SEA Saulės elektrinių auditas
Pagrindinė paslauga

Kibernetinio saugumo auditas saulės elektrinėms

Nepriklausomas auditas saulės elektrinėms ir energijos kaupimo įrenginiams, kai svarbi ne tik atitiktis, bet ir aiškus procesas.

Kada auditas aktualus

Saugumo deklaravimo prievolė taikoma elektrinėms ir energijos kaupimo įrenginiams, kurių įrengtoji galia didesnė nei 100 kW. Pagal VERT 2026-04-30 nutarimo Nr. O3-470 (PETA naujoji redakcija) 191.8 p., auditas kartojamas ne rečiau kaip kartą per 3 metus, terminą skaičiuojant nuo deklaracijos pateikimo.

  • Objektams, kurių galia didesnė nei 100 kW
  • Naujai statomiems objektams ir jau veikiantiems objektams pagal pereinamąją tvarką
  • Objektams, kurių deklaracija ir audito ataskaita turi būti teikiamos kartu

Trumpa orientacija

Galiojanti redakcijaVERT 2026-04-30 nutarimas Nr. O3-470 (PETA). Pakeitė ankstesnį Nr. O3E-1741.
Esamų objektų terminasDeklaracija turi būti pateikta iki 2026-05-31 (PETA naujosios redakcijos 13 priedo 3 str.).
Audito kartojimasNe rečiau kaip kartą per 3 metus (191.8 p.).
Kritinių spragų šalinimasPer 5 kalendorines dienas (191.10 p.).
Ar užtenka suplanuoto audito?Ne. Audito ataskaita turi būti pateikta kartu su deklaracija.
Ką tikriname

Ką apima auditas

Remiamės tuo, ką ESO DUK įvardija kaip audito turinį, ir praktiškai išplečiame vertinimą tiek, kiek reikia jūsų objekto architektūrai suprasti.

Valdymo sistema

Įvertiname valdiklius, nuotolinio valdymo įrangą, duomenų perdavimo įrangą, valdymo stotis ir kitus valdymo sistemos komponentus.

Tinklo architektūra

Peržiūrime tinklo segmentavimą, prieigas, išorinius IP, ugniasienės veikimą ir duomenų srautus.

Prieigos kontrolė

Vertiname naudotojų, tiekėjų, nuotolinės ir fizinės prieigos logiką bei priklausomybes nuo išorinių paslaugų.

Ką klientas gauna

  • Nepriklausomą audito ataskaitą
  • Aiškiai išskirtas stipriąsias vietas ir neatitikimus
  • Pagrindą tolesnei deklaravimo eigai

Ką svarbu suprasti iš anksto

Auditas nėra tas pats, kas priemonių diegimas. Jeigu po audito reikia papildomų techninių ar organizacinių darbų, jie vykdomi atskiru etapu, kad išliktų aiški atsakomybė ir audito nepriklausomumas.

Apimtis detaliau

Ką konkrečiai vertiname kiekvienoje srityje

Trys pagrindinės sritys (valdymo sistema, tinklo architektūra, prieigos kontrolė) detaliau išskaidomos į konkrečius klausimus. Tai padeda klientui iš anksto suprasti, kokios informacijos ir dokumentų prireiks audito metu.

Valdymo sistema

  • Inverterių, valdiklių, ryšio modulių sąrašas su gamintojais ir programinės įrangos versijomis
  • Bevielių modulių statusas — ar Wi-Fi/Bluetooth išjungti valdymo tinkle (PETA 191.3 reikalavimas)
  • Komunikacijos kanalai su ESO ir, jei taikoma, gamintojo monitoringo platforma
  • Valdymo sistemos atskyrimas nuo kitų tinklų — biuro, gamybos, viešųjų Wi-Fi (PETA 191.9 segmentavimas)
  • Atnaujinimų valdymas — kaip diegiamos saugumo pataisos, ar yra dokumentuotas procesas (PETA 193.2.1)

Tinklo architektūra

  • Tinklo schema — kaip įrenginiai sujungti, kur yra interneto sąsaja
  • Ugniasienės (firewall) taisyklės — kurie srautai leidžiami, kurie blokuojami
  • Naudojami protokolai (Modbus, MQTT, HTTPS) — ar pakankamai apsaugoti
  • Išoriniai IP adresai — kurie priklauso valdymo sistemai, ar yra apribojimai
  • Dviejų faktorių autentifikavimas (MFA) prie viešų sąsajų — PETA 192.4
  • Šifravimas (TLS) išorinių sąsajų komunikacijoms — PETA 192.3

Prieigos kontrolė

  • Vartotojų sąrašas — kas turi prieigą, kokio lygio teisės
  • Slaptažodžių politika — ar nėra gamyklinių (default) slaptažodžių (PETA 191.4)
  • Nuotolinės prieigos — leidžiamų IP arba FQDN sąrašas (whitelist), prieigos žurnalai
  • Fizinė prieigos kontrolė — patalpų ir spintų rakinimas, raktų apskaita (PETA 191.5)
  • Tiekėjų ir priežiūros teikėjų prieigos modelis — kada atidaroma, kaip uždaroma
  • Geografinė prieigos kontrolė — ar užkirstas kelias prisijungimui iš grėsmės šalių (PETA 192.5)

