NKSC 2025 terminai — kada įgyvendinti KSRA reikalavimus

2024 m. lapkritį NKSC (Nacionalinis kibernetinio saugumo centras) patvirtino Kibernetinio saugumo reikalavimų aprašą (KSRA) — detalų dokumentą su 100+ puslapių konkrečių reikalavimų. Nuo tada tūkstančiai Lietuvos įmonių laukia svarbiausio klausimo atsakymo: „kada privalu užbaigti įgyvendinimą?"

Trumpas atsakymas: terminai priklauso nuo reikalavimo tipo — organizaciniai per 12 mėn., techniniai per 24 mėn. nuo įtraukimo į Kibernetinio saugumo subjektų registrą. Tačiau detalės turi didelę reikšmę praktiniam planavimui. Šiame gide — pilna terminų lentelė su tipiniais scenarijais, klausimais, kuriuos verta užduoti sau šiandien, ir konkrečiais veiksmais.

Trumpai — kas nustato terminą

Terminas skaičiuojamas nuo momento, kai NKSC oficialiai įtraukė jūsų įmonę į Kibernetinio saugumo subjektų registrą. Tai dažnai — bet ne visada — sutampa su laiško iš NKSC gavimu (tema: „Įtraukimas į Kibernetinio saugumo subjektų registrą"). Jeigu gavote tokį laišką — pradinis taškas yra to laiško data.

Nuo tos datos skaičiuojami du terminai:

• 12 mėnesių — organizaciniams reikalavimams (politikos, atsakomybės paskirstymas, mokymai, rizikos valdymo procesas)
• 24 mėnesiai — techniniams reikalavimams (MFA, šifravimas, patch management, incidentų valdymas, atsarginės kopijos)

Tipinis scenarijus — įmonė įtraukta 2025 m. sausį

Dauguma Lietuvos esminių ir svarbių subjektų buvo informuoti 2024 m. pabaigoje arba 2025 m. pirmame ketvirtyje. Pavyzdinis grafikas:

• 2025-01 — laiškas iš NKSC, oficialus įtraukimas
• 2026-01 — terminas organizaciniams reikalavimams baigti (+12 mėn.)
• 2027-01 — terminas techniniams reikalavimams baigti (+24 mėn.)

Tai reiškia, kad 2026 m. pradžioje NKSC gali reikalauti pateikti dokumentaciją, įrodančią, kad organizaciniai reikalavimai yra įgyvendinti — politika patvirtinta, atsakingas asmuo paskirtas, rizikos valdymo procesas veikia, darbuotojai apmokyti.

Organizaciniai reikalavimai — ką reikia padaryti per 12 mėn.

Pagrindiniai organizaciniai blokai (KSRA 5–40 punktai):

1. Paskirtas atsakingas asmuo — CISO arba saugumo koordinatorius su aiškiu įgaliojimu priimti sprendimus. Ne būtinai full-time — gali būti dalis IT vadovo pareigų, bet oficialiai dokumentuota.
2. Kibernetinio saugumo politika — patvirtinta valdybos (arba ekvivalento) dokumentuota politika. 10–30 puslapių, aprašanti principus, rolių pasiskirstymą, incidentų valdymo kryptis.
3. Rizikos valdymo procesas — registras (rizikų lentelė su tikimybe × poveikiu), metodika, peržiūra bent kartą per metus.
4. Kibernetinės higienos mokymai — visiems darbuotojams bent kartą per metus, dokumentuota dalyvavimo įrodyba.
5. Phishing pratybos — bent du kartus per metus simuliuojami atakų scenarijai, rezultatai fiksuojami.
6. Tiekėjų saugumo vertinimas — IT tiekėjų klausimynas prieš sutartį, saugumo sąlygos sutartyse.

Svarbi detalė: organizaciniai reikalavimai paprastai kainuoja laiko, ne pinigų. Vidutinei 100 darbuotojų įmonei — ~80–120 val. CISO/koordinatoriaus darbo, plius išorinis konsultantas pirmai iteracijai. Tai ir yra priežastis, kodėl terminas trumpesnis (12 mėn.): nereikia perkant naujas sistemas, reikia tik aiškiai aprašyti procesus.

Techniniai reikalavimai — ką reikia padaryti per 24 mėn.

