo reikalavimai dėl padidėjusių rizikų;
  • Chemijos pramonė – būtina įgyvendinti apsaugos priemones nuo kibernetinių grėsmių dėl sektoriaus svarbos ir galimo poveikio;
  • Moksliniai tyrimai – saugumo priemonės padeda apsaugoti vertingus tyrimų duomenis bei infrastruktūrą.

Ne ES įsikūrusios organizacijos

Pagal 26 straipsnį (Jurisdikcija ir teritorinis taikymas), jei įmonė, įsikūrusi už ES ribų, teikia paslaugas Europos Sąjungoje, tačiau neturi fizinio buvimo nei vienoje iš ES valstybių narių, ji privalo paskirti atstovą bent vienoje ES priklausančioje valstybėje, kurioje teikiamos paslaugos.

Tokiu atveju, organizacija patenka į tos valstybės narės jurisdikciją, kurioje įsikūręs paskirtasis atstovas. Jei atstovas nepaskirtas, bet kuri valstybė, kurioje paslaugos yra teikiamos, gali taikyti teisines priemones dėl TIS2 pažeidimo.

Ką bendro turi TIS2 ir DORA reguliacijos?

TIS2 direktyvą ir Skaitmeninio atsparumo aktą (DORA) sieja bendras tikslas – sustiprinti ES skaitmeninį saugumą. Tačiau jų taikymo sritys skiriasi:

  • TIS2 siekia suvienodinti kibernetinio saugumo reikalavimus visiems visuomenei svarbiems sektoriams, pabrėždama tiekimo grandinės apsaugą;
  • DORA taikoma tik finansų sektoriui ir orientuota į skaitmeninių sistemų veiklos tęstinumo stiprinimą.

Skiriasi ir atitikties reikalavimai:

  • TIS2 reikalauja saugumo audito kas 2 metus;
  • DORA taikomi griežtesni reikalavimai: grėsmių pagrindu grįsti testai kas 3 metus ir kasmetinės atsparumo testavimo programos.

Abi direktyvos siekia užtikrinti ES skaitmeninės aplinkos saugumą.

TIS2 įgyvendinimo terminai

Direktyva numato keletą svarbių datų ir etapų:

  • 2024 m. spalio 17 d. – valstybės narės turi priimti ir paskelbti teisės aktus dėl TIS2 įgyvendinimo; Europos Komisija priima įgyvendinimo teisės aktus su techniniais reikalavimais;
  • 2024 m. spalio 18 d. – prasideda direktyvos taikymas; senoji NIS direktyva (2016/1148) nustoja galioti;
  • 2024 m. liepos 17 d. ir kas 18 mėn. – EU-CyCLONe teikia ataskaitas Europos Parlamentui ir Tarybai;
  • 2025 m. sausio 17 d. – Bendradarbiavimo grupė nustato tarpusavio vertinimo metodiką;
  • 2025 m. balandžio 17 d. – valstybės pateikia „esminių“ ar „svarbių“ subjektų sąrašus (įskaitant domenų registratorius);
  • 2025 m. balandžio 17 d. ir kas 2 metus – nacionalinės institucijos informuoja Europos Komisiją ir Bendradarbiavimo grupę apie įtrauktus subjektus;
  • 2027 m. spalio 17 d. ir kas 3 metus – Komisija vertina direktyvos veikimą ir teikia ataskaitas Parlamentui ir Tarybai.

Tęstiniai TIS2 reikalavimai

TIS2 atitiktis nėra vienkartinis veiksmas. Direktyva numato tęstinius vertinimo, informavimo ir priežiūros procesus. EU-CyCLONe kas 18 mėnesių teikia savo veiklos vertinimo ataskaitas Europos Parlamentui ir Tarybai.  

Nacionalinės institucijos kas dvejus metus informuoja Europos Komisiją ir Bendradarbiavimo grupę apie esminius ir svarbius subjektus, o Europos Komisija kas 36 mėnesius vertina direktyvos veikimą ir teikia ataskaitas Europos Parlamentui bei Tarybai.

Kas pasikeitė su TIS2 2025 metais?

