Apie KSRA
Paskutinį kartą atnaujinta: 2026 m. balandžio 19 d.
KSRA — tai Kibernetinio saugumo reikalavimų aprašas, patvirtintas 2024 m. lapkritį Nacionalinės kibernetinio saugumo centro (NKSC). Jis nurodo konkrečius reikalavimus, kuriuos turi įgyvendinti visos įmonės ir organizacijos, įtrauktos į Kibernetinio saugumo subjektų registrą.
Kam KSRA taikomas?
NKSC registruoja subjektus į dvi kategorijas:
- Esminiai subjektai— stambūs (>250 darbuotojų arba >50 mln. EUR apyvartos) operatoriai kritinėse srityse: energetika, transportas, bankai, sveikata, viešasis sektorius
- Svarbūs subjektai — vidutiniai (50–250 darbuotojų arba 10–50 mln. EUR) operatoriai panašiose srityse, plius IT paslaugų tiekėjai
Kaip sužinoti, ar esate įtraukti? NKSC siuntė laiškus 2024 m. pabaigoje ir 2025 m. pradžioje. Jei gavote laišką su tema „Įtraukimas į Kibernetinio saugumo subjektų registrą" — jums taikomas KSRA.
Kada reikia įgyvendinti?
- 12 mėnesių nuo įtraukimo — organizacinius reikalavimus (politika, atsakomybė, mokymai, rizikos valdymas)
- 24 mėnesiai nuo įtraukimo — techninius reikalavimus (MFA, šifravimas, patch management, incidentų valdymas, atsarginės kopijos)
Tipinė įmonė, įtraukta 2025 m. sausį, turi:
- Organizacinius — iki 2026-01
- Techninius — iki 2027-01
Kas gresia neįgyvendinus?
Pagal Kibernetinio saugumo įstatymą (KSĮ):
- Baudos iki 10 mln. EUR arba 2% metinės apyvartos (didesnė iš dviejų)
- Privalomas saugumo auditas NKSC sąskaita (nepalanku)
- Vadovų asmeninė atsakomybė už didelius incidentus
- Reputacijos rizika — NKSC skelbia sankcijas viešai
8 pagrindiniai KSRA reikalavimų blokai
1. Valdymas (KSRA 20–25)
Organizacijoje turi būti paskirtas atsakingas asmuo (CISO ar saugos įgaliotinis) su aiškiais ištekliais ir įgaliojimais. Patvirtintas politikos dokumentas. Vadovo mokymai.
2. Rizikos valdymas (KSRA 26–30)
Reguliari rizikų analizė, rizikų registras, mitigacijos planas. Peržiūra ne rečiau kaip kartą per metus.
3. Žmogiškieji ištekliai (KSRA 45–55)
Kibernetinės higienos mokymai visiems darbuotojams (bent kartą per metus). Phishing pratybos. Incidentų pranešimo kultūra.
4. Tiekimo grandinė (KSRA 33–38)
IT paslaugų tiekėjų saugumo vertinimas (prieš sutartį ir reguliariai). Kibernetinio saugumo reikalavimai sutartyse. Žemiausių privilegijų principas.
5. Prieigos kontrolė (KSRA 60–63)
MFA visoms paskyroms (ne tik admin). Stipri slaptažodžių politika (12+ simbolių). Prieigos teisių registras ir ketvirtinė peržiūra.
6. Kriptografija (KSRA 65–67)
Duomenų šifravimas saugojimo (at-rest) ir perdavimo metu (TLS 1.2+). Aiški kriptografinių raktų valdymo tvarka.
7. Tinklo ir sistemų saugumas (KSRA 70–72)
Saugumo pataisymai per 72 val. nuo kritinių CVE išleidimo. Tinklo segmentacija. End-point apsauga (EDR/antivirus) centralizuotai valdoma.
8. Incidentų valdymas (KSRA 8 skirsnis)
Parengtas incidentų valdymo planas. Pranešimas NKSC per 24 val. (pirminis) + 72 val. (detalus). Reguliarūs tabletop exercise. Atsarginės kopijos (3-2-1 principas, bent dalis offline / air-gapped).
Kaip AETHER padeda?
AETHER auditas yra struktūruotas KSRA atitikties peržiūros procesas:
- Klausimynas — 30 MVP klausimų (išplečiami iki 150+) pagal aukščiau nurodytus 8 blokus
- Techninis skenavimas (neprivalomas) — nmap, SSL/TLS, žinomi CVE. Padeda objektyviai įvertinti 7-ojo bloko (tinklo saugumo) reikalavimus
- AI rekomendacijos — konkrečios, su KSRA punkto nuorodomis, prioritetais ir sąnaudomis
- Specialisto peržiūra — žmogus tikrina kiekvieną rekomendaciją
- Ataskaita PDF — lietuvių kalba, 12 mėn. veiksmų planas
Rezultatas — nebijote NKSC patikrinimo, nes turite dokumentuotą įgyvendinimo planą su datomis.
Oficialūs šaltiniai
- NKSC svetainė — oficialus KSRA tekstas, atnaujinimai, DUK
- e-Seimas — Kibernetinio saugumo įstatymas (KSĮ)
- NIS2 Direktyva — ES pagrindas KSĮ/KSRA
Pasirengęs pradėti?
Užsiregistruok nemokamai arba parašyk mums, jei turi klausimų.