IT saugumo atitikties deklaravimas elektrinėms

Jeigu elektrinės (įskaitant hibridinės) ar energijos kaupimo įrenginio įrengtoji galia yra:

1. Didesnė nei 100 kW, bet mažensnė nei 5 MW, dokumentus reikia teikti ESO,  juos įkeliant per ESO formą.
2. Didesnė nei 5 MW, dokumentus teikti reikia Litgrid.

Gamintojų ir tiekėjų rizikos vertinimas turi būti atliekamas ne anksčiau kaip prieš 6 mėnesius iki deklaracijos pateikimo. Jis turi būti daromas periodiškai,
bet ne rečiau kaip kartą per metus. Šio vertinimo metu vertinama atitinkamų gamintojų ir tiekėjų Valdymo sistemos naudojimo įtaka tinklų naudotojo veiklos, susijusios su elektros energijos gamyba ir (ar) kaupimu, tęstinumui).

Valdymo sistemos kibernetinio saugumo auditas turi būti atliekamas ne anksčiau kaip prieš 6 mėnesius iki deklaracijos pateikimo. Jis turi būti daromas periodiškai,
bet ne rečiau kaip kartą per metus.

Elektrinės arba energijos kaupimo įrenginio patikros auditą gali atlikti tik toks tiekėjas (asmuo ar įmonė), kuris atitinka visus šiuos reikalavimus:

• Atitinka NKSC metodikoje nustatytus nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus;
• Yra išklausęs Nacionalinio kibernetinio saugumo centro (NKSC) nustatytus mokymus, skirtus kibernetinio saugumo auditoriams ir išlaikęs žinių ir praktinių įgūdžių patikrinimo egzaminą arba turi tarptautinį informacinių sistemų saugumo atitikties auditoriaus sertifikatą, pvz.:
  • ISACA – CISA
  • ISC – CISSP
  • ISO/IEC 27001 Lead Auditor

Dokumentus reikia pateikti iki 2026 m. gegužės 31 d.

Siekiama, kad Lietuvoje veikiančios didesnės galios elektrinės ar elektros įrenginiai nebūtų pažeidžiami ar nuotoliniu būdu valdomi iš šalių, kurios pagal Lietuvos nacionalinio saugumo strategiją kelia grėsmę.

IT saugumo kriterijų atitikimas padeda reikšmingai stiprinti Lietuvos energetikos sektoriaus kibernetinį atsparumą.

1. Saugumo deklaraciją
2. Naudojamos elektros energijos gamybos ir kaupimo įrenginių Valdymo sistemos komponentų sąrašą bei jų gamintojus
3. Valdymo sistemų duomenų perdavimo tinklo schemas
4. Ugniasienės gamintojus ir naudojamų licencijų pavadinimus
5. Aktualių asmenų, turinčių nuotolinę ir fizinę prieigą prie valdymo sistemos, sąrašus
6. Jeigu naudojami komponentai susiję su iš Lietuvai grėsmę keliančių valstybių, valdymo sistemos komponentų atnaujinimų diegimo žurnalus su kiekvieno atnaujinimo diegimo būtinumo vertinimu ir saugumo analize
7. Kitą informaciją, reikalingą atitikčiai Elektros energetikos įstatymo 73³  straipsnio 1 dalyje nurodytam reikalavimui ir įstatymo apraše nurodytoms šio reikalavimo įgyvendinimo sąlygoms pagrįsti

Audito neatlikimas šiuo atveju yra laikomas teisės aktų sąlygų pažeidimu ir įpareigojimų nevykdymu – iki 10% metinių pajamų bauda. Šaltinis: Sankcijos ir jų taikymo tvarka.