PASIŪLYMAS

DĖL LIETUVOS RESPUBLIKOS VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ

VALDYMO ĮSTATYMO NR. XI-1807 1, 3, 4, 5, 6, 18, 22, 30, 39, 43², 43³ STRAIPSNIŲ

PAKEITIMO IR 7 STRAIPSNIO PRIPAŽINIMO NETEKUSIU GALIOS

 ĮSTATYMO PROJEKTO NR. XIVP-1459(2)

 

2022-04-15

Vilnius

 

 

Siūloma keisti

 

Pasiūlymo turinys

 

 

Straipsnis

Straipsnio dalis

Punktas

12

 

 

Argumentai:

Seimo narių Luko Savicko ir Andriaus Kupčinsko 2022 m. balandžio 5 d. pateiktame pasiūlyme „Dėl Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo Nr. XI-1807 1, 3, 4, 5, 6, 7, 18, 22, 30, 39, 43(2) ir 43(3) straipsnių pakeitimo įstatymo projekto Nr. XIVP-1459“ siūloma nuo 2023 m. sausio 1 d. VIIVĮ įtvirtinti prievolę Saugiojo tinklo naudotojams visų jų valdomų serverių ir (arba) kitą registrų ir valstybės bei kitų informacinių sistemų įrangą ir duomenis laikyti duomenų centruose, esančiuose Lietuvos Respublikoje, Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ar Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse. Toks siūlomas teisinis reguliavimas suponuotų situaciją, kad visi valstybės informaciniai ištekliai,, įskaitant ir ypatingos svarbos valstybės informacinius išteklius, galėtų būti saugomi privačiuose duomenų centruose bei debesijoje, o tai gali kelti grėsmę valstybės informacinių išteklių ir duomenų saugumui, nes nesudarius galimybių valstybei tinkamai pasiruošti valstybės duomenų centrų veiklai, nelieka praktinių galimybių prireikus susigražinti valstybės duomenis, informacines sistemas ir registrus iš privačių duomenų centrų atgal. Pasiūlymas bent vieną duomenų kopiją saugoti Lietuvos Respublikoje įrengtame duomenų centre neišsprendžia svarbiausių registrų, valstybės ir kitų informacinių sistemų  veiklos atkūrimo klausimų, nes įvykus incidentui ir nepasiekus NATO, ES ir EEE valstybėse veikiančių duomenų centruose esančių serverių ir (arba) kitos registrų ir valstybės bei kitų informacinių sistemų įrangos ir duomenų, vien duomenų kopijos nepakaks registrų ir valstybės bei kitų informacinių sistemų veiklai atkurti. Svarbu pažymėti, kad siūlymas įtvirtinti reikalavimą, kad duomenų centrai atitiktų Vyriausybės ar jos įgaliotos institucijos patvirtintus techninius kibernetinio saugumo reikalavimus, nacionalinio saugumo interesus, įneša painiavos ir dviprasmybių, kadangi duomenų centrams turi būti keliami techniniai ir organizaciniai reikalavimai, kurių reguliavimas priskirtinas Ekonomikos ir inovacijų ministerijai, bei kibernetinio saugumo reikalavimai, kurių reguliavimas priskirtinas Krašto apsaugos ministerijai. Be to, siūlomiems pokyčiams pasiruošti reikėtų bent dviejų metų, per kuriuos būtų sukurtas naujas valstybės informacinių išteklių ir kibernetinės saugumo valdymo modelis, pasirengta naudoti privačių debesijos paslaugų teikėjų teikiamas debesijos paslaugas, suplanuotos ir skirtos tam reikalingos lėšos, įgyta reikalinga viešojo sektoriaus specialistų kvalifikacija; tad pasiūlymas vos po pusmečio pradėti naudotis privačiais duomenų centrais bei debesija yra pernelyg skubotas ir neįgyvendinamas.

Siekiant tinkamai suvaldyti galimas rizikas ir pradėti saugiai naudotis privačiais duomenų centrais ir debesija, teikiamas šis pasiūlymas, kuriame būtų įtvirtinami šie pokyčiai:

1.       Didesnis valstybės duomenų saugumas, įgyvendinant hibridinės infrastruktūros taikymo modelį, išlaikant tiek valstybinių duomenų centrų vaidmenį, tiek atveriant galimybes naudotis privačiais duomenų centrais bei debesijos technologijomis.

2.       Užtikrinamas valstybės institucijų veiklos nepertraukiamumas, esant nenumatytoms aplinkybėms – sukuriama Skaitmeninė ambasada ir sukuriamas realus teisinis pagrindas ja naudotis.

3.       Sistemingas, nuoseklus ir neskubotas pasiruošimas naujoms technologijoms – tam įstatyme numatomi konkretūs žingsniai, kaip ir kas turėtų būti daroma, kad būtų užtikrintas maksimalus sprendimų saugumas ir pasiruošimas jiems.

