AETHER
Gauti auditą

KSRA auditas 2026: kaina, trukmė ir ko realiai tikėtis

Paskutinį kartą atnaujinta: 2026 m. balandžio 23 d.

Kai įmonės vadovas pirmą kartą pradeda rinkti informaciją apie KSRA atitiktį, pirmi du klausimai beveik visada tie patys: „kiek tai kainuos" ir „kiek tai užtruks". Rinkoje atsakymai skiriasi dešimteriopai — nuo 500 € iki 10 000 € ir daugiau, nuo 2 savaičių iki 3 mėnesių. Šis straipsnis paaiškina, kodėl toks spektras, kas lemia kainą ir kaip išvengti penkių tipiškų pasirinkimo klaidų.

Iš karto svarbus prelude'as: „kaina" yra lengvai palyginama metrika, bet ji nėra svarbiausia. Svarbiausia — ką jūs gausite už tą kainą ir ar audito teikėjo metodologija atitiks NKSC 2025 terminų realybę. Pigus auditas su generic PDF ataskaita gali jus kainuoti brangiau, jei po metų NKSC patikrinime bus rastos spragos.

Kaina: 3 faktoriai, kurie ją formuoja

KSRA audito kaina Lietuvos rinkoje 2026 m. svyruoja nuo 500 € (mini įmonės self-service audit) iki 15 000 €+ (enterprise level su penetracijos testavimu). Toks spektras yra ne dėl mistinių priežasčių — jis priklauso nuo trijų faktorių.

1. Įmonės dydis ir infrastruktūros sudėtingumas

Įmonės kategorija, darbuotojų skaičius, IT sistemų skaičius ir išorinių integracijų kiekis tiesiogiai veikia audito apimtį. Indikatyvinės kategorijos 2026 m.:

  • Mikro įmonė (iki 10 darbuotojų, 1–2 pagrindinės sistemos) — audit scope ~30 klausimų savianalizė + lengvas techninis skenavimas: 500–1 500 €
  • Maža įmonė (10–50 darbuotojų, 3–10 sistemų) — savianalizė + techninis skenavimas + trumpas dokumentų review: 1 500–4 000 €
  • Vidutinė įmonė(50–250 darbuotojų, >10 sistemų, keli filialai / ES-wide): 4 000–10 000 €
  • Didelė įmonė (250+ darbuotojų, kritinė infrastruktūra, pagrindinis subjektas): 10 000 €+ su pilnomis penetracijomis ir red team pratybomis

2. Audito gylis: savianalizė vs techninis skenavimas vs pen-test

Trys lygmenys, kuriuos dažniausiai matysite pasiūlymuose:

  1. Savianalizė (self-assessment) — įmonės darbuotojai užpildo klausimyną, atsakydami už organizacijos būklę pagal KSRA 8 reikalavimų blokus. AETHER atveju — 30+ klausimų MVP, bus plečiamas iki 150+. AI patikrina nuoseklumą ir pateikia rekomendacijas. Pigiausias lygmuo, ~30% atitikties pasitikėjimo.
  2. Techninis skenavimas (vulnerability assessment) — automatizuotas išorinių paslaugų skenavimas: nmap port scan, TLS konfigūracijos (testssl.sh), žinomų CVE aptikimas (nuclei). Svarbu: tai ne penetracijos testas — tai tik žinomų spragų aptikimas be eksploitų. Pridėtinis ~40% atitikties pasitikėjimas.
  3. Penetracijos testavimas (pen-test) — žmogaus atliekamas pavedimas bandyti įsilaužti į sistemas autorizuotai. Reikalauja licencijos, darbas valandomis (€80–€150/val.), detaliausias bet brangiausias variantas. AETHER neteikia šios paslaugos, bet rekomenduoja licenzijuotus partnerius enterprise klientams.

Pagal KSRA reguliaciją, savianalizė + techninis skenavimas yra minimalus standartas atitikties demonstravimui NKSC. Pen-test būtinas tik pagrindinio subjekto atveju su kritine infrastruktūra.

3. Ataskaitos išsamumas ir tolesnė parama

Ne visi auditai lygūs:

  • PDF ataskaita (generic template): pigiausias variantas, bet mažiausia naudos. Dažniausiai yra copy-paste iš ankstesnių ataskaitų su keliais jūsų duomenimis.
  • Pritaikyta ataskaita + rekomendacijos: kiekviena spraga susiejama su konkrečiu KSRA reikalavimu, su prioritetine įgyvendinimo eile. AETHER standartas.
  • Tęstinis monitoringas: mėnesinis atnaujinimas, automatiniai skenavimai, priežiūra po pradinio audito. Rinkos kainos 99–499 €/mėn. priklausomai nuo apimties.
  • Konsultacijos valandomis: po audito — kai reikia pagalbos įgyvendinant rekomendacijas. Rinkos kaina 60–150 €/val.

