Norėdami teisingai užpildyti saugumo deklaraciją, pirmiausia peržiūrėkite pildymo schemą:

Atsisiųsti pildymo schemą.

Schema padės nustatyti, kuriuos deklaracijos punktus reikia pildyti būtent jūsų atveju.

Dažniausiai neaiškūs punktai 2.1 ir 2.2 papunkčiai (apie tiekėjus)

• 2.1 punktas pildomas – jei valdymo sistemos gamintojai, tiekėjai ar komponentų priežiūrą atliekantys asmenys (juos kontroliuojantys asmenys) nėra registruoti ar nuolat gyvenantys Lietuvos Respublikos nacionaliniam saugumui grėsmę keliančiose valstybėse.
• 2.2 punktas pildomas – jei bent vienas iš aukščiau nurodytų subjektų yra registruotas ar nuolat gyvena tokiose valstybėse.

Svarbu! Pildomas tik vienas iš šių punktų.

4.1.1 ir 4.1.2 papunkčiai (apie valdymo būdą)

• 4.1.1 punktas pildomas – jei valdymo sistema nėra prijungta prie išorinių duomenų perdavimo tinklų ir nenaudoja nuotolinio valdymo (išskyrus būtinus operatoriaus veiksmus), t. y. sistema veikia tik vietiniu (off-line) režimu.
• 4.1.2 punktas pildomas – jei valdymo sistema yra prijungta prie išorinių tinklų ar valdoma nuotoliniu būdu, tačiau nenaudoja išorinių nuotolinių paslaugų, kurias teikia asmenys, registruoti ar nuolat gyvenantys valstybėse, keliančiose grėsmę Lietuvos Respublikos nacionaliniam saugumui.

Svarbu! Pildomas tik vienas iš šių punktų.

Svarbu žinoti:

• Ne visi deklaracijos punktai turi būti pildomi – pildomi tik tie, kurie tinka jūsų situacijai. Kai kurie punktai yra alternatyvūs (pvz., 2.1 / 2.2 ir 4.1.1 / 4.1.2).
• Jei nesate tikri dėl tiekėjo ar paslaugos kilmės, rekomenduojama šią informaciją pasitikslinti su įrangos tiekėju.

Reikalavimas įsigaliojo nuo 2025-05-01.

Tai dokumentas, kuriuo patvirtinate, kad jūsų elektros energijos gamybos ir (ar) energijos kaupimo įrenginio valdymo sistema atitinka saugumo reikalavimą, numatyta Elektros energetikos įstatymo 73³ straipsnio 1 dalyje.  

Tai visuma įrangos ir programų, skirtų valdyti jūsų elektros energijos gamybos ir (ar) kaupimo įrenginių galios keitimo parametrus ir įjungti ar išjungti šiuos įrenginius: duomenų perdavimo įranga, valdikliai, nuotolinio valdymo įranga, valdymo stotys ir kt.  

Elektros energijos gamybos ir (ar) energijos kaupimo įrenginių, kurių įrengtoji galia didesnė nei 100 kW.  

Ji teikiama:  

• pateikiant prašymą atlikti techninį patikrinimą, įskaitant natūrinius bandymus (paleidimo derinimo darbus);  

• jei techninis vertinimas neatliekamas – kartu su rangovo deklaracija;  

• keičiant įrenginio įrengtąją galią, leistiną naudoti galią, didžiausią pajėgumą (Pmax), jei yra keičiama įrenginio valdymo sistemos struktūra, tinklo įrenginių konfigūracijos ir (ar) architektūra.  

Iki 2026-05-31 saugumo deklaraciją turi pateikti asmenys:  

• turintys iki 2025-04-30 išduotus leidimus gaminti ar generuoti;  

• kuriems šie leidimai nereikalingi, iki 2025-04-30 įrengę >100 kW elektrines ar kaupimo įrenginius (jei iki 2025-04-30 parengtas nuosavybės ribų aktas);

• iki 2025-04-30 pateikė paraiškas gauti prijungimo sąlygas, leidimus ar ketinimų protokolus.  

Jeigu asmuo kreipiasi dėl leidimo gaminti ar generuoti elektros energiją po 2026-05-01 – saugumo deklaracija turi būti pateikta iki prašymo gauti leidimą teikimo.  

Ne. Pildomi tik tie punktai, kurie atitinka realią situaciją. 

1.1 - 1.8  punktai yra privalomi visada, nes tai yra bendrieji reikalavimai. 

