Straipsniai

Straipsniai

Straipsniai

TIS2 praktikoje: ką įmonės turėtų padaryti iki metų pabaigos

Oct 9, 2025

2025-ieji - tai metai, kai TIS2 (arba NIS2) direktyva pereina iš teorijos į praktiką. Dauguma Lietuvos įmonių jau žino, ar patenka į TIS2 taikymo sritį. Tačiau žinojimas - tik pradžia. Tikroji užduotis dabar yra užtikrinti, kad organizacija būtų pasiruošusi patikrinimams, auditams ir galėtų įrodyti atitiktį.

Toliau pateikiamas aiškus praktinis planas, ką įmonės turėtų padaryti iki šių metų pabaigos, kad 2026-aisiais neatsidurtų tarp pavėlavusiųjų.

1. Įsivertinkite, ar jūsų organizacija jau realiai pasiruošusi

Net jei įmonė žino, kad patenka į TIS2, dažnai ji dar neturi:

  • formalizuotų informacijos saugumo politikų;

  • turto ir rizikų registrų;

  • aiškiai apibrėžto incidentų valdymo proceso.

Pirmasis žingsnis - atlikti TIS2 atitikties įsivertinimą. Tai padeda suprasti, kokie saugumo procesai jau egzistuoja ir ką dar reikia sukurti.
Praktinis patarimas: į procesą įtraukite ne tik IT skyrių, bet ir vadovybę, nes atsakomybė pagal TIS2 tenka visai organizacijai.

2. Paskirkite atsakingus asmenis

Pagal TIS2 direktyvą vadovybė yra tiesiogiai atsakinga už kibernetinio saugumo įgyvendinimą.
Iki metų pabaigos turėtumėte:

  • paskirti atsakingą asmenį arba CISO (Chief Information Security Officer);

  • patvirtinti vadovybės įsipareigojimą informacijos saugumui;

  • nustatyti ataskaitų teikimo tvarką valdybai ar vadovybei.

Jeigu neturite nuolatinio CISO, verta svarstyti vCISO (virtualaus CISO) paslaugą - tai efektyvus būdas užtikrinti atitiktį be papildomo etato.

3. Paruoškite pagrindinius dokumentus

Iki metų pabaigos organizacija turėtų turėti bent bazinį TIS2 dokumentų rinkinį:

  • Informacijos saugumo politika

  • Rizikų vertinimas ir valdymo planas

  • Turto (IT sistemų, įrangos, duomenų, tiekėjų) registras

  • Incidentų valdymo planas

  • Veiklos tęstinumo ir poveikio analizės (BIA) planas

Šie dokumentai turi būti ne tik formaliai egzistuojantys failai, bet ir praktiškai naudojami. Tai reiškia, kad jie turi būti periodiškai peržiūrimi, atnaujinami ir prieinami atsakingiems darbuotojams.

4. Įtraukite trečiąsias šalis ir tiekėjus

Pagal TIS2 reikalavimus, organizacijos atsako ne tik už savo vidinius procesus, bet ir už savo tiekėjų bei partnerių kibernetinį saugumą.
Iki metų pabaigos verta:

  • atnaujinti tiekėjų ir trečiųjų šalių registrą;

  • įtraukti saugumo reikalavimus į sutartis;

  • numatyti aiškią incidentų pranešimo tvarką tarp jūsų ir partnerių.

Tai ypač svarbu organizacijoms, kurios naudoja debesijos sprendimus, išorinius IT tiekėjus ar tvarko jautrius duomenis.

5. Pasiruoškite incidentų valdymui ir pranešimams NKSC

Nuo 2026 m. organizacijos privalės pranešti Nacionaliniam kibernetinio saugumo centrui (NKSC) apie rimtus kibernetinius incidentus.
Todėl jau šiemet verta:

  • aiškiai apibrėžti, kas laikoma rimtu incidentu jūsų organizacijoje;

  • parengti incidentų reagavimo planą;

  • išbandyti bent vieną incidento valdymo pratybą.

Tokios pratybos leidžia realiai patikrinti, kaip veikia jūsų procesai ir ar komanda gebėtų reaguoti greitai bei koordinuotai.

6. Įsidiekite sistemą dokumentams ir įrodymams valdyti

Vienas iš dažniausių iššūkių – įrodyti, kad organizacija iš tikrųjų laikosi TIS2 reikalavimų.
Patikrinimų metu įmonės neretai susiduria su problema: dokumentai išskaidyti po įvairius failus, nėra aišku, kas juos atnaujino, o įrodymai nepatogiai prieinami.

Norint to išvengti, verta naudoti automatizuotą TIS2 valdymo įrankį, kuris leidžia:

  • generuoti dokumentus pagal patvirtintus šablonus;

  • centralizuotai valdyti rizikas, turtą ir tiekėjus;

  • matyti realią atitikties būseną.

Tokį sprendimą siūlo ir TrustGuru TIS2 platforma, leidžianti visus būtinus dokumentus ir registrus paruošti per kelias valandas, o ne savaites.

7. Apmokykite darbuotojus

TIS2 direktyva pabrėžia, kad kibernetinis saugumas yra ne tik technologijų, bet ir žmonių atsakomybė.
Iki metų pabaigos įmonės turėtų:

  • organizuoti bent vienus mokymus apie TIS2 ir kibernetinio saugumo higieną;

  • parengti naujų darbuotojų įvadinę saugumo programą;

  • atlikti praktines pratybas (pvz., el. laiškų sukčiavimo simuliaciją).

Darbuotojų sąmoningumo ugdymas yra viena pigiausių, bet efektyviausių priemonių rizikai sumažinti.

8. Apibendrinimas

Iki metų pabaigos įmonės, siekiančios užtikrinti TIS2 atitiktį, turėtų:

  • atlikti atitikties įsivertinimą;

  • paskirti atsakingus asmenis;

  • parengti pagrindinius dokumentus;

  • peržiūrėti tiekėjų sąrašą;

  • pasiruošti incidentų valdymui;

  • įsidiegti automatizavimo įrankius;

  • apmokyti darbuotojus.

Tai ne tik padės išvengti baudų ar rizikų, bet ir sustiprins organizacijos patikimumą, reputaciją bei atsparumą kibernetinėms grėsmėms.

9. Kaip viską įgyvendinti greičiau

TrustGuru.ai - tai automatizuotas TIS2 sprendimas, leidžiantis įmonėms per kelias valandas įgyvendinti pagrindinius kibernetinio saugumo reikalavimus.
Platformoje galima:

  • atlikti TIS2 įsivertinimą;

  • sugeneruoti visus dokumentus pagal NKSC patvirtintus šablonus;

  • sukurti rizikų ir turto registrus;

  • valdyti trečiąsias šalis ir įrodymus vienoje vietoje.