LIETUVOS RESPUBLIKOS SEIMO KANCELIARIJOS

TEISĖS DEPARTAMENTAS

 

IŠVADA

DĖL LIETUVOS RESPUBLIKOS KIBERNETINIO SAUGUMO ĮSTATYMO

NR. XII-1428 PAKEITIMO ĮSTATYMO PROJEKTO

 

2024-06-03 Nr. XIVP-3815

Vilnius

 

Įvertinę projekto atitiktį Konstitucijai, įstatymams, teisėkūros principams ir teisės technikos taisyklėms, teikiame šias pastabas.

1.         Projekto 1 straipsniu nauja redakcija dėstomo Kibernetinio saugumo įstatymo (toliau – keičiamas įstatymas) 1 straipsnio 2 dalies formuluotė suponuoja, kad keičiamo įstatymo VII skyriaus nuostatos taikomos ne tik žvalgybos institucijoms, tačiau ir kredito unijoms. Atsižvelgiant į tai bei siekiant teisinio aiškumo, keičiamo įstatymo 1 straipsnio 2 dalį siūlome dėstyti dviem sakiniais, iš kurių pirmasis nustatytų įstatymo netaikymą (išskyrus VII skyrių) žvalgybos institucijoms, o antrasis – apie įstatymo netaikymą tam tikroms kredito unijoms.

2.         Nėra aiškus keičiamo įstatymo 1 straipsnio 3 dalyje vartojamos formuluotės „atskirai taikomi Europos Sąjungos teisės aktai“ turinys. Jeigu turimi omenyje šio straipsnio 5 dalyje nurodyti atskiriems ūkio sektoriams taikomi Europos Sąjungos teisės aktai, taip reikėtų ir nurodyti. Be to, siekiant teisinio aiškumo aptariamoje keičiamo įstatymo nuostatoje prieš žodžius „keliami reikalavimai“ įrašytinas žodis „yra“.

3.         Keičiamo įstatymo 1 straipsnio 3 dalyje yra nurodyta, kad „Šio įstatymo 14 straipsnio, 15 straipsnio ir 18 straipsnio 1 dalies 1 punkto nuostatos netaikomos kibernetinio saugumo subjektams, jeigu jiems atskirai taikomuose Europos Sąjungos teisės aktuose keliami reikalavimai įgyvendinti kibernetinio saugumo rizikos valdymo priemones, pranešti apie didelius kibernetinius incidentus ar skirti atsakingus už kibernetinį saugumą asmenis, kurių poveikis yra bent lygiavertis šio įstatymo 14 straipsnyje ar jo pagrindu priimtuose įgyvendinamuosiuose teisės aktuose, 15 straipsnyje, 18 straipsnio 1 dalies 1 punkte ir 4 dalyje ir (ar) 18 straipsnio 1 dalies 2 punkte ir 5 dalyje nustatytų reikalavimų poveikiui“. Pastebėtina, kad keičiamo įstatymo 1 straipsnio 4 dalies punktuose yra nurodoma kokių „šio straipsnio 3 dalyje nurodytų reikalavimų poveikis yra laikomas lygiaverčiu“ ir šios dalies 3 punkte detalizuojama kas laikytina „šio įstatymo 18 straipsnio 1 dalies 1 punkte ir 4 dalyje nustatytų reikalavimų poveikiui“, o 4 punkte – kas laikytina „18 straipsnio 1 dalies 2 punkte ir 5 dalyje nustatytų reikalavimų poveikiui“. Atsižvelgus į tai, siūlytina keičiamo įstatymo 1 straipsnio 3 dalies nuostatą „Šio įstatymo 14 straipsnio, 15 straipsnio ir 18 straipsnio 1 dalies 1 punkto nuostatos <...>“ papildyti nuoroda į keičiamo įstatymo 18 straipsnio 1 dalies 2 punktą.

4.         Iš keičiamo įstatymo 1 straipsnio 4 dalies 2 punkto nuostatos nėra pakankamai aišku, kokių reikalavimų poveikis būtų laikomas lygiaverčiu keičiamo įstatymo 15 straipsnyje nustatytų reikalavimų poveikiui – reikalavimų, keliamų už kibernetinį saugumą atsakingiems asmenims, ar vis tik reikalavimų kibernetinio saugumo subjektams paskirti atsakingus už kibernetinį saugumą asmenis. Nuostata tikslintina. 