2.1 ir 2.2 punktuose pasirenkama tik vienas iš dviejų. Jei gamintojai nėra iš rizikingų valstybių, tuomet pildomas 2.1 ir tęsiama su 3 skyriumi, kai yra nuotolinė prieiga. Jei gamintojai yra iš rizikingų valstybių, tuomet pildomas 2.2 ir tęsiama su 4 skyriumi, o 3 skyrius netaikomas. 

5 skyrius pildomas visada. 

6 skyrius pildomas visada (jei yra IP jis nurodamas; jei nėra, nurodoma, kad “nėra”). 

Taip, auditas privalomas, kai elektrinės ir (ar) kaupimo įrenginio galia didesnė nei 100 kW.

Per 5 darbo dienas nuo prašymo gavimo.  

Taip. Operatoriui paprašius turite pateikti aktualų sąrašą visų, turinčių fizinę ar nuotolinę prieigą, ir turite raštu juos supažindinti su saugumo reikalavimais iki prieigos prie valdymo sistemos suteikimo bei saugoti tai įrodančius duomenis.  

Taip. ESO ar jos pavedimu veikianti trečioji šalis gali atlikti patikrinimus ir be išankstinio perspėjimo.  

Visus išorinius IP adresus, naudojamus valdymo sistemai ar nuotolinei prieigai.  

Jei iki 2026-05-31 nebus pateikta saugumo deklaracija (taikant pereinamąjį laikotarpį), apie tai bus informuota VERT.

Taip pat:

• Jei elektrinė jau prijungta – apie situaciją informuosime Valstybinę energetikos reguliavimo tarybą (VERT).
• Jei elektrinė dar neprijungta ir turėtų būti atliekami natūriniai bandymai, kreipsimės į VERT ir laikinai stabdysime prijungimo procesą.
• Jei natūriniai bandymai jūsų atveju neatliekami, kreipsimės į VERT ir neatnaujinsime nuosavybės ribų akto.

• 2.1 – jei valdymo sistemos gamintojai, tiekėjai ar komponentų priežiūrą atliekantys asmenys (juos kontroliuojantys asmenys) nėra registruoti ar nuolat gyvenantys Lietuvos Respublikos nacionaliniam saugumui grėsmę keliančiose valstybėse.  

• 2.2 – jei bent vienas iš aukščiau nurodytų subjektų yra registruoti ar nuolat gyvenantys Lietuvos Respublikos nacionaliniam saugumui grėsmę keliančiose valstybėse .  

Patikrinkite:  

• jų registracijos šalį;  

• savininkų (kontroliuojančių asmenų) registracijos šalį;  

• fizinių asmenų gyvenamąją vietą.  

Jei kyla abejonių – žymėkite 2.2 arba kreipkitės į tiekėją / gamintoją.  

Saugumo deklaracijoje nurodykite: „Išorinio IP adreso nenaudojame“. 

Ne. Su deklaracija turi būti pateikta ir kibernetinio saugumo audito ataskaita.  

Auditas turi įvertinti:  

• galimas kibernetines spragas;  

• sistemos konfigūraciją;  

• prieigos kontrolę;  

• ugniasienės veikimą;  

• tinklo architektūrą.  

Turi būti dokumentuoti ir nustatyti trūkumai, trūkumų pašalinimo planai ir jų ištaisymas.  

Ne. Vidiniame valdymo tinkle bevielės technologijos draudžiamos.  

Jei tai naujų įrenginių prijungimas, ESO grąžins saugumo deklaraciją tikslinti ir nepasirašys atitikties vertinimo ataskaitos ar neatnaujins nuosavybės ribų akto. Apie neatitiktį informuojama Valstybinė energetikos reguliavimo taryba (VERT).  

Jei deklaracija užpildyta neteisingai jau prijungtam įrenginiui, ESO informuos el. paštu apie neatitikimus tinklų naudotoją. Apie neatitiktį informuojama Valstybinė energetikos reguliavimo taryba (VERT).  

Taip. Jei keičiasi bet kokie saugumo deklaracijoje pateikti duomenys, turite pateikti atnaujintą saugumo deklaraciją.  

Pateikti atnaujintą saugumo deklaraciją. Audito atlikti nereikia. 