Techniniai blokai (KSRA 45–80 punktai) — jau rimtesnis investicinis klausimas. Pagrindiniai:

1. MFA (multi-factor authentication) visoms paskyroms — ne tik administratoriams, bet ir visiems vartotojams su prieiga prie svarbių sistemų. Praktiškai — Azure AD + Authenticator arba Google Workspace + Google Authenticator.
2. Duomenų šifravimassaugojimo metu (disko lygio, DB lygio) ir perdavimo metu (TLS 1.2+, jokio HTTP). Visiems viešai prieinamiems endpoint'ams.
3. Patch management — kritinės pataisos per 72 val. nuo CVE išleidimo. Reikia automatizacijos (pvz. WSUS, Ansible, ar panašių įrankių) ir dokumentacijos, kada kas buvo pritaikyta.
4. Tinklo segmentacija — production vs test aplinkų izoliacija, admin tinklų atskyrimas, DMZ aiškiai apibrėžtas.
5. EDR (end-point detection & response) — centralizuotai valdomas antivirus/EDR sprendimas. Market standartas — CrowdStrike, SentinelOne, Microsoft Defender for Endpoint.
6. Incidentų valdymas — dokumentuotas planas, pranešimas NKSC per 24 val. (pirminis) + 72 val. (detalus), tabletop exercise bent kartą per metus.
7. Atsarginės kopijos — 3-2-1 principas (3 kopijos, 2 skirtingos laikmenos, 1 off-site). Bent dalis — offline arba air-gapped, kad išgyventų ransomware ataką.

Techniniai reikalavimai reikalauja pirkimo proceso (EDR licencijos, pataisų valdymo įrankis, incidentų platformos), todėl ir terminas ilgesnis — 24 mėnesiai, kad būtų laiko konkursui, integracijai ir testavimui.

Kokios rizikos, jei vėluosite?

Pagal Kibernetinio saugumo įstatymą (KSĮ):

• Baudos iki 10 mln. EUR arba 2% metinės apyvartos (didesnė iš dviejų) — priklauso nuo pažeidimo dydžio ir aplinkybių.
• Privalomas saugumo auditas NKSC sąskaita — jei NKSC mato rimtus trūkumus, gali priversti praeiti auditą savo kaštais.
• Vadovų asmeninė atsakomybė didelių incidentų atveju — ne tik įmonės lygiu.
• Reputacijos rizika — NKSC skelbia sankcijas viešai. Jūsų pavadinimas gali atsirasti naujienose.

Ką daryti jau šiandien — praktinis checklistas

• [ ] Patikrinti, ar jūsų įmonė yra Kibernetinio saugumo subjektų registre (ieškoti laiško iš NKSC 2024–2025 m.)
• [ ] Jei įtraukta — nustatyti konkrečią įtraukimo datą ir apskaičiuoti 12/24 mėn. terminus
• [ ] Paskirti atsakingą asmenį (CISO arba koordinatorių) — prioritetas nr. 1, nes be jo joks kitas reikalavimas nejudės
• [ ] Atlikti pradinę savianalizę — kuriuos 8 blokus jau turite, kurie visiškai trūksta
• [ ] Sudaryti prioritetinį veiksmų planą — pradėti nuo organizacinių (trumpesnis terminas + pigiau)
• [ ] Numatyti biudžetą 2026 m. techniniams reikalavimams — pirkimų ciklai viešajame sektoriuje užtrunka

Kaip AETHER padeda šioje trajektorijoje

AETHER audito tikslas — per 48 val. duoti jums aiškų atsakymą į klausimą „ką konkrečiai turiu daryti ir iki kada?". Ataskaitoje rasite:

• Atitikties balą pagal 8 KSRA blokus — aiškus vaizdas, kur stovite
• Rekomendacijų sąrašą su konkrečiomis KSRA punkto nuorodomis — ne „pagerinkit saugumą", bet „KSRA 62 p. reikalauja MFA visoms paskyroms"
• Prioritetinį veiksmų planą 12 mėn. laikotarpiui — kas iki 2026-01, kas iki 2026-07, kas iki 2027-01
• Sąnaudų įvertinimas kiekvienai rekomendacijai — kad turėtumėte pagrindą biudžeto derinimui

Daugiau — kaip veikia AETHER auditas, kainos (pirmi 5 klientai — nemokamai) arba užsiregistruok.

Susiję straipsniai ir resursai

• KSRA vs NIS2 — pagrindiniai skirtumai Lietuvos įmonei
• 8 KSRA reikalavimų blokai paaiškinti paprastai
• Kaip pasiruošti NKSC auditui per 48 valandas
• KSRA auditas 2026 — kaina, trukmė ir ko realiai tikėtis
• KSRA terminų žodynas — 25 KSRA ir NKSC terminai LT kalba

Oficialūs šaltiniai

• NKSC svetainė — oficialus KSRA tekstas, atnaujinimai, DUK
• e-Seimas — Kibernetinio saugumo įstatymas (KSĮ)
• Apie KSRA — AETHER vidinis vadovas su 8 reikalavimų blokais

Autorius: Aleksandras (Azora Lab). Straipsnis informacinis — ne teisinė konsultacija. Konkrečiais klausimais susisiekite su AETHER komanda arba NKSC tiesiogiai.