5.         Keičiamo įstatymo 1 straipsnio 4 dalies 4 punkte siūloma nustatyti, kad Europos Sąjungos teisės aktuose nurodytų reikalavimų poveikis yra laikomas lygiaverčiu šio įstatymo 18 straipsnio 1 dalies 2 punkte ir 5 dalyje nustatytų reikalavimų poveikiui, jeigu yra numatyta reagavimo į kibernetinius incidentus tarnybos neatidėliotina prieiga, kai tinkama, automatinė ir tiesioginė, prie pateiktų pranešimų apie incidentus, o nustatyti reikalavimai pranešti apie didelius incidentus pagal poveikį yra bent lygiaverčiai šio įstatymo 18 straipsnio 1 dalies 2 punkte ir 5 dalyje nustatytiems reikalavimams. Tačiau pažymėtina, kad keičiamo įstatymo 18 straipsnio 1 dalies 2 punkte ir 5 dalyje minimi ne dideli incidentai, t.y. incidentai, nenurodyti keičiamo įstatymo 18 straipsnio 1 dalies 1 punkte, būtent kuriame ir nurodyti dideli kibernetiniai incidentai. Atsižvelgiant į tai, minėtos keičiamo įstatymo nuostatos derintinos tarpusavyje.

6.         Keičiamo įstatymo 1 straipsnio 5 dalyje siūloma nustatyti: „Lietuvos Respublikos Vyriausybė šio įstatymo 1 ir 2 prieduose nurodytuose atskiruose sektoriuose politiką formuojančių ministerijų teikimu patvirtina konkrečių šio įstatymo 1 ir 2 prieduose nurodytiems sektoriams taikomų Europos Sąjungos teisės aktų, atitinkančių šio straipsnio 4 dalyje nurodytus kriterijus, sąrašą. Šiame sąraše nustatomi šio įstatymo 1 ir 2 prieduose nurodytiems sektoriams taikomi Europos Sąjungos teisės aktai, atitinkantys bent vieną šio straipsnio 4 dalyje nurodytą kriterijų.“ Manytume, kad reikėtų atsisakyti aptariamos nuostatos antrojo sakinio, pirmajame sakinyje vietoj formuluotės „atitinkančių šio straipsnio 4 dalyje nurodytus kriterijus“ įrašant formuluotę „atitinkančių bent vieną šio straipsnio 4 dalyje nurodytą kriterijų“.

7.         Svarstytina, ar keičiamo įstatymo 1 straipsnio 5 dalyje prieš žodžius „sektoriuose“ ir „sektoriams“ neturėtų būti įrašyti žodžiai „ūkio ar instituciniai“. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 11 straipsnio 3 dalies 1 punktui, 4 dalies 1 ir 2 punktams, 5 dalies 3 ir 4 punktams, 13 straipsnio 3 dalies 6 ir 8 punktams, 10 daliai ir įstatymo priedui.

8.         Siekiant teisinio aiškumo bei vengiant daugybinių išlygų tam pačiame sakinyje, keičiamo įstatymo 2 straipsnio 1 dalyje paskutinę išlygą, prasidedančią žodžiai „neįskaitant atvejų“ siūlome dėstyti atskiru sakiniu, nurodant kokiu atveju subjektas nelaikomas aukščiausio lygio domenų vardų registro paslaugas teikiančiu subjektu.

9.         Keičiamo įstatymo 2 straipsnio 2 dalyje vietoj formuluotės „kuri pagal poreikį suteikia administravimo paslaugas ir plataus masto nuotolinę prieigą“ įrašytina formuluotė „kuria pagal poreikį suteikiamos administravimo paslaugos ir plataus masto nuotolinė prieiga“.

10.     Keičiamo įstatymo 2 straipsnio 3 dalyje prieš žodį „paslaugų“ įrašytinas žodis „teikiamų“, o 8 dalyje prieš žodį „informacijos“ – žodis „elektroninės“.

11.     Derinant keičiamo įstatymo terminiją su Valstybės informacinių išteklių valdymo įstatymu, keičiamo įstatymo 2 straipsnio 14 dalyje vietoj žodžio „registre“ įrašytina formuluotė „registro informacinėje sistemoje“. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 11 straipsnio 1 ir 2 dalims, 32 straipsnio 5 daliai bei projekto 2 straipsnio 3 daliai.