Nuo 2025 m. TIS2 direktyva jau galioja pilnai. Lietuvos organizacijos turėjo:

  • Nustatyti, ar patenka į „esminių“ ar „svarbių“ subjektų kategorijas;
  • Įgyvendinti būtinus kibernetinio saugumo veiksmus;
  • Užtikrinti vadovybės informuotumą ir atsakomybę;
  • Pasirengti incidentų valdymui ir tiekimo grandinės apsaugai.

Nacionalinės institucijos jau pradėjo priežiūrą ir auditą. Pavėlavusioms organizacijoms 2025 m. yra paskutinė proga atsigriebti.

Kokios bausmės už TIS2 nesilaikymą?

Direktyvoje numatyti trijų lygių sankcijų mechanizmai:

Nepiniginės sankcijos

Įsigaliojus TIS 2 direktyvai, nacionalinės priežiūros institucijos gali taikyti nepinigines priemones. Tai apima:

  • Įpareigojimų laikytis reikalavimų pateikimą;
  • Privalomų nurodymų teikimą;
  • Nurodymus atlikti saugumo auditą;
  • Grėsmių pranešimų siuntimą organizacijų klientams.

Administracinės baudos

„Esminėms“ organizacijoms – tai viešojo ir privataus sektoriaus įmonėms, veikiančioms tokiuose sektoriuose kaip transportas, finansai, energetika, vandens tiekimas, kosmosas, sveikata, viešasis administravimas ir skaitmeninė infrastruktūra – priežiūros institucijos gali skirti ne mažesnę kaip 10 000 000 € arba 2 % visų metinių pasaulinių pajamų dydžio baudą (atsižvelgiant į tai, kuri suma didesnė).

„Svarbioms“ organizacijoms – tai įmonėms, veikiančioms maisto, skaitmeninių paslaugų, chemijos, pašto, atliekų tvarkymo, mokslinių tyrimų bei gamybos srityse – gali būti skiriama ne mažesnė kaip 7 000 000 € arba 1,4 % visų metinių pasaulinių pajamų bauda (atsižvelgiant į tai, kuri suma didesnė).

Baudžiamoji atsakomybė

Siekdama sumažinti IT padalinių naštą ir aiškiau apibrėžti atsakomybę už kibernetinį saugumą, NIS 2 direktyva numato baudžiamąsias sankcijas, kurios daro aukščiausiąją vadovybę tiesiogiai atsakingą už rimtus saugumo pažeidimus.

Ypač tais atvejais, kai po kibernetinio incidento įrodoma vadovybės aplaidumo kaltė, direktyva suteikia valstybėms narėms teisę asmeniškai patraukti organizacijos vadovus atsakomybėn. Tai gali apimti:

  • Pažeidimų paviešinimą;
  • Oficialių pareiškimų dėl atsakingų asmenų ir pažeidimų pobūdžio skelbimą;
  • „Esminėms“ organizacijoms – netgi laikino vadovavimo pareigų uždraudimo galimybę už pasikartojančius pažeidimus.

Šios priemonės užtikrina, kad aukščiausio lygio vadovai būtų atsakingi už organizacijos kibernetinį saugumą ir padeda užkirsti kelią aplaidumui.

TIS2 atitiktis gali atrodyti sudėtinga, tačiau aiškus veiksmų planas padeda greičiau suprasti rizikas, atsakomybes ir prioritetus. Baltic Amadeus kibernetinio saugumo ir IT konsultacijų ekspertai gali padėti įsivertinti pasirengimą, susidėlioti atitikties veiksmus ir pasiruošti priežiūrai.

Rezervuokite konsultaciją ir aptarkime, nuo ko verta pradėti jūsų organizacijai.

DUK

Ar būtina paskirti atstovą Lietuvoje (ne ES įmonėms)?

Taip.

Is appointing a representative mandatory for non-EU companies operating in the Baltics?

Yes. According to NIS2, non-EU entities offering services within the EU must appoint a representative in a member state where the services are offered. This applies to all three Baltic countries.

Ar mažos įmonės įtrauktos?

Paprastai ne, išskyrus atvejus, kai jos strategiškai svarbios.

Related Guides

Jūsų galutinis Europos prieinamumo akto atitikties 2025 m. Vadovas
What is the Digital Operational Resilience Act (DORA)?