Kibernetinio saugumo auditą turi atlikti nepriklausomas auditorius, audito įmonė ar kita institucija, nesusijusi su įrenginio projektavimu ar priežiūra, kuri atitinka NKSC kibernetinio saugumo auditų atlikimo metodikoje nustatytus nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus, ir:  

• turi bent vieną iš šių auditorių sertifikatų: CompTIA CASP+, ISC2 CGRC, ISC2 ISSMP, ISC2 CISSP, GIAC GSNA, GIAC GSLC, ISACA CISA, ISACA CISM, ISACA CRISC, ISACA CGEIT, EC CCISO arba ISO 27001, 

Kartu su saugumo deklaracija turi būti pateikti dokumentai, įrodantys, kad kibernetinio saugumo auditą atliko šiuos reikalavimus atitinkantis asmuo ar institucija. 

Užpildytą deklaraciją ir audito ataskaitą pateikite čia.

Taip, galite.

Ne, tokiu atveju audito atlikti nereikia. 

Taip, deklaraciją ir audito ataskaitą reikia pateikti. 

Taip, deklaraciją ir audito ataskaitą reikia pateikti. 

Kvalifikuoto auditoriaus parengtas dokumentas įvertinantis kibernetinio saugumo rizikas ir keliamų reikalavimų įgyvendinimo faktą. 

Taip, audituojami objektai turi būti nurodyti ataskaitoje, įvertinta kiekvieno objekto atitiktis.  

ESO neatlieka rinkos tyrimo.  

Auditą reikia atlikti vieną kartą kas 3 metus.

Šie dokumentai turi būti teikiami kartu. 

Objekto savininkas gali šiuos darbus atlikti savo jėgomis arba pasirinkti išorinį paslaugų teikėją. 

Svarbu: pasirinktas specialistas ar įmonė negali būti susiję su į grėsmę keliančių valstybių sąrašu. 

Pildymui parsisiųskite saugumo deklaracijos šabloną - jį rasite čia. 

Taip. Visos nenaudojamos Valdymo sistemos prieigos (loginės ar fizinės) turi būti išjungtos. 
Jei techniškai neįmanoma jų išjungti programiškai, reikia taikyti kitas saugumo priemones, pavyzdžiui: 

• riboti fizinę prieigą prie patalpų ar spintų, 
• leisti jungtis tik patvirtintai įrangai, 
• taikyti kitas savininko pasirinktas apsaugos priemones. 

Svarbu, kad būtų užtikrinta tinkama sistemos apsauga. 

Ne. Valdymo sistema turi būti apsaugota unikaliais vartotojų vardais ir slaptažodžiais. 

Negalima naudoti nei gamyklinių (numatytųjų) vartotojų vardų, nei gamyklinių slaptažodžių – net jei slaptažodžiai buvo pakeisti. 

Ne. Prieiga prie Valdymo sistemos turi būti kontroliuojama. 
Trikampis raktas neužtikrina tinkamos prieigos kontrolės, todėl spintos ar patalpos turi būti rakinamos taip, kad: 

• raktai būtų išduodami tik įgaliotiems asmenims, 
• būtų aišku, kas ir kada turi prieigą. 

Turi būti paskirtas atsakingas asmuo arba paslaugos teikėjas, kuris rūpinasi: 

• Valdymo sistemos saugumu, 
• prieigų valdymu, 
• kibernetinių incidentų stebėsena ir sprendimu. 

Atsakingu asmeniu gali būti pats elektrinės savininkas. Tai nurodoma deklaracijos pateikimo metu. Jei pasirenkamas rangovas ar paslaugų teikėjas, jo atsakomybė turi būti apibrėžta raštu, o deklaracijoje nurodomas paskirtas asmuo ar įmonė. 

Visos nuotolinės prieigos turi būti: 

• dokumentuotos, 

• kontroliuojamos, 

• atsekamos. 

Tai reiškia, kad turi būti: 

• fiksuojami prisijungimų duomenys (data, laikas, vartotojas, IP adresas), 

• sudarytas naudotojų, turinčių nuotolinę prieigą, sąrašas, 

• nustatytos aiškios prieigos taisyklės ir apsauga (pvz., ugniasienė), 

• kaupiami žurnalai, leidžiantys atsekti veiksmus sistemoje.  

Taip. Prieš suteikiant prieigą (fizinę ar nuotolinę), asmenys turi būti raštu supažindinti su kibernetinio saugumo reikalavimais. 

Forma gali būti pasirinkta savininko nuožiūra:  

• atskiras susipažinimo dokumentas, 
• žurnalas, 
• kitas rašytinis patvirtinimas. 

Svarbu turėti įrodymą, kad supažindinimas buvo atliktas. 

Ne. Kibernetinio saugumo auditą turi atlikti nepriklausoma įmonė, nesusijusi su techninių saugumo priemonių diegimu ar palaikymu.