KSRA vs NIS2 — pagrindiniai skirtumai Lietuvos įmonei
Paskutinį kartą atnaujinta: 2026 m. balandžio 23 d.
Jei Lietuvos įmonė domisi kibernetinio saugumo reikalavimais, greitai susiduria su dviem pavadinimais: KSRA (Kibernetinio saugumo reikalavimų aprašas) ir NIS2 (Network and Information Security Directive 2). Abu kalba apie tą patį — kibernetinio saugumo valdymą — bet veikia skirtingais teisiniais lygiais. Šis straipsnis paaiškina, kaip jie susiję, kuo skiriasi, ir ką praktiškai reikia įgyvendinti.
Trumpai — kas yra kas
- NIS2 direktyva — ES lygio teisės aktas (Direktyva (ES) 2022/2555), įsigaliojęs 2023 m. sausį. Nustato minimalius reikalavimus kibernetiniam saugumui visoms ES valstybėms narėms. NIS2 pati savaime NĖRA tiesiogiai taikoma įmonėms — ji yra „ką valstybės narės turi padaryti", ne „ką įmonės turi padaryti".
- KSRA + KSĮ (Kibernetinio saugumo įstatymas) — Lietuvos teisės aktai, kurie perkelia NIS2 į Lietuvos teisinę sistemą. KSĮ nustato bendrą struktūrą (kas yra subjektai, kokios baudos), o KSRA — konkrečius techninius ir organizacinius reikalavimus (100+ punktų).
Praktiškai: jei esate Lietuvos įmonė, jums reikia įgyvendinti KSRA. NIS2 yra „motina", bet jūsų tiesioginis compliance dokumentas — KSRA.
Ar galiu tiesiog žiūrėti į NIS2 ir praleisti KSRA?
Ne — dėl kelių priežasčių:
- NIS2 yra bendrinio lygio. „Imtis atitinkamų techninių priemonių" — tai NIS2 kalba. KSRA konkretizuoja: „MFA visoms paskyroms su prieiga prie svarbių sistemų, 12+ simbolių slaptažodis, ketvirtinis prieigos teisių peržiūra."
- NKSC auditorius tikrins jus pagal KSRA, ne pagal NIS2. Jei laikote NIS2 tekstą kaip gidą, bet nesilaikysite KSRA detalių — auditorius ras trūkumus.
- KSRA gali būti griežtesnis tam tikrose vietose nei NIS2 minimumas. Pvz. NIS2 nenurodo konkretaus patch'inimo termino; KSRA reikalauja kritinių pataisų per 72 val.
Subjektų kategorijos — ar esate įtraukti?
Tiek NIS2, tiek KSRA naudoja tą pačią struktūrą:
Esminiai subjektai (essential entities)
Stambios organizacijos kritinėse srityse:
- Energetika (elektra, dujos, nafta, šiluma)
- Transportas (aviacija, geležinkeliai, jūrų, kelių)
- Bankininkystė ir finansų rinkos infrastruktūra
- Sveikatos priežiūra (ligoninės, gamintojai)
- Geriamojo vandens tiekimas
- Skaitmeninė infrastruktūra (DNS, TLD, duomenų centrai)
- Viešojo administravimo subjektai
Dydžio kriterijus: daugiau kaip 250 darbuotojų ARBA daugiau kaip 50 mln. EUR metinės apyvartos, ARBA daugiau kaip 43 mln. EUR balanso sumos.
Svarbūs subjektai (important entities)
Vidutiniai operatoriai panašiose srityse, plius:
- Pašto ir kurjerių paslaugos
- Atliekų tvarkymas
- Cheminių medžiagų gamyba ir tiekimas
- Maisto gamyba ir tiekimas (didieji)
- IT paslaugų tiekėjai (MSP, MSSP)
- Socialiniai tinklai, elektroninės prekybos platformos
- Mokslo tyrimų organizacijos
Dydžio kriterijus: 50–250 darbuotojų ARBA 10–50 mln. EUR apyvartos.
NKSC 2024–2025 m. siuntė informavimo laiškus į įmones, kurios pagal šiuos kriterijus patenka į kategorijas. Jei gavote laišką — jūsų įmonė yra Kibernetinio saugumo subjektų registre.
Terminai — kada įgyvendinti
Pagal KSĮ ir KSRA (tie patys terminai tiek esminiams, tiek svarbiems subjektams, tik baudų dydžiai skiriasi):
- 12 mėnesių nuo įtraukimo — organizaciniai reikalavimai (politikos, mokymai, atsakomybė)
- 24 mėnesiai nuo įtraukimo — techniniai reikalavimai (MFA, šifravimas, patch management, backup)
Daugiau praktinių detalių — NKSC 2025 terminai — kada įgyvendinti KSRA reikalavimus.
Baudos — koks maksimumas?