Trukmė: 4 audito etapai ir kiek jie užtrunka

Klasikinis KSRA auditas skirstomas į keturis etapus. Laikotarpiai — kalendorinės dienos, priklausomai nuo bendravimo greičio ir klientu prieinamumo.

Etapas 1: Savianalizės klausimynas (1–5 d.)

Kliento atstovai užpildo klausimyną apie organizaciją, rizikos valdymą, techninius apsaugos mechanizmus. Šiam etapui svarbu, kad atsakymai būtų pagrįsti realia būkle, ne „kaip norėtume būti". Trukmė priklauso nuo to, ar kliento atstovas iš karto žino atsakymus, ar reikia paieškos.

Etapas 2: Techninis skenavimas (1–3 d.)

Automatizuotas skenavimas dažniausiai trunka kelias valandas iki vienos paros. Bet analizės ir rezultatų validavimo laikotarpis — dar 1–2 dienos. AETHER scannerius orchestruoja per Docker konteinerius, rezultatų surinkimas asynchroniškas.

Etapas 3: AI analizė ir rekomendacijos (1–2 d.)

AETHER modelis sujungia savianalizės atsakymus su techniniu scan rezultatu, priskiria konkrečius KSRA punktus, formuluoja rekomendacijas su prioritetu ir terminais. Bet žmogaus peržiūra yra privaloma prieš ataskaitos perdavimą klientui.

Etapas 4: Žmogaus peržiūra ir ataskaitos pristatymas (2–5 d.)

Saugumo specialistas (CISO / auditorius) peržiūri AI rekomendacijas, papildo kontekstu, šalina „hallucinations" (jei yra), pritaiko prie kliento pramonės specifikos. Tik po to ataskaita siunčiama klientui.

Tipinė pilnoji audito trukmė: 2–3 savaitės (nuo kontrakto pasirašymo iki finalinės PDF ataskaitos). Enterprise atveju, su penetracijomis, gali būti 6–12 savaičių. Žr. kaip veikia AETHER auditas 8 etapų sekoje.

Ko realiai gaunate: 5 dalykai, kurie svarbūs

Gera KSRA audito ataskaita turėtų turėti šiuos penkis elementus. Jei jūsų pasirinktas teikėjas neturi bent 4 iš 5 — keistis teikėją.

  1. Gap analizė pagal 8 KSRA blokus — ne vien „atitinka / neatitinka", bet konkretūs trūkumai su nuorodomis į reikalavimų aprašo punktus. Žr. 8 KSRA reikalavimų blokai paaiškinti.
  2. Prioritetinis korekcinių veiksmų planas — kiekviena spraga turi turėti: (a) rizikos lygį (H/M/L), (b) rekomenduojamą terminą, (c) įgyvendinimo sunkumą (greitas fix vs projektas).
  3. Techniniai įrodymai— skenavimo logs, screenshot'ai arba komandų output, kad matytųsi, kaip spraga buvo aptikta.
  4. Compliance mapping — jei taikomos kitos reguliacijos (GDPR, NIS2), ataskaitoje turėtų būti nurodyti bendri kontrolės mechanizmai. Žr. KSRA vs NIS2.
  5. Terminuota galiojimo data — ataskaita nėra „amžina". Dauguma teikėjų, įskaitant AETHER, rekomenduoja atnaujinti auditą kas 12 mėn. arba po reikšmingų IT pokyčių.

5 tipinės klaidos renkantis KSRA audito paslaugos teikėją

1. Žiūri tik į kainą, ne į metodologiją

500 € audito pasiūlymas su „generic PDF template" atrodo patraukliai, kol NKSC patikrinime ataskaita nebus pripažinta kaip atitikties įrodymas. Paklauskite teikėjo kaip jie validuoja savianalizės atsakymus — jei atsakymas „pasitikime klientu", perkiskite.

2. Neklausiate apie AI naudojimą

Daugelis auditorių naudoja AI (ChatGPT, Claude) ataskaitų rašymui. Tai nėra blogai, bet privalo būti žmogaus peržiūra pagal ES AI Act (Art. 50 skaidrumo reikalavimas). Jei teikėjas neigia AI naudojimą — arba meluoja, arba jų procesas yra neefektyvus. AETHER atvirai naudoja Claude modelį su privaloma saugumo specialistų peržiūra.