Dokumentacija ir žurnaliniai įrašai

  • Atsakingo asmens paskyrimas — įsakymas arba sutartis (PETA 191.6)
  • Vidaus tvarkos — atnaujinimų valdymas, prieigos suteikimas, incidentų reagavimas
  • Žurnalai — kas fiksuojama, kiek laiko saugoma, kas peržiūri (PETA 191.8.1)
  • Tiekėjų rizikos vertinimas — taikoma, jei yra grėsmės šalies (pvz., Kinijos) tiekėjų (PETA 193.2.2)
  • 8 privalomi dokumentai parengtumui pagal PETA 199 punktą
Procesas

Kaip vyksta darbas

Darbo eigą suskirstome į aiškius etapus, kad nuo pirmo pokalbio būtų suprantama audito apimtis, reikalingi dokumentai ir tolesni žingsniai.

1. Pirminis įvertinimas

Surinkome pagrindinę informaciją apie objektą, galią, gamintojus ir architektūrą.

2. Dokumentų ir schemų peržiūra

Peržiūrime tai, kas jau yra, ir pasižymime, ko gali trūkti prieš auditą.

3. Auditas

Atliekame vertinimą pagal objekto situaciją ir taikomus reikalavimus.

4. Ataskaita ir tolesni žingsniai

Pateikiame ataskaitą ir, jei reikia, aptariame kitą etapą atskiros paslaugos rėmuose.

Po audito

Audito ataskaita ir tolesni žingsniai

Po audito klientas gauna struktūrizuotą ataskaitą. Ji tampa pagrindiniu dokumentu, pridedamu prie ESO saugumo deklaracijos.

Ataskaitos turinys

  • Audituoto objekto aprašymas — adresas, galia, valdymo sistemos sandara
  • Atitikties santrauka — kurie reikalavimai įgyvendinti, kurie ne
  • Nustatyti pažeidžiamumai (jei yra) su pavojingumo lygiu (CVSS)
  • Siūlymai pažeidžiamumams pašalinti arba kompensuoti
  • Auditoriaus duomenys ir kvalifikacijų sąrašas

Galimi tolesni scenarijai

  • Pilna atitiktis — ataskaita pateikiama su deklaracija, jokių papildomų darbų nereikia
  • Mažesni neatitikimai — pašalinami iki deklaracijos pateikimo (pvz., dokumentacijos paruošimas)
  • Nepataisomi pažeidžiamumai — taikomi kompensacinių priemonių sprendimai pagal PETA 191.7
  • Kritinės spragos su interneto sąsaja — šalinamos per 5 kalendorines dienas pagal PETA 191.10

Periodinis auditas. Pagal VERT 2026-04-30 nutarimą Nr. O3-470 (191.8 p.), auditas kartojamas ne rečiau kaip kartą per 3 metus nuo deklaracijos pateikimo. Tarp auditų atsiradę pažeidžiamumai šalinami pagal nustatytą politiką (191.8.3 p.).

Oficialūs šaltiniai

VERT 2026-04-30 nutarimas Nr. O3-470 (PETA) — pilnas tekstas e-tar.lt ESO DUK: saugumo atitikties deklaravimas (elektrinės virš 100 kW) ESO informacija verslui apie deklaravimo procesą ESO: deklaracijos forma ir priedų sąrašas

Kada kreiptis

Geriausias laikas užklausai – kai dar galima tvarkingai susidėlioti architektūrą, dokumentus ir audito eigą be nereikalingos skubos.

Pateikti užklausą
Susiję straipsniai

VERT 2026-04-30 pakeitimai

Pagrindinių PETA naujosios redakcijos pakeitimų apžvalga ir mitai.

Skaityti straipsnį

Kaip dažnai kartoti auditą?

Pagal naują VERT — ne rečiau kaip kartą per 3 metus. Kaip planuoti.

Skaityti straipsnį

Audito ataskaita su neatitikimais

Trumpas atsakymas — kodėl 12 mėn. tolerancijos kibernetiniam saugumui nėra.

Skaityti straipsnį

Kompensacinės priemonės

Ką realiai daryti, kai pažeidžiamumai negali būti pašalinti.

Skaityti straipsnį

5 dienų CVE taisyklė

Kritinės spragos su interneto sąsaja — PETA 191.10 detali analizė.

Skaityti straipsnį

Ar privalomas auditas?

Kada saulės elektrinei taikoma >100 kW audito prievolė.

Skaityti straipsnį
Susiję puslapiai

Paslaugos ir etapai

Peržiūrėkite, kaip atskiriame auditą, konsultacijas ir įgyvendinimo pagalbą.

Atidaryti puslapį

Kas gali atlikti auditą

Paaiškiname nepriklausomumo principą ir profesionalius sertifikatus.

Atidaryti puslapį

Žinių bazė ir DUK

Atrinkti ESO DUK ir praktiniai klausimai prieš deklaravimą.

Atidaryti puslapį