LIETUVOS RESPUBLIKOS
KIBERNETINIO SAUGUMO ĮSTATYMO NR. XII-1428 1, 2, 4, 6, 10, 15, 16, 18 STRAIPSNIŲ PAKEITIMO, 8 STRAIPSNIO PRIPAŽINIMO NETEKUSIU GALIOS IR ĮSTATYMO PAPILDYMO PRIEDU
ĮSTATYMAS
2017 m. gruodžio 19 d. Nr. XIII-920
Vilnius
1 straipsnis. 1 straipsnio pakeitimas
2 straipsnis. 2 straipsnio pakeitimas
Pakeisti 2 straipsnio 4 dalį ir ją išdėstyti taip:
„4. Kibernetinis incidentas – įvykis ar veika kibernetinėje erdvėje, sudarantys ar galintys sudaryti galimybę ar sąlygas neteisėtai prisijungti prie informacinės sistemos, elektroninių ryšių tinklo ar pramoninių procesų valdymo sistemos, sutrikdyti ar pakeisti, įskaitant valdymo perėmimą, informacinės sistemos, elektroninių ryšių tinklo ar pramoninių procesų valdymo sistemos veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, taip pat sudaryti sąlygas pasisavinti ar kitaip panaudoti neviešą elektroninę informaciją tokios teisės neturintiems asmenims.“
3 straipsnis. 4 straipsnio pakeitimas
Pakeisti 4 straipsnį ir jį išdėstyti taip:
„4 straipsnis. Kibernetinio saugumo politikos formavimo ir įgyvendinimo institucijos
1. Kibernetinio saugumo politikos strateginius tikslus ir jiems pasiekti būtinas priemones nustato Lietuvos Respublikos Vyriausybė.
2. Kibernetinio saugumo politiką formuoja, jos įgyvendinimą organizuoja, kontroliuoja ir koordinuoja Lietuvos Respublikos krašto apsaugos ministerija. Nacionalinis kibernetinio saugumo centras, Valstybinė duomenų apsaugos inspekcija ir Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Policijos departamentas) formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek šiame įstatyme nustatytoms funkcijoms atlikti reikia nustatyti viešojo administravimo subjektų, valdančių valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų veiklos teisinį reguliavimą.
4 straipsnis. 6 straipsnio pakeitimas
1. Papildyti 6 straipsnį nauju 7 punktu:
6 straipsnis. 10 straipsnio pakeitimas
1. Pakeisti 10 straipsnio 2 dalies pirmąją pastraipą ir ją išdėstyti taip:
„2. Nacionalinis kibernetinio saugumo centras, įgyvendindamas kibernetinio saugumo politiką ir vykdydamas valstybės informacinių išteklių ir ypatingos svarbos informacinių infrastruktūrų, viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinių incidentų valdymo padalinio veiklą:“.
2. Pakeisti 10 straipsnio 2 dalies 1 punktą ir jį išdėstyti taip:
„1) rengia ir teikia pasiūlymus krašto apsaugos ministrui dėl organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų valstybės informaciniams ištekliams ir ypatingos svarbos informacinei infrastruktūrai, viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų teikėjams;“.
3. Pakeisti 10 straipsnio 2 dalies 4 punktą ir jį išdėstyti taip:
4. Pakeisti 10 straipsnio 2 dalies 10 punktą ir jį išdėstyti taip:
„10) laikydamasis krašto apsaugos ministro nustatytos tvarkos, reaguoja į kibernetinius incidentus valstybės informaciniuose ištekliuose, ypatingos svarbos informacinėse infrastruktūrose, viešuosiuose ryšių tinkluose, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų teikimo infrastruktūrose;“.
