Kibernetinio saugumo įstatymas (KSI) — reikalavimai, baudos ir atitiktis
KSI (nauja redakcija nuo 2024-10-18) įgyvendina NIS2 direktyvą Lietuvoje. Puslapyje — kam taikoma, kokie terminai, kokios baudos ir kaip KSG padeda įvykdyti reikalavimus.
Ar jums taikomas KSI?
KSI taikomas organizacijoms, kurios priklauso esminiams arba svarbiesiems subjektams (KSI 11 str.). Valstybinis sektorius — beveik visada esminis subjektas.
| Kriterijus (KSI 11 str.) | Šaltinis |
|---|---|
| Centrinis / regioninis / savivaldybių administravimo subjektas | KSI 11 str. 3 d. 5 p. |
| Valdo ypatingos svarbos arba svarbius valstybės informacinius išteklius | KSI 11 str. 3 d. 6 p. |
| Paskelbtas ypatingos svarbos subjektu (Krizių valdymo įstatymas) | KSI 11 str. 3 d. 4 p. |
| Laikomas nacionaliniam saugumui svarbia įmone | KSI 11 str. 3 d. 7 p. |
Ko reikalauja KSI — terminai ir reikalavimai
Terminai nuo KSIS registracijos
| Terminas | Ką reikia įgyvendinti | Str. |
|---|---|---|
| 12 mėn. | Organizaciniai reikalavimai: KS vadovas, politikos, procedūros, mokymai | 14 str. 2 d. |
| 24 mėn. | Techniniai reikalavimai: SIEM, logų rinkimas, IDS/IPS | 14 str. 2 d. |
| Kas 2 metus | KS mokymai vadovams ir valdymo organų nariams | 14 str. 7 d. |
| Kas 3 metus | Nepriklausomas kibernetinio saugumo auditas | 14 str. 8 d. |
12 privalomų KSI rizikos valdymo priemonių (KSI 14 str. 5 d.)
Rizikos analizė ir KS politika
14 str. 5 d. 1 p.
KS vadovas ir saugos įgaliotinis
KSI 15 str.
Incidentų valdymo planas ir procedūros
14 str. 5 d. 3 p.
Veiklos tęstinumo planas (BCP) su RTO/RPO
14 str. 5 d. 4 p.
Tiekimo grandinės saugumo tvarka
14 str. 5 d. 5 p.
Spragų valdymo politika
14 str. 5 d. 6 p.
Kibernetinės higienos taisyklės ir mokymai
14 str. 5 d. 8 p.
Kriptografijos ir šifravimo politika
14 str. 5 d. 9 p.
Prieigos kontrolės politika
14 str. 5 d. 10 p.
IT turto valdymo tvarka ir registras
14 str. 5 d. 10 p.
Logų rinkimas, saugojimas ir analizė (SIEM)
NKSC req. 6, 11
MFA administratoriams ir kritinėms sistemoms
14 str. 5 d. 11 p.
Baudos ir teisinė atsakomybė (KSI 30 str.)
Baudų skalė pagal subjekto tipą (KSI 30 str. 2 d.)
| Subjekto tipas | Maksimali bauda | Pagrindas |
|---|---|---|
| Esminis subjektas (privatus) | iki 10 000 000 € arba 2 % apyvartos | 30 str. 2 d. 1 p. |
| Svarbus subjektas (privatus) | iki 7 000 000 € arba 1,4 % apyvartos | 30 str. 2 d. 2 p. |
| Biudžetinė įstaiga — esminis subjektas | iki 1 % biudžeto, bet ne daugiau 60 000 € | 30 str. 2 d. 3 p. |
| Biudžetinė įstaiga — svarbus subjektas | iki 0,5 % biudžeto, bet ne daugiau 30 000 € | 30 str. 2 d. 4 p. |
Baudos dydis pagal pažeidimo pavojingumą (KSI 30 str. 3 d.)
maksimalios baudos. Sistemiškas nevykdymas, tyčinis neveikimas, didelis incidentas be pranešimo.
maksimalios baudos. Pvz., neatliktas auditas, nėra KS vadovo, reikšmingas trūkumas.
maksimalios baudos. Formalus pažeidimas, nedidelio poveikio neatitiktis.
💡 Praktiniai baudų pavyzdžiai
- Vidutinio pavojingumo (nebuvo audito) → iki 20 000 €
- Pavojingas pažeidimas → iki 40 000 €
- Vidutinio pavojingumo → iki 70 000 €
- Pavojingas pažeidimas → iki 140 000 €
Kokios priemonės padeda atitikti reikalavimus?
Praktikoje atitiktis remiasi į tris sluoksnius: (1) valdymas ir atsakomybės, (2) techninės priemonės, (3) nuolatinė stebėsena ir incidentų valdymas.
| Reikalavimų sritis | Ką organizuoti | Tipinė paslauga |
|---|---|---|
| Governance (atsakomybės) | KS vadovas, politikos, rizikų registras, planai | vCISO / CISO |
| Techninės priemonės | MFA, ugniasienė, EDR, atsarginės kopijos, VPN | IT sauga |
| Stebėsena ir incidentai | SIEM/SOC, logų analizė, incidentų valdymas | SOC 24/7 |
| Dokumentacija | 13 privalomų dokumentų pagal KSI 14 str. | KSI dokumentacija |
| Nepriklausomas auditas | Kas 3 metus pagal NKSC metodiką | KSI auditas |
| Mokymai | Vadovai kas 2 m.; darbuotojai nuolat | KS mokymai |
NIS2 / TIS2 / KSI — ryšys ir skirtumai
ES kibernetinio saugumo direktyva. Nustato minimalius reikalavimus valstybėms narėms. Tiesiogiai netaikoma įmonėms — taikoma per nacionalinius įstatymus.
Lietuvos kibernetinio saugumo įstatymas — NIS2 įgyvendinimas nacionaliniu lygmeniu. Nuo 2024-10-18 nauja redakcija. Kontroliuoja NKSC.
Savanoriškas tarptautinis standartas. Palengvina KSI atitiktį, bet jos nepakeičia. KSI auditas atskirai privalomas (kas 3 metus).
Dažnai užduodami klausimai
Ar galima atidėti registraciją KSIS?
Techniškai — taip. Praktiškai — ne. NKSC aktyviai identifikuoja subjektus pagal sektoriaus kriterijus. Baudos prasideda nuo neatitikties momento, ne nuo NKSC radimo.
Ar ISO27001 sertifikatas pakeičia KSI auditą?
Ne. ISO27001 palengvina pasiruošimą, bet KS audito pagal NKSC metodiką nepakeičia. Tai du atskiri procesai, du atskiri dokumentai.
Kam taikoma kaip esminiams subjektams?
Esminiai subjektai: energetika, transportas, sveikata, skaitmeninė infrastruktūra, finansai, valstybinis sektorius. Svarbūs subjektai — platesnis spektras MVĮ ir paslaugų teikėjų.
Susijusios paslaugos
Ar jums taikomas KSI? Pasitikrinkite nemokama konsultacija.
Per 30 min. įvertinsime: ar esate KSI subjektas, kokie terminai, kaip efektyviausiai pradėti.
Susisiekti