NKSC pranešimas - kurį iš trijų gavote jūs?
- 06-22
- 3 min. skaitymo
Atnaujinta: 06-23
Gavus laišką iš Nacionalinio kibernetinio saugumo centro (NKSC), pirmasis kylantis klausimas - ar reikia nerimauti? Atsakymas priklauso nuo to, kurį iš trijų pagrindinių pranešimų tipų gavote. Jie labai skirtingi – nuo „esate įtraukti į subjektų sąrašą" iki „skubiai taisykite įmonės kibernetinio saugumo spragą".
Santrauka
Įtraukimas į subjektų registrą - jūsų įmonė tapo kibernetinio saugumo subjektu ir turi atitikti Kibernetinio saugumo įstatymo reikalavimus. Kaip reaguoti? Paskirti kibernetinio saugumo vadovą, įvertinti kibernetinio saugumo rizikas, pasiruošti tvarkas, jas pasitvirtinti.
Pranešimas apie aptiktą grėsmę – NKSC pastebėjo konkrečią saugumo spragą ar užkrėtimą jūsų įmonės sistemose. Kaip reaguoti? Pranešti savo kibernetinio saugumo vadovui bei nedelsiant, kartu su IT skyriumi, užtaisyti spragą. Tai skubus, o ne palaukti galintis darbas.
Pranešimas apie patikrinimą – NKSC tikrina, ar laikotės kibernetinio saugumo reikalavimų, ir prašo tai įrodančių dokumentų. Kaip reaguoti? Pateikti prašomus dokumentus per nurodytą terminą (įprastai 5 darbo dienas), bendradarbiauti, jei NKSC kyla papildomų klausimų.
1. NKSC pranešimas apie įtraukimą į subjektų registrą
Tai informacija, kad jūsų įmonė pagal veiklos sektorių ar dydį ir pajamas įtraukta į Kibernetinio saugumo subjektų registrą ir nuo šiol privalo atitikti Kibernetinio saugumo įstatymo reikalavimus. 2025 m. balandį sudarytame registre buvo apie 1443 organizacijas, tačiau šis registras yra nuolat pildomas.

Pranešimas taip pat nurodo, ar esate esminis, ar svarbus subjektas – nuo to priklauso priežiūros griežtumas. Gavę jį, nepanikuokite, bet ir neatidėkite: numatyti pereinamieji terminai baigiasi greičiau, nei atrodo. Saugumo operacijų centro patirtis rodo, kad atitikčiai pasiekti pakanka 2 mėnesių.
Atsakomybė pagal įstatymą tenka įmonės vadovui, o ne IT skyriui.
Ką daryti: paskirti už kibernetinį saugumą atsakingą asmenį (kibernetinio saugumo vadovą), prisijungti prie NKSC valdomos Kibernetinio saugumo informacinės sistemos, atlikti rizikų vertinimą, parengti rizikų valdymo planus, parengti priemonių sąrašą ir įgyvendinti kitas pagrindines organizacines priemones, numatytas Kibernetinio saugumo įstatyme.
2. NKSC pranešimas apie aptiktą grėsmę ar pažeidžiamumą
Tai dažniausias ir operatyviausias pranešimo tipas. NKSC nuolat stebi Lietuvos kibernetinę erdvę ir, pastebėjęs konkrečią problemą jūsų sistemose – atvirą pažeidžiamą paslaugą, užkrėtimą kenkėjiška programa ar nutekėjusius duomenis – apie tai praneša, kad spėtumėte sureaguoti.
Svarbu suprasti: šis pranešimas nėra bauda ar kaltinimas, o įspėjimas. NKSC veikia kaip kaimynas, pamatęs, kad jūsų durys atviros. Kita vertus, pranešimo ignoruoti neverta - kuo ilgiau spraga lieka neužtaisyta, tuo didesnė rizika, kad ja pasinaudos piktavaliai.
Ką daryti: nedelsiant perduoti informaciją IT komandai ar paslaugų teikėjui, užtaisyti aptiktą saugumo spragą ir įsitikinti, kad ja dar nebuvo pasinaudota. Jei pranešime nurodyta, patvirtinkite NKSC, kad problema išspręsta. Tai darbas valandoms ar dienoms, ne savaitėms.
3. NKSC pranešimas apie vykdomą patikrinimą
Tai planinė atitikties patikra – panaši į Valstybinės mokesčių inspekcijos ar darbo inspekcijos patikrinimą. NKSC tikrina, ar realiai laikotės Kibernetinio saugumo įstatymo reikalavimų, ir prašo pateikti tai įrodančius dokumentus: rizikos vertinimo ataskaitą ir valdymo planą, atitikties vertinimo ataskaitą, neatitikčių šalinimo planą bei atliktų auditų ataskaitas.
Svarbiausias skaičius: paprašius dokumentų, juos į sistemą KSIS dažniausiai reikia įkelti per 5 darbo dienas. To laiko užtenka surinkti tai, kas jau yra, bet ne sukurti nuo nulio – todėl pasirengimas turi būti baigtas iš anksto.

Patikrinimas, radęs spragų, dar nėra bauda. Poveikio priemonės sudėliotos palaipsniui – nuo įspėjimų ir nurodymų iki baudų, o griežčiausios taikomos tik už piktybinį ir pakartotinį nevykdymą. Svarbu paminėti, jog baudos siekia iki 7 mln. € svarbiems ir 10 mln. € esminiams subjektams. Kadangi atsakomybė tenka direktoriui, esminių subjektų atveju galimas netgi laikinas nušalinimas nuo pareigų.
Ką daryti: tiksliai išsiaiškinti, ko prašoma ir iki kada, įkelti dokumentus į KSIS laiku ir tai daryti sąžiningai: parodyti esamą spragą su jos šalinimo planu yra geriau nei pateikti gražią, bet netikrą ataskaitą.
Pasiruošimas – iš anksto, ne paskutinę dieną
Visi trys pranešimai lengviausiai sprendžiami tada, kai įmonė turi paskirtą atsakingą asmenį, paruoštus dokumentus, tvarkas ir aiškų veiksmų planą. Daugumai įmonių tai išlaikyti be atskiro etato padeda išorinis kibernetinio saugumo vadovas – kad bet koks NKSC pranešimas rastų jas jau pasiruošusias.


