IT saugumo atitikties deklaravimas elektrinėms

Gamintojų ir tiekėjų rizikos vertinimas turi būti atliekamas ne anksčiau kaip prieš 6 mėnesius iki Deklaracijos pateikimo. Jis turi būti daromas periodiškai,
bet ne rečiau kaip kartą per metus. Šio vertinimo metu
vertinama atitinkamų gamintojų ir tiekėjų Valdymo sistemos naudojimo įtaka tinklų naudotojo veiklos,
susijusios su elektros energijos gamyba ir (ar) kaupimu, tęstinumui).

Elektrinės arba energijos kaupimo įrenginio patikros auditą gali atlikti tik toks tiekėjas (asmuo ar įmonė), kuris atitinka visus šiuos reikalavimus:

• Yra nepriklausomas: t. y. nėra susijęs su jūsų įrenginio projektavimu, įrengimu ar priežiūra;
• Turi tarptautinį informacinių sistemų saugumo atitikties auditoriaus sertifikatą, pvz.:
  • ISACA – CISA
  • ISC – CISSP
  • ISO/IEC 27001 Lead Auditor
• Yra:
  • Išklausęs Nacionalinio kibernetinio saugumo centro (NKSC) nustatytus mokymus;
  • Išlaikęs žinių ir praktinių įgūdžių patikrinimo egzaminą;
  • Atitinka NKSC metodikoje nustatytus nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus.

Dokumentus reikia pateikti iki 2026 m. gegužės 31 d. juos įkeliant per ESO formą.

Siekiama, kad Lietuvoje veikiančios didesnės galios elektrinės ar elektros įrenginiai nebūtų pažeidžiami ar nuotoliniu būdu valdomi iš šalių, kurios pagal Lietuvos nacionalinio saugumo strategiją kelia grėsmę.

IT saugumo kriterijų atitikimas padeda reikšmingai stiprinti Lietuvos energetikos sektoriaus kibernetinį atsparumą.

1. Saugumo deklaraciją
2. Naudojamos elektros energijos gamybos ir kaupimo įrenginių Valdymo sistemos komponentų sąrašą bei jų gamintojus
3. Valdymo sistemų duomenų perdavimo tinklo schemas; Ugniasienės gamintojus ir naudojamų licencijų pavadinimus
4. Aktualių asmenų, turinčių nuotolinę ir fizinę prieigą prie Valdymo sistemos, sąrašus

Audito neatlikimas šiuo atveju yra laikomas teisės aktų sąlygų pažeidimu ir įpareigojimų nevykdymu – iki 10% metinių pajamų bauda. Šaltinis: Sankcijos ir jų taikymo tvarka.