Čia esminiai ir svarbūs subjektai pirmą kartą skiriasi reikšmingai:
- Esminiams subjektams: iki 10 mln. EUR arba 2% metinės apyvartos (didesnė iš dviejų)
- Svarbiems subjektams: iki 7 mln. EUR arba 1.4% metinės apyvartos (didesnė iš dviejų)
Tai yra tas pats lygis kaip ir NIS2 minimumas (NIS2 Art. 34). Nei Lietuva, nei kita valstybė narė negali eiti žemiau; gali eiti aukščiau, bet Lietuva pasirinko NIS2 standartą.
Techniniai reikalavimai — palyginimas
Konceptualiai abu dokumentai kalba apie tą pačią 10-ties blokų struktūrą (NIS2 Art. 21 p. 2, KSRA 8 skirsniai). Lentelė:
| Reikalavimas | NIS2 (art. 21) | KSRA (konkretus punktas) |
|---|---|---|
| Rizikos valdymo politika | „Tinkamos priemonės" (a) | Rizikų registras + metinė peržiūra (KSRA 15) |
| Incidentų valdymas | „Incidentų valdymas" (b) | 24 val. pirminis + 72 val. detalus pranešimas NKSC (KSRA 8 skirsnis) |
| Verslo tęstinumas | „Business continuity" (c) | Atsarginės kopijos 3-2-1 + recovery plans (KSRA 75) |
| Tiekimo grandinės saugumas | „Supply chain security" (d) | IT tiekėjų vertinimas + sutarčių sąlygos (KSRA 33–38) |
| Prieigos kontrolė | „Access control" (i) | MFA + 12+ simb. slaptažodis + ketvirtinė peržiūra (KSRA 60–63) |
| Kriptografija | „Cryptography" (h) | At-rest + TLS 1.2+ + raktų valdymas (KSRA 65–67) |
| Mokymai | „Security awareness training" (g) | Kasmet + phishing pratybos (KSRA 45–55) |
| Patch management | „Policies on vulnerability..." (f) | Kritinės pataisos per 72 val. (KSRA 70) |
Esmė: NIS2 yra direktyva („kas reikalinga"), KSRA — aprašas („kaip tiksliai"). Abu kartu — jūsų compliance checklistas.
Dažniausiai klaidinamos nuomonės
„Jei atitinkame ISO 27001, esame saugūs"
Iš dalies — ISO 27001 apima daugumą blokų, bet nesutampa 1-į-1 su KSRA. Ypač trūksta:
- Incidentų pranešimo NKSC terminai (ISO jų nenurodo)
- Konkrečių patch'ų terminų
- Lietuviškos teisės integracijos (KSĮ, duomenų apsaugos įstatymai)
ISO 27001 yra puiki bazė, bet po ISO — reikia papildomo KSRA-gap'o užpildymo.
„Mano įmonė mažesnė nei 50 darbuotojų — KSRA netaikomas"
Dažniausiai tiesa, bet su išimtim: skaitmeninių infrastruktūros paslaugų tiekėjai (DNS, TLD, duomenų centrai, CDN) yra įtraukiami nepriklausomai nuo dydžio. Taip pat IT paslaugų tiekėjai, aptarnaujantys esminius subjektus, gali būti įtraukiami per tiekimo grandinės reikalavimus.
„Pakanka įdiegti įrankius ir compliance užbaigtas"
Ne — auditorius tikrins dokumentaciją (politikas, procesus, peržiūros įrašus), ne tik technologiją. Įmonė, kuri turi CrowdStrike, bet neturi dokumentuoto incidentų valdymo plano, yra non-compliant'iška. KSRA reikalauja pėdsako: kas, kada, kodėl nutarė, ką padarė.
Ką daryti šiandien
- Nustatykite savo subjekto kategoriją — esminis ar svarbus? Skaitykite NKSC laišką arba patikrinkite dydžio kriterijus.
- Laikykitės KSRA, ne NIS2 — tai jūsų operatyvinis dokumentas.
- Pradėkite nuo organizacinių reikalavimų — trumpesnis terminas (12 mėn.), mažesnis biudžetas, bet be jų techniniai reikalavimai nepateiks pakankamai dokumentacijos.
- Atlikite gap'o analizę — galima patiems arba per AETHER auditą (48 val., 1500 EUR).
Susidomėjote AETHER auditu? Skaitykite kaip veikia, peržiūrėkite kainas, arba užsiregistruokite nemokamai.
Susiję straipsniai ir resursai
- NKSC 2025 terminai — kada įgyvendinti KSRA reikalavimus
- 8 KSRA reikalavimų blokai paaiškinti paprastai
- Kaip pasiruošti NKSC auditui per 48 valandas
- KSRA auditas 2026 — kaina, trukmė ir ko realiai tikėtis
- KSRA terminų žodynas — 25 KSRA ir NKSC terminai LT kalba
Oficialūs šaltiniai
- NIS2 Direktyva (ES) 2022/2555 — EUR-Lex
- e-Seimas — Kibernetinio saugumo įstatymas (KSĮ)
- NKSC svetainė — oficialus KSRA tekstas, DUK
- Apie KSRA — AETHER vidinis vadovas
Autorius: Aleksandras (Azora Lab). Straipsnis informacinis — ne teisinė konsultacija. Konkrečiais klausimais susisiekite su AETHER komanda arba teisininku.