Atsižvelgdamas į vis didėjantį poreikį užtikrinti nuoseklų ir aukštos kokybės kibernetinio saugumo rizikos valdymą, Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC), vykdydamas jam pavestas funkcijas ir siekdamas stiprinti nacionalinį kibernetinį atsparumą, inicijavo šios metodikos rengimą. Ši kibernetinio saugumo rizikos vertinimo metodika parengta remiantis standartais ISO/IEC 27005:2022, „BSI Standard 200-3“, „NIST SP 800-30 Revision 1“, „ENISA Risk Management Guidelines“, metodikomis ir rinkos tyrimais, įskaitant Europos Sąjungos šalių (Belgijos, Vokietijos, Slovakijos) tyrimus, Jungtinės Karalystės ir Singapūro partnerių kibernetinio saugumo vertinimo tyrimą, taip pat Lietuvoje atliktą būsimų Lietuvos Respublikos kibernetinio saugumo subjektų kibernetinio saugumo rizikos valdymo ir kibernetinio saugumo brandos lygio tyrimą. Ši metodika parengta atsižvelgiant į nacionalinius ir tarptautinius teisės aktus, reglamentuojančius kibernetiniam saugumui kylančios rizikos (toliau – rizikos) valdymą, įskaitant: • 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyvą (ES) 2022/2555 dėl aukšto bendro kibernetinio saugumo lygio visoje Sąjungoje (NIS2 direktyva); • Kibernetinio saugumo įstatymo Nr. XII-1428 pakeitimo įstatymą (2024 m. liepos 11 d. Nr. XIV-2902); • Kibernetinio saugumo reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ pakeitimo“; • kitus galiojančius poįstatyminius teisės aktus, susijusius su rizikos valdymu viešajame ir privačiame sektoriuose. Šioje metodikoje aprašomas rizikos valdymo procesas, pritaikytas mažo ir vidutinio dydžio organizacijoms, nepriklausomai nuo jų tipo ar sektoriaus. Organizacija turi aiškiai nustatyti ir patvirtinti taikomą rizikos vertinimo metodiką. Organizacija gali pritaikyti šią metodiką pagal savo poreikius, tačiau visi pakeitimai turi būti dokumentuoti, pagrįsti ir patvirtinti vadovybės. Pasirinkta metodika turi užtikrinti efektyvų rizikos valdymo procesą, atitinkantį organizacijos specifiką ir teisinius reikalavimus.