4.       Valstybės informaciniai ištekliai bus klasifikuojami atsižvelgiant į duomenų svarbą, o ne instituciją. Ištekliai bus skirstomi į ypatingos svarbos, svarbius, vidutinės svarbos ir mažos svarbos, pagal jų klasifikavimą bus nusprendžiama, kur jie turėtų būti saugomi. Svarbos įvertinimo tvarką tvirtintų Vyriausybė, o Ekonomikos ir inovacijų ministerija - tvirtintų Valstybės informacinių išteklių svarbos įvertinimo metodiką.

5.       Užtikrinami aukšti standartai privatiems duomenų centrams – privatiems duomenų centrams bus keliami aukšti, tokie patys, kaip ir valstybiniams duomenų centrams, kriterijai (juos tvirtins Ekonomikos ir inovacijų ministerija, susiderinusi su atitinkamomis institucijomis).

6.       Aiškiai apibrėžiama duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, reikalavimai ir valstybiniams duomenų centrams, ir verslo valdomiems privatiems duomenų centrams keliami vienodi techniniai ir organizaciniai reikalavimai, kuriuos tvirtins Ekonomikos ir inovacijų ministerija. Kibernetinio saugumo reikalavimai, kurie keliami valstybiniams ir privatiems duomenų centrams, bus tvirtinami Kibernetinio saugumo įstatymo nustatyta tvarka.

 

Pasiūlymas 1:

Pakeisti 12 straipsnį ir jį išdėstyti taip:

12 straipsnis. 433 straipsnio pakeitimas

Pakeisti 433 straipsnį ir jį išdėstyti taip:

433 straipsnis. Duomenų centrai

1. Institucijos, įrašytos į Saugiojo tinklo naudotojų sąrašą, turi teisę laikyti privalo visus savo valdomus valstybės informacinius išteklius laikyti valstybiniuose duomenų centruose, kurie yra Lietuvos Respublikoje, kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ar Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse ir atitinka Vyriausybės ar jos įgaliotos institucijos patvirtintus techninius kibernetinio saugumo reikalavimus, nacionalinio saugumo interesus. Šių valstybės informacinių išteklių, saugomų kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ar Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose, bent viena kopija turi būti saugoma Lietuvos Respublikoje įrengtame duomenų centre. Institucijų, įrašytų į Saugiojo tinklo naudotojų sąrašą, valdomų valstybės informacinių išteklių, kuriuos būtina laikyti valstybiniuose duomenų centruose, sąrašą tvirtina Vyriausybė. Valstybinių duomenų centrų sąrašą tvirtina ekonomikos ir inovacijų ministras.

2. Institucijos privalo Vyriausybės nustatyta tvarka privalo laikyti savo valdomų nutarimu patvirtintų valstybės informacinių išteklių, kurie turi būti prieinami karo, nepaprastosios padėties, ekstremaliųjų situacijų ar kitais krizių atvejais, kopijas Vyriausybės nustatyta tvarka laikyti ne Lietuvos Respublikosje teritorijoje esančiuose duomenų centruose, bet kituose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose,. kad būtų užtikrinamas šių valstybės valdomų informacinių išteklių prieinamumas karo, nepaprastosios padėties, ekstremaliųjų situacijų ar krizių atvejais. Karo, nepaprastosios padėties, ekstremaliųjų situacijų ar krizių atvejais Lietuvos Respublikos teritorijoje praradus prieigą prie šioje dalyje nurodytų Vyriausybės nutarimu patvirtintų valstybės informacinių išteklių kurių sąrašą tvirtina Vyriausybė, ar sutrikus jų veiklai, Vyriausybės nustatyta tvarka turi pradėti veikti šių valstybės informacinių išteklių kopijos, laikomos šioje dalyje nurodytuose duomenų centruose.

3. Sutartis dėl valstybės institucijų ir valstybės įstaigų, finansuojamų iš valstybės biudžeto, valdomų valstybės informacinių išteklių laikymo Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose centralizuotai sudaro Vyriausybės įgaliota institucija.

4. Asmens duomenų, laikomų valstybiniuose duomenų centruose ar Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose, saugumui užtikrinti turi būti laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme nustatytų reikalavimų.

5. Institucijų išlaidos, patirtos dėl jų valdomų valstybės informacinių išteklių ir (ar) jų kopijų laikymo valstybiniuose duomenų centruose arba Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose, finansuojamos iš valstybės biudžeto lėšų ir (arba) kitų teisės aktuose nustatytų finansavimo šaltinių.