5. Papildyti 10 straipsnio 2 dalį nauju 11 punktu:
6. Papildyti 10 straipsnio 2 dalį nauju 12 punktu:
„12) Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinio saugumo užtikrinimo taisyklėse nustatyta tvarka praneša kitų Europos Sąjungos valstybių narių nacionalinėms reguliavimo institucijoms, Europos tinklų ir informacijos apsaugos agentūrai ir visuomenei apie šiose taisyklėse nurodytus viešojo ryšių tinklo ar jo dalies, viešųjų elektroninių ryšių paslaugų kibernetinius incidentus, turinčius didelę įtaką šių tinklų veikimui arba viešųjų elektroninių ryšių paslaugų teikimui; kaupia informaciją apie viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjų pranešimus apie šiuos incidentus ir įvykdytus veiksmus ir kiekvienais metais pateikia apibendrintą informaciją Europos Komisijai ir Europos tinklų ir informacijos apsaugos agentūrai;“.
8. Pakeisti 10 straipsnio 3 dalies 4 punktą ir jį išdėstyti taip:
„4) duoti privalomus nurodymus, susijusius su kibernetinio saugumo užtikrinimu, ir nustatyti šių nurodymų įvykdymo terminą viešojo administravimo subjektams, valdantiems ir (arba) tvarkantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų teikėjams. Nacionalinio kibernetinio saugumo centro nurodymai turi būti motyvuoti ir proporcingi tikslui pasiekti;“.
9. Papildyti 10 straipsnio 3 dalį nauju 5 punktu:
„5) reikalauti, kad viešųjų ryšių tinklų ar viešųjų elektroninių ryšių paslaugų teikėjai savo lėšomis atliktų nepriklausomą viešųjų ryšių tinklų ar viešųjų elektroninių ryšių paslaugų saugumo auditą ir pateiktų šio audito rezultatus, jei jie Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinio saugumo užtikrinimo taisyklėse nustatyta tvarka nepateikia techninės informacijos, reikalingos viešųjų ryšių tinklų ar viešųjų elektroninių ryšių paslaugų kibernetinio saugumo būsenai įvertinti;“.
11. Pakeisti 10 straipsnio 3 dalies 7 punktą ir jį išdėstyti taip:
„7) siekdamas stabdyti kibernetinio incidento poveikį valstybės informacinių išteklių ar ypatingos svarbos informacinių infrastruktūrų kibernetiniam saugumui, be teismo sankcijos duoti motyvuotą nurodymą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams laikinai, bet ne ilgiau negu 48 valandoms, apriboti viešųjų elektroninių ryšių paslaugų teikimą šių paslaugų gavėjui; Nacionalinis kibernetinio saugumo centras apie viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams pagal šį punktą duotus nurodymus ne vėliau kaip kitą darbo dieną informuoja Lietuvos Respublikos ryšių reguliavimo tarnybą;“.
7 straipsnis. 15 straipsnio pakeitimas
Pakeisti 15 straipsnį ir jį išdėstyti taip:
„15 straipsnis. Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjų pareigos
Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų teikėjai privalo:
1) viešai skelbti paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis viešųjų ryšių tinklų ar viešųjų elektroninių ryšių paslaugų teikėjų teikiamomis paslaugomis;
2) įgyvendinti kibernetinio saugumo užtikrinimo technines ir organizacines priemones, nustatytas Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinio saugumo užtikrinimo taisyklėse, prireikus imtis reikiamų priemonių kibernetiniam saugumui užtikrinti. Šios priemonės turi užtikrinti kilusią grėsmę atitinkantį saugumo lygį ir užkirsti kelią kibernetiniams incidentams arba sumažinti jų poveikį viešiesiems ryšių tinklams ir viešųjų elektroninių ryšių paslaugų gavėjams;
3) Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinio saugumo užtikrinimo taisyklėse nustatyta tvarka ir sąlygomis teikti Nacionaliniam kibernetinio saugumo centrui informaciją apie šiose taisyklėse nurodytus kibernetinius incidentus, taikytas šių incidentų valdymo priemones ir techninę informaciją, reikalingą viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų kibernetinio saugumo būsenai įvertinti;
