Invosec
The CoverContact UsOur Insights
Explore
NIS2 (KSRA)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)

Kibernetinio saugumo reikalavimų aprašas (KSRA)

KSRA Kibernetinio saugumo reikalavimų įgyvendinimas
Title-not-shown
I Skyrius (1-3 p.) Bendrosios nuostatos
Bendri reikalavimai (1-3 p.)
II Skyrius Pirmasis skirsnis (4-6 p.) Tinklų ir informacinių sistemų saugumo politika
Org. reikalavimai (4-6 p.)
II Skyrius Antrasis skirsnis (7-15 p.) Kibernetinio saugumo rizikos analizė
Org. reikalavimai (7-15 p.)
II Skyrius Trečiasis skirsnis (16-21 p.) Už kibernetinį saugumą atsakingų asmenų ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigos
Org. reikalavimai (16-21 p.)
II Skyrius Ketvirtasis skirsnis (22-26 p.) Kibernetinių incidentų valdymas
Org. reikalavimai (22-26 p.)Tech. reikalavimai (1 lent. 1-15 p.)
II Skyrius Penktasis skirsnis (27-31 p.) Veiklos tęstinumas
Org. reikalavimai (27-31 p.)Tech. reikalavimai (2 lent. 16-20 p.)
II Skyrius Šeštasis skirsnis (32-39 p.) Tiekimo grandinės saugumas
Org. reikalavimai (32-39 p.)
II Skyrius Septintasis skirsnis (40-47 p.) Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Org. reikalavimai (40-47 p.)Tech. reikalavimai (3 lent. 21-43 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.) Kibernetinio saugumo reikalavimų veiksmingumo vertinimas
Org. reikalavimai (48-51 p.)
II Skyrius Devintasis skirsnis (52-54 p.) Kibernetinės higienos praktika ir kibernetinio saugumo mokymai
Org. reikalavimai (52-54 p.)
II Skyrius Dešimtasis skirsnis (55-57 p.) Kriptografijos ir šifravimo naudojimo politika ir procedūros
Org. reikalavimai (55-57 p.)Tech. reikalavimai (4 lent. 44-50 p.)
II Skyrius Vienuoliktasis skirsnis (58-60 p.) Žmogiškųjų išteklių saugumas, fizinės prieigos politika ir turto valdymas
Org. reikalavimai (58-60 p.)Tech. reikalavimai (5 lent. 51-52 p.)Org. reikalavimai (61-64 p.)Tech. reikalavimai (6 lent. 53-57)
II Skyrius Dvyliktasis skirsnis (65-69 p.) Prieigos valdymas ir kelių veiksnių tapatumo nustatymo priemonės
Org. reikalavimai (65-69 p.)Tech. reikalavimai (7 lent. 58-76 p.)
III Skyrius (70-72 p.) Baigiamosios nuostatos
Bendri reikalavimai (70-72 p.)
II Skyrius Aštuntasis skirsnis (48-51 p.)

Kibernetinio saugumo reikalavimų veiksmingumo vertinimas

48. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi nustatyti kibernetinio saugumo reikalavimų veiksmingumo vertinimo tvarką, apimančią:

  • 48.1. reikalavimą reguliariai, ne rečiau kaip kartą per metus, įvertinti kibernetinio saugumo subjekto atitiktį Kibernetinio saugumo įstatymui, šio Aprašo ir kibernetinio saugumo subjekto patvirtintiems kibernetinio saugumo politikos dokumentuose nustatytiems reikalavimams (toliau – Atitikties vertinimas).
  • 48.2. kibernetinio saugumo subjektui atlikus Atitikties vertinimą, rengiami ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens tvirtinami:
    • 48.2.1. atitikties vertinimo ataskaita
    • 48.2.2. identifikuotų neatitikčių (jei nustatyta) šalinimo planas, kuriame paskirti atsakingi vykdytojai, reikalingi ištekliai ir nustatyti įgyvendinimo terminai.
  • 48.3. reikalavimą reguliariai, ne rečiau kaip kartą per 3 metus, atlikti kibernetinio saugumo auditą, vadovaujantis Kibernetinio saugumo įstatymo 14 straipsnio 8 punkto nuostatomis

49. Kibernetinio saugumo subjektas, atsižvelgdamas į rizikų vertinimo rezultatus, įvykusius kibernetinio saugumo incidentus ir jų valdymo rezultatus, nustato kibernetinio saugumo taikomų priemonių veiksmingumo vertinimo reikalavimus:

  • 49.1. kokias kibernetinio saugumo reikalavimų valdymo priemones reikia stebėti ir vertinti
  • 49.2. kokius stebėsenos, matavimo, analizės ir vertinimo metodus kibernetinio saugumo subjektas taiko
  • 49.3. kokiu periodiškumu turi būti atliekama nustatytų metodų stebėsena ir matavimai
  • 49.4. už veiksmingumo vertinimo stebėjimą ir matavimą atsakingus asmenis
  • 49.5. veiksmingumo vertinimo rezultatų analizės periodiškumą
  • 49.6. taikomų kibernetinių saugumo priemonių gerinimą, atsižvelgiant į vertinimo rezultatus.

50. NKSC, atlikdamas kibernetinio saugumo subjekto patikrinimą, turi teisę pareikalauti kibernetinio saugumo subjekto pateikti atliktų kibernetinio saugumo audito, atitikties vertinimo ataskaitos, atitikties vertinimo metu nustatytų neatitikčių šalinimo plano, rizikų vertinimo ataskaitos ir rizikų valdymo plano kopijas. Kibernetinio saugumo subjektas šiuos dokumentus turi pateikti į KSIS ne vėliau kaip per 5 darbo dienas nuo NKSC prašymo gavimo dienos.

51. Esminis kibernetinio saugumo subjektas ne rečiau kaip kartą per metus teikia atitikties kibernetinio saugumo reikalavimams vertinimą, užpildydamas NKSC klausimyną KSIS.
Previous Tinklų ir informacinių sistemų įsigijimas, plėtojimas ir priežiūros saugumas, įskaitant spragų valdymą ir atskleidimą
Next Kibernetinės higienos praktika ir kibernetinio saugumo mokymai