6. Techninius ir organizacinius reikalavimus, taikomus valstybiniams Dduomenų centrųams, ir Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, tvirtina ekonomikos ir inovacijų ministras.atitinkančių Vyriausybės ar jos įgaliotos institucijos patvirtintus techninius kibernetinio saugumo reikalavimus, sąrašas skelbiamas Ekonomikos ir inovacijų ministerijos interneto svetainėje.“

13

 

N

Pasiūlymas 2:

Papildyti Įstatymo projektą nauju 13 straipsniu ir jį išdėstyti taip:

„13 straipsnis. 43³ straipsnio pakeitimas

Pakeisti 43³ straipsnį ir jį išdėstyti taip:

43³ straipsnis. Duomenų centrai

1. Institucijos, įrašytos į Saugiojo tinklo naudotojų sąrašą, privalo laikyti savo valdomus ypatingos svarbos ir svarbius valstybės informacinius išteklius valstybiniuose duomenų centruose, išskyrus šio straipsnio 3 dalyje nustatytas išimtis. Valstybinių duomenų centrų sąrašą tvirtina ekonomikos ir inovacijų ministras.

2. Institucijos, įrašytos į Saugiojo tinklo naudotojų sąrašą, savo valdomus vidutinės svarbos ir mažos svarbos valstybės informacinius išteklius turi teisę laikyti Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose. Šiais atvejais institucijų valdomų valstybės informacinių išteklių kopijos Vyriausybės nustatyta tvarka laikomos valstybiniuose duomenų centruose.

3. Institucijoms, įrašytoms į Saugiojo tinklo naudotojų sąrašą, Vyriausybės nutarimu gali būti suteikta teisė laikyti jų valdomus svarbius valstybės informacinius išteklius Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose. Šiais atvejais institucijų valdomų svarbių valstybės informacinių išteklių kopijos Vyriausybės nustatyta tvarka privalo būti laikomos valstybiniuose duomenų centruose.

4. Institucijos, nepriklausomai nuo to, ar taikoma šio straipsnio 3 dalis, privalo Vyriausybės nutarimu patvirtintų valstybės informacinių išteklių, kurie turi būti prieinami karo, nepaprastosios padėties, ekstremaliųjų situacijų ar kitais krizių atvejais, kopijas Vyriausybės nustatyta tvarka laikyti ne Lietuvos Respublikoje esančiuose duomenų centruose, bet kituose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose. Karo, nepaprastosios padėties, ekstremaliųjų situacijų ar kitais krizių atvejais Lietuvos Respublikos teritorijoje praradus prieigą prie šioje dalyje nurodytų Vyriausybės nutarimu patvirtintų valstybės informacinių išteklių ar sutrikus jų veiklai, Vyriausybės nustatyta tvarka turi pradėti veikti šių valstybės informacinių išteklių kopijos, laikomos šioje dalyje nurodytuose kitose valstybėse esančiuose duomenų centruose.

5. Sutartis dėl valstybės institucijų ir valstybės įstaigų, finansuojamų iš valstybės biudžeto, valdomų valstybės informacinių išteklių laikymo Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose centralizuotai sudaro Vyriausybės įgaliota institucija.

6. Asmens duomenų, laikomų valstybiniuose duomenų centruose ar Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose, saugumui užtikrinti turi būti laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme nustatytų reikalavimų.

7. Institucijų išlaidos, patirtos dėl jų valdomų valstybės informacinių išteklių ir (ar) jų kopijų laikymo valstybiniuose duomenų centruose arba Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose, finansuojamos iš valstybės biudžeto lėšų ir (arba) kitų teisės aktuose nustatytų finansavimo šaltinių.

8. Techninius ir organizacinius reikalavimus, taikomus valstybiniams duomenų centrams ir Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, tvirtina ekonomikos ir inovacijų ministras.“

14

 

 

Pasiūlymas 3:

Buvusį Įstatymo projekto13 straipsnį laikyti atitinkamai Įstatymo projekto 14 straipsniu ir jį išdėstyti taip:

14 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas

1. Šis įstatymas, išskyrus 12 ir 13 straipsnius ir šio straipsnio 4 ir 5 dalis 2 dalį, įsigalioja 2023 m. sausio 1 d.

2. Šio įstatymo 12 straipsnis įsigalioja 2022 m. liepos 1 d.

3. Šio įstatymo 13 straipsnis įsigalioja 2024 m. liepos 1 d.

42. Lietuvos Respublikos Vyriausybė, ekonomikos ir inovacijų ministras ir krašto apsaugos ministras šio įstatymo, išskyrus šio įstatymo 12 straipsnį, įgyvendinamuosius teisės aktus priima iki 2022 m. gruodžio 31 d.

5. Vyriausybė ir ekonomikos ir inovacijų ministras šio įstatymo 12 straipsnio įgyvendinamuosius teisės aktus priima iki 2022 m. birželio 30 d.“

 

 

 

Teikia

Seimo nariai                                             Kazys Starkevičius

                                                                 Ingrida Šimonytė