4) Nacionalinio kibernetinio saugumo centro reikalavimu, kai yra šio įstatymo 10 straipsnio 3 dalies 5 punkte nurodytos aplinkybės, savo lėšomis atlikti nepriklausomą viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo auditą ir pateikti šio audito rezultatus. Šį auditą atlieka tarptautinių organizacijų sertifikuoti auditoriai;
5) teikti Valstybinei duomenų apsaugos inspekcijai informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones šios institucijos nustatyta tvarka ir sąlygomis;
6) policijos generalinio komisaro nustatyta tvarka ir sąlygomis teikti policijai informaciją, reikalingą teisės pažeidimams, galimai turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti, ir vykdyti kitus policijos nurodymus, duotus šio įstatymo ar kitų teisės aktų nustatytais pagrindais. Policijos nurodymus dėl paslaugų teikimo jų gavėjui apribojimo privaloma įvykdyti ne vėliau kaip per 8 valandas nuo policijos nurodymo gavimo;
8 straipsnis. 16 straipsnio pakeitimas
Pakeisti 16 straipsnį ir jį išdėstyti taip:
„16 straipsnis. Elektroninės informacijos prieglobos paslaugų teikėjų pareigos
Elektroninės informacijos prieglobos paslaugų teikėjai privalo:
1) įgyvendinti kibernetinio saugumo užtikrinimo technines ir organizacines priemones, nustatytas Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinio saugumo užtikrinimo taisyklėse, kiek tai susiję su jų teikiamomis paslaugomis, prireikus kartu su viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjais imtis reikiamų priemonių kibernetiniam saugumui užtikrinti. Šios priemonės turi užtikrinti kilusią grėsmę atitinkantį saugumo lygį ir užkirsti kelią kibernetiniams incidentams arba sumažinti jų poveikį elektroninės informacijos prieglobos paslaugų gavėjams;
2) viešai skelbti elektroninės informacijos prieglobos paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis elektroninės informacijos prieglobos paslaugomis;
3) Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų kibernetinio saugumo užtikrinimo taisyklėse nustatyta tvarka ir sąlygomis teikti Nacionaliniam kibernetinio saugumo centrui informaciją apie šiose taisyklėse nurodytus kibernetinius incidentus, taikytas šių incidentų valdymo priemones ir techninę informaciją, reikalingą elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būsenai įvertinti;
4) policijos generalinio komisaro nustatyta tvarka ir sąlygomis teikti policijai informaciją, reikalingą teisės pažeidimams, galimai turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti, ir vykdyti kitus policijos nurodymus, duotus šio įstatymo ar kitų teisės aktų nustatytais pagrindais. Policijos nurodymus dėl paslaugų teikimo jų gavėjui apribojimo privaloma įvykdyti ne vėliau kaip per 8 valandas nuo policijos nurodymo gavimo;
9 straipsnis. 18 straipsnio pakeitimas
Pakeisti 18 straipsnį ir jį išdėstyti taip:
„18 straipsnis. Tarpinstitucinis bendradarbiavimas tiriant kibernetinius incidentus
1. Nacionalinis kibernetinio saugumo centras, Policijos departamentas ir kitos policijos įstaigos bendradarbiauja tiriant kibernetinius incidentus, keičiasi su kibernetinių incidentų tyrimais susijusia informacija, reikalinga institucijų pagal kompetenciją vykdomoms funkcijoms atlikti. Prireikus apie kibernetinių incidentų tyrimą gali būti informuojami kiti kriminalinės žvalgybos subjektai ir (arba) žvalgybos institucijos.
2. Valstybinė duomenų apsaugos inspekcija bendradarbiauja su Nacionaliniu kibernetinio saugumo centru tiriant kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, keičiasi informacija, reikalinga teisės aktų nustatytoms funkcijoms, susijusioms su kibernetinių incidentų, pažeidžiančių asmens duomenų saugumą, tyrimu, atlikti.
10 straipsnis. Įstatymo papildymas priedu
Papildyti Įstatymą priedu:
„Lietuvos Respublikos
kibernetinio saugumo įstatymo
priedas
ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI
1. 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyva 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 349) su paskutiniais pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (OL 2009 L 337, p. 37).“
11 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas