Straipsniai

Straipsniai

Straipsniai

Kibernetinis saugumas sektoriuose: energetika, vanduo, sveikata, savivaldybės

Nov 17, 2025

Segmentuotas požiūris į TIS2 įgyvendinimą skirtingose srityse.

TIS2 direktyva keičia ne tik kibernetinio saugumo standartus, bet ir mąstymą apie atsakomybę.
Ji aiškiai įvardija: skirtingi sektoriai turi skirtingas rizikas, todėl vienas modelis visiems nebeveikia.

Lietuvoje į direktyvos taikymo sritį patenka tiek valstybinės, tiek privačios įmonės - nuo savivaldybių iki energijos gamintojų ir sveikatos įstaigų.
Kiekvienas sektorius turi savas spragas, savas priklausomybes ir savo kelią į atitiktį.

Energetikos sektorius: kritinė grandis, kur sustojimas reiškia viską

Energetikos įmonės yra TIS2 prioritetų sąrašo viršuje - ir ne veltui.
Šio sektoriaus sistemų prieinamumas lemia visos valstybės stabilumą.

Pagrindiniai iššūkiai:

  • sudėtingos IT ir OT (operacinių technologijų) sąsajos,

  • daug senos įrangos, kurios neįmanoma atnaujinti per naktį,

  • priklausomybė nuo tiekėjų ir partnerių grandinės.

Ką daryti:

  • sukurti aiškų turto inventorių (žinoti, kas prijungta prie tinklo),

  • įgyvendinti incidentų reagavimo planą, testuotą realiai,

  • atlikti tiekėjų kibernetinio saugumo vertinimus,

  • naudoti automatizuotus įrankius, kurie leidžia atnaujinti rizikos vertinimus be popierizmo.

Energetikos sektoriuje TIS2 nėra tik reikalavimas - tai nacionalinio saugumo klausimas.

Vandens sektorius: maži biudžetai, didelė atsakomybė

Dauguma Lietuvos vandens tiekimo įmonių - nedidelės, bet gyvybiškai svarbios.
Vienas incidentas gali paveikti ne tik paslaugas, bet ir visuomenės sveikatą.

Dažniausios problemos:

  • IT ir SCADA sistemų valdymas atliekamas tais pačiais žmonėmis,

  • trūksta CISO ar kibernetinio saugumo atsakingo asmens,

  • procesai dokumentuojami ranka, be centralizuotos sistemos.

TIS2 sprendimas:

  • įsidiegti automatizuotą atitikties platformą, kad dokumentai, rizikos ir incidentai būtų valdomi vienoje vietoje,

  • dalintis resursais - pvz., per regioninius CISO-as-a-Service modelius,

  • periodiškai tikrinti atsarginių kopijų atkūrimą (praktikoje, ne teoriškai).

TIS2 čia padeda sukurti standartizuotą, įrodoma tvarką, kuri sumažina žmogiškas klaidas.

Sveikatos sektorius: tarp duomenų apsaugos ir gyvybių

Sveikatos įstaigoms TIS2 reikalavimai kertasi su dar vienu - BDAR (GDPR).
Čia svarbiausia ne tik apsaugoti sistemą, bet ir užtikrinti, kad pacientų duomenys būtų konfidencialūs, tikslūs ir prieinami, kai jų reikia.

Kritiniai iššūkiai:

  • paveldėtos IT sistemos, kurios neturi modernių saugumo priemonių,

  • didelis kiekis jautrių duomenų (nuo e. receptų iki diagnostinių vaizdų),

  • nuolatinės tiekėjų integracijos ir debesijos paslaugos.

Sprendimai:

  • įtraukti duomenų klasifikaciją į rizikų valdymą (kas jautru, kas kritiška),

  • naudoti centrinį incidentų registrą, kad reakcijos laikas būtų matuojamas,

  • treniruoti personalą - nuo gydytojų iki registratorių,

  • automatizuoti TIS2 + GDPR dokumentų valdymą - nes abiejų reikalavimai persidengia.

Šiame sektoriuje TIS2 tampa ne prievole, o patikimumo ženklu - pacientai pasitiki tais, kurie rūpinasi ne tik jų sveikata, bet ir jų duomenimis.

Savivaldybės: tarp biurokratijos ir realios rizikos

Savivaldybės dažnai turi plačiausią paslaugų spektrą ir daugiausiai informacinių sistemų, bet - mažiausiai resursų.
Kibernetinis saugumas čia dažnai suvokiamas kaip „dar viena ataskaita“.

Dažniausios klaidos:

  • fragmentuotos IT sistemos ir paslaugos iš skirtingų tiekėjų,

  • trūksta bendros prieigų kontrolės ir centralizuoto stebėjimo,

  • kibernetinio saugumo klausimai sprendžiami „po įvykio“.

Kaip pagerinti:

  • įdiegti vieningą rizikų ir incidentų registravimo sistemą,

  • naudoti vieningus šablonus pagal NKSC rekomendacijas (pvz., per TrustGuru sistemą),

  • paskirti aiškų atsakingą asmenį (ar partnerį) už TIS2 atitiktį,

  • dalintis praktika tarp savivaldybių - stiprinti bendrą atsparumą.

Savivaldybių lygmeniu svarbiausia - matomumas.
Kai duomenys ir procesai centralizuoti, saugumo spragų lieka mažiau.

Išvada: TIS2 – ne „vienas dokumentas visiems“

TIS2 direktyva nėra vienoda visiems, nes grėsmės ir priklausomybės skiriasi.
Tačiau yra vienas bendras vardiklis - automatizacija ir aiškumas.

Kai kiekvienas sektorius turi centralizuotą vaizdą:

  • kas atsakingas,

  • kokios rizikos aktyvios,

  • ir kokie dokumentai galioja kibernetinis saugumas tampa valdomas, o ne reaguojamas.

💡 TIS2 nėra tik teisės aktas. Tai - galimybė kurti stipresnę, sąmoningesnę ir atsparią organizaciją.
O tai, kaip kiekvienas sektorius tą padarys - lems ne tik jų pačių, bet ir visos šalies kibernetinį atsparumą.

Plačiau apie automatizaciją ir TIS2 praktinį įgyvendinimą skaitykite 👉
www.trustguru.ai