3. Perkate „vienkartį" auditą be tęstinumo plano

KSRA atitiktis nėra „padarėt ir pamiršot" reiškinys. Infrastruktūra keičiasi, atsiranda naujų CVE, reguliacija evoliucionuoja. Geriausia strategija: vienkartis pilnas auditas + mėnesinis monitoringas. Tai pigiau nei pilnas re-audit kas 12 mėn.

4. Nepatikrinote teikėjo referencijų

Paklauskite: kiek panašaus dydžio įmonių esate audit'avę per paskutinius 12 mėn.? Jei atsakymas vos kelios, arba teikėjas nepateikia case studies (net anonimizuotų), rizika yra, kad esate jų mokymosi projektas.

5. Priimate „skubos kainos diskontą" spaudimu

„Užsisakykite šią savaitę ir gaukite 30% nuolaidą" — klasikinė manipuliacija. Jei teikėjas gali 30% atidaryti — vadinasi, arba pradinė kaina buvo per aukšta, arba dabar jie taupys kur nors procese. NKSC auditas yra per rimtas pirkinys skubotiems sprendimams.

Checklistas: 8 klausimai audito teikėjui prieš pasirašant

Prieš pasirašant kontraktą su bet kokiu KSRA audito teikėju, paklauskite šiuos aštuonis klausimus ir dokumentuokite atsakymus:

  1. Kokia tiksliai yra audito apimtis? (kiek sistemų, kiek darbuotojų, kokie reikalavimų blokai)
  2. Ar ataskaita bus pritaikyta mūsų konkrečiam atvejui, ar generic template?
  3. Kaip validuojate savianalizės klausimyno atsakymus? (tikra evidence, ne „pasitikime")
  4. Ar naudojate AI? Kokia yra žmogaus peržiūros procedūra? (skaidrumas pagal ES AI Act)
  5. Kokios bus tolesnės paslaugos po pradinio audito? (monitoringas, konsultacijos, re-audit)
  6. Kokia jūsų patirtis su mūsų pramone? (fintech, e-komercija, sveikatos apsauga turi skirtingus prioritetus)
  7. Kiek trunka nuo kontrakto pasirašymo iki finalinės ataskaitos? (konkrečios dienos, ne „greitai")
  8. Ar ataskaitos formatas atitinka NKSC patikrinimo reikalavimus? (jūsų įrodymas NKSC auditoriams)

Kaip AETHER kainuoja ir kiek trunka

Transparentumo labui — AETHER kainos 2026 m. spalį:

  • Basic auditas: 30 klausimų savianalizė + automatinis techninis skenavimas + pritaikyta PDF ataskaita su AI rekomendacijomis ir žmogaus peržiūra. Vienkartinis auditas nuo 1 500 €.
  • Monitoringas: tęstinis skenavimas kas 30 d. + mėnesinis status report + Telegram alert'ai adminams. 99 €/mėn.
  • Enterprise (250+ darbuotojų, kritinė infrastruktūra): pritaikoma pagal apimtį — kreipkitės į komandą.

Tipinė AETHER audito trukmė: 2–3 savaitėsnuo registracijos iki PDF ataskaitos. Savianalizė — 30 min. kliento pusėje. Likusieji etapai — automatizuoti arba žmogaus peržiūra backend'e.

Dabartinės kainos — visuomet /kainos puslapyje. Audito flow — 8 etapai /kaip-veikia. KSRA reguliacinis kontekstas — /ksra. Terminų žodynas — /ksra-zodynas.

Finalinis patarimas

KSRA auditas nėra pirkinys, kur reikia optimizuoti kainą iki paskutinio euro. Tai yra draudimas jei neturėsite tinkamo audito, baudos riba nuo 10 000 € pradedančioms įmonėms (žr. KSRA baudų apžvalgą). Investicija į tinkamą auditą su metodologija + tęstinumu yra reikšmingai pigesnė.

Jei norite įvertinti savo pasiruošimo lygį per 30 min. automatiškai ir nemokamai, užsiregistruokite — gausite pirmą savianalizės ataskaitą be įsipareigojimų. Po jos galėsite nuspręsti, ar norite pilno audito, monitoringo ar tiesiog konsultacijos.

Susiję straipsniai ir resursai

Autorius: Aleksandras (Azora Lab). Straipsnis informacinis — ne teisinė ar investavimo konsultacija. Rinkos kainos — indikatyvinės 2026 m. spalio duomenys, gali keistis. Konkretūs pasiūlymai priklauso nuo įmonės specifikos.