12.     Atsižvelgiant į tai, kad keičiamo įstatymo 2 straipsnio 27 dalyje pateikiamos nuorodos į Reglamentą (ES) Nr. 910/2014, Reglamentą (ES) 2019/1150 bei Reglamentą (ES) Nr. 1025/2012, kurie teikiamu projektu nėra įgyvendinami, taip pat į tai, kad šie reglamentai keičiamo įstatymo tekste minimi pirmą kartą, vadovaujantis Nuorodų į Europos Sąjungos teisės aktus teikimo teisės aktuose reikalavimų aprašo, patvirtinto teisingumo ministro 2020 m. kovo 6 d. įsakymu Nr. 1R-72 (2022 m. birželio 20 d. įsakymo Nr. 1R-241 redakcija), 20 ir 21 punktuose nustatytomis taisyklėmis, turi būti rašomi visi (pilni) nurodytųjų reglamentų pavadinimai, o jei jie buvo pakeisti, turi būti pažymima, kad atitinkamas reglamentas nurodomas su visais pakeitimais. Analogiška pastaba taikytina ir keičiamo įstatymo 9 straipsnyje pateikiamai nuorodai į Reglamentą (ES) 2016/679, 20 straipsnio 1 dalyje pateikiamai nuorodai į Reglamentą (ES) 2022/2554 ir 23 straipsnio 3 dalies 3 punkte pateikiamai nuorodai į Reglamentą (ES, Euratomas) 2018/1046.

13.     Siūlytina keičiamo įstatymo 2 straipsnio 28 dalyje esančias blanketines nuorodas į kitus įstatymus dėstyti abėcėlės tvarka.

14.     Keičiamo įstatymo 5 straipsnyje tarp žodžių „bei Europos Sąjungos“ ir „ir NATO“ įrašytinas žodis „institucijų“, o po žodžių „Europos Sąjungos valstybių“ – žodis „narių“ (pastaroji pastaba taikytina ir keičiamo įstatymo 12 straipsnio 2 daliai).

15.     Nėra aiškus keičiamo įstatymo 6 straipsnio 1 dalyje įtvirtintos nuostatos, pagal kurią Taryba - kolegiali institucija, sudaryta iš Tarybos narių - keičiasi gerąja praktika ir žiniomis su tais pačiais Tarybos nariais, būtent kurie ir sudaro Tarybą ir per kuriuos Taryba ir vykdo savo veiklą. Kitaip sakant, Tarybos negalima vertinti kaip atskiro teisinių santykių subjekto, kuris būtų kažkaip atsietas nuo pačių Tarybos narių. Atsižvelgiant į tai, minėtą nuostatą reikėtų tikslinti, nurodant, kad Taryba ne keičiasi su Tarybos atstovais žiniomis ir gerąja praktika, o savo veikloje remiasi Tarybos narių turimomis žiniomis ir gerąja praktika. Be to, derinant šio straipsnio nuostatas tarpusavyje, 1 dalyje vietoj žodžių „Tarybos atstovais“ įrašytini žodžiai „Tarybos nariais“.

16.     Keičiamo įstatymo 6 straipsnio 2 dalyje vietoj žodžių „Tarybą sudaro“ įrašytini žodžiai „Tarybos nariais tvirtinami“ (nes Tarybą pagal šio straipsnio 4 dalį sudaro krašto apsaugos ministras).

17.     Keičiamo įstatymo 6 straipsnio 4 dalyje brauktina perteklinė formuluotė „jos narių skaičių tvirtina“ (nes tvirtinant institucinę bei personalinę sudėtį Tarybos narių skaičius ir bus atskleistas) bei žodis „nustato“ (nes ministras įsakymu tvirtins, o ne nustatys, Tarybos sudėtį).

18.     Keičiamo įstatymo 6 straipsnio 6 dalies 1 punkte siūloma nustatyti, kad Taryba, t. y. visuomeniniais pagrindais veikianti patariamoji institucija, turi teisę gauti iš valstybės ir savivaldybių institucijų, įstaigų bei kitų juridinių asmenų reikalingą informaciją Tarybos kompetencijai priskirtiems klausimams spręsti. Vertindami šią nuostatą, norime pastebėti, kad tuo atveju, jeigu nuostatoje siekiama reguliuoti teisinius santykius, susijusius su privačių juridinių asmenų valdomais ar kitaip disponuojamais duomenimis, dokumentais ar kita informacija (kuriems jų veiklą reguliuojantys įstatymai dėl jų veiklos pobūdžio nenustato pareigos kaupti ir tvarkyti tokią informaciją bei pateikti ją valstybės institucijoms), ir nustatyti Tarybos imperatyvią teisę neatlygintinai gauti iš tokių privačių asmenų jų nusistatytais tikslais tvarkomus ir kaupiamus duomenis ar dokumentus, turėtų būti svarstomas nuostatos derėjimas su konstituciniu nuosavybės teisės apsaugos principu. Atsižvelgiant į tai, manytina, kad tuo atveju, jeigu nuostatoje siekiama reguliuoti teisinius santykius, susijusius su teise gauti reikalingus duomenis iš privačių juridinių asmenų, kurie įstatymais dėl jų veiklos pobūdžio yra įpareigoti kaupti atitinkamą informaciją ir pateikti ją valstybės institucijoms, tai turėtų būti aiškiai nurodyta. Priešingu atveju, siūlytume projekte aiškiau reglamentuoti duomenų ar informacijos gavimo iš privačių juridinių asmenų sąlygas ir (ar) atlygintinumą už tokių duomenų (informacijos) teikimą.

19.     Keičiamo įstatymo 7 straipsnio 2 dalies 7 punkte siūloma nustatyti, kad Nacionalinis kibernetinio saugumo centras, siekdamas pašalinti kibernetines grėsmes ar stabdyti jų plitimą gali duoti tam tikrą nurodymą domenų vardų paslaugų teikėjams. Pažymėtina, kad keičiamame įstatyme nėra apibrėžta „domenų vardų paslaugų teikėjo“ sąvoka. Keičiamo įstatymo 2 straipsnyje yra apibrėžtos tik „domenų vardų registravimo paslaugas teikiančio subjekto“ bei „domenų vardų sistemos paslaugų teikėjo“ sąvokos.

20.     Siekiant teisinio aiškumo bei vengiant nereikalingų dispozicinių nuorodų, keičiamo įstatymo 7 straipsnio 2 dalies 14 punkte vietoj formuluotės „šio straipsnio 2 dalies 13 punkte nurodytas krizes“ siūlytina įrašyti formuluotę „krizes, susijusias su kibernetiniais incidentais“.

21.     Siekiant teisinio aiškumo, siūlytina papildyti keičiamo įstatymo 7 straipsnio 3 dalį, joje nurodant konkretų Nacionalinio kibernetinio saugumo centro priimtą dokumentą, kuriame yra nustatyti šioje dalyje minimi nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimai.

22.     Siekiant teisinio aiškumo, keičiamo įstatymo 7 straipsnio 5 dalies 2 punkte turėtų būti aiškiai identifikuoti „kiti subjektai“, susisiekti su kuriais bet kuriuo metu turi būti nustatomi net keletas būdų. Atsižvelgiant į tai, kad šis reikalavimas betarpiškai susijęs su Nacionaliniam kibernetinio saugumo centrui keliamais reikalavimais, turėtų būti aiškiai atskleistas šio reikalavimo turinys.

23.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 7 straipsnio 5 dalies 3 punkte patikslinti, kaip suprantamos jame minimos „saugios vietos“.

24.     Kadangi visos Nacionalinio kibernetinio saugumo centro funkcijos yra dėstomos keičiamo įstatymo 7 straipsnyje, siūlytina keičiamo įstatymo 8 straipsnio nuostatas taip pat perkelti į keičiamo įstatymo 7 straipsnį. Neatsižvelgus į šią pastabą, svarstytinas šio straipsnio pavadinimo tikslinimas, atsižvelgiant į šio straipsnio 2 dalies nuostatas.

25.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 8 straipsnio 2 dalies normą dėstyti taip: „Nacionalinis kibernetinio saugumo centras tvirtina kibernetinio saugumo pratybų planą, kuriuo remiantis šio straipsnio 1 dalyje nurodytiems kibernetinio saugumo subjektams, kitoms įstaigoms ir ūkio subjektams organizuoja kibernetinio saugumo pratybas ir mokymus, siekdamas užtikrinti pasirengimą krizėms, ekstremaliosioms situacijoms kibernetinio saugumo srityje“.

26.     Svarstytina, ar keičiamo įstatymo 10 straipsnio 1 dalies 2 punkto antrojo sakinio nereikėtų įtvirtinti atskira šio straipsnio dalimi, joje kartu numatant ir terminus, per kuriuos kibernetinio saugumo subjektai privalėtų pateikti policijai reikalingą informaciją.

27.     Svarstytina, ar keičiamo įstatymo 11 straipsnio 2 dalies nuostatų nereikėtų dėstyti keičiamo įstatymo 13 straipsnyje, kuriame išdėstytos nuostatos dėl kibernetinio saugumo subjektų įregistravimo ir išregistravimo.

28.     Nėra aiškus keičiamo įstatymo 11 straipsnio 7 dalies nuostatos, nustatančios, kad tuo atveju, kai subjektas atitinka bent vieną šio straipsnio 4 dalyje nurodytą kriterijų, kuriuo identifikuojamas esminis subjektas, laikoma, kad subjektas yra esminis subjektas, turinys. Pažymėtina, kad šio straipsnio 4 dalyje yra įtvirtinti bendrieji būtent svarbių subjektų identifikavimo kriterijai, todėl pagal šiuos kriterijus identifikuoti esminio subjekto tiesiog objektyviai nėra pagrindo. Kitaip sakant, jeigu kibernetinio saugumo subjektas atitiks bent vieną iš 4 dalyje nustatytų bendrųjų svarbių subjektų identifikavimo kriterijų, jis bus identifikuojamas būtent kaip svarbus, o ne esminis subjektas (šioje dalyje nėra jokių sąlygų, įgalinančių tik 4 dalyje nurodytus kriterijus atitinkančius subjektus laikyti esminiais subjektais).

29.     Nėra aiškus skirtumas tarp keičiamo įstatymo 12 straipsnio 1 dalies 1 punkte minimų dviejų sąlygų – 1) subjektai, registruoti Lietuvos Respublikoje bei 2) subjektai, įsisteigę Lietuvos Respublikoje, nes visi be išimties ūkio subjektai (ar tai būtų savarankiški juridiniai asmenys, ar juridinių asmenų filialai ir atstovybės, ar užsienio juridinių asmenų ir kitų organizacijų filialai ir atstovybės) yra registruojami Juridinių asmenų registre.

30.     Pagal keičiamo įstatymo 12 straipsnio 1 punkto a papunktį Lietuvos Respublikos jurisdikcijai nepriklausytų tik subjektai, kurie yra įsteigti kitos valstybės. Šiame kontekste svarstytina, ar Lietuvos Respublikos jurisdikcijai galėtų būti priskiriami Europos Sąjungos, kitų tarptautinių organizacijų įsteigti subjektai, pavyzdžiui Europos lyčių lygybės institutas ir pan.

31.     Keičiamo įstatymo 12 straipsnio 1 dalies 1 punkto b papunktyje įtvirtinta išlyga dėl šios dalies 3 punkte nurodytų subjektų, kurių pagrindinė buveinė yra ne Lietuvos Respublikoje, yra perteklinė ir nesuprantama, nes minėtame 3 punkte būtent ir vardijami tik tie subjektai, kurių pagrindinė buveinė yra Lietuvos Respublikoje.

32.     Keičiamo įstatymo 12 straipsnio 3 dalies sakinyje, prasidedančiame žodžiais „Šioje dalyje nurodytas atstovas“ prieš žodžius „valstybių narių“ įrašytini žodžiai „Europos Sąjungos“. Analogiška pastaba taikytina keičiamo įstatymo 20 straipsnio 2 dalies 6 ir 7 punktams, 21 straipsnio 1 daliai, 2 dalies nuostatai iki dvitaškio ir šio straipsnio 4 daliai.

33.     Keičiamo įstatymo 13 straipsnį, reglamentuojantį Kibernetinio saugumo subjektų registrą, reikėtų suderinti su Valstybės informacinių išteklių valdymo įstatymu, kuriame nustatyta, kad registro objektams registruoti yra steigiamas ne registras, o registro informacinė sistema.

34.     Nėra aiškus keičiamo įstatymo 13 straipsnio 2 dalies nuostatos, nustatančios, kad Kibernetinio saugumo subjektų registro objektas ir jį apibūdinantys duomenys tvarkomi Kibernetinio saugumo informaciniame tinkle, turinys ir paskirtis, nes keičiamo įstatymo 13 straipsnio 1 dalis implikuoja, kad kibernetinio saugumo subjektų duomenys bus tvarkomi specialiai tam įsteigtoje Kibernetinio saugumo subjektų registro informacinėje sistemoje. Jeigu siekiama nustatyti, kad kibernetinio saugumo subjektų registro objektas ir jį apibūdinantys duomenys tvarkomi Kibernetinio saugumo informaciniame tinkle (kuris taip pat yra valstybės informacinė sistema), lieka neaiškus pačios Kibernetinio saugumo subjektų registro informacinės sistemos steigimo tikslas. Jeigu siūloma nustatyti, kad Kibernetinio saugumo subjektų registras yra būtent Kibernetinio saugumo informaciniame tinkle tvarkomas kibernetinio saugumo subjektus apibūdinantis duomenų rinkinys, taip reikėtų ir nurodyti, t.y. reikėtų aiškiai nustatyti, kad steigiama ne Kibernetinio saugumo subjektų registro informacinė sistema, o Kibernetinio saugumo informacinio tinklo informacinė sistema, kurioje ir bus tvarkomi kibernetinio saugumo subjektų duomenys. Jeigu, vis dėlto, siekiama nustatyti abiejų valstybės informacinių sistemų steigimą ir jų tarpusavio sąveiką, reikėtų aiškiau atskleisti registro informacinės sistemos ir Kibernetinio saugumo informacinio tinklo (kitos valstybės informacinės sistemos) objektų registravimo ir jas apibūdinančių duomenų tvarkymo sąlygas.

35.     Keičiamo įstatymo 13 straipsnio 3 dalies 1 punkte vietoj formuluotės „teisinis statusas, ekonominės veiklos forma“ įrašytina formuluotė „teisinė forma, ekonominės veiklos sritis (sritys) ir rūšis (rūšys)“.

36.     Nėra aiškus keičiamo įstatymo 13 straipsnio 3 dalies 1 punkte minimos formuluotės „registracijos numeris“ turinys (nėra aišku kokia registracija ir kokioje informacinėje sistemoje turima omenyje). Be to, siekiant teisinio aiškumo, šiame punkte nustatytą išlygą (prasidedančią žodžiais „ir kitų juridinių padalinių Europos Sąjungoje adresai“) siūlome dėstyti atskiru sakiniu, kuriame būtų reglamentuojamos tik šioje išlygoje minimų subjektų duomenų tvarkymo nuostatos.

37.     Siekiant keičiamo įstatymo nuostatų dėstymo nuoseklumo, keičiamo įstatymo 13 straipsnio 3 dalies 1 punkte siūlome atsisakyti kibernetinio saugumo subjektų atstovų kontaktinių duomenų dėstymo (tokių duomenų nurodymas nustatytas šios dalies 3 punkte).

38.     Atkreiptinas dėmesys, kad nei keičiamame įstatyme, nei kituose įstatymuose nėra apibrėžtas keičiamo įstatymo 13 straipsnio 3 dalies 5 punkte minimos sąvokos „interneto protokolo (IP) adresų rėžiai“ turinys.

39.     Nėra aiškus keičiamo įstatymo 13 straipsnio 3 dalies 8 punkte įtvirtintos formuluotės „subjekto rūšis kibernetinio saugumo subjekto sektorius, subsektorius, subjekto rūšis“, turinys, nes keičiamame įstatyme nėra atskleistos jokios kibernetinio saugumo subjektų rūšį kibernetinio saugumo subjekto sektoriuje ar subsektoriuje apibrėžiančios nuostatos.

40.     Atsižvelgiant į tai, kad ministerijos kompetencijai priklausančiais klausimais privalomos galios administracinius teisės aktus priima ministras, o ne ministerija, keičiamo įstatymo 13 straipsnio 4 dalyje vietoj formuluotės „Krašto apsaugos ministerijos“ įrašytina formuluotė „krašto apsaugos ministro“.

41.     Siekiant teisinio aiškumo, reikėtų nurodyti keičiamo įstatymo 13 straipsnio 6 dalyje numatyto institucijų, atsakingų už kibernetinio saugumo subjektų identifikavimą, dalyvavimo kibernetinio saugumo subjektų registravimo procese turinį ir apimtį, nes už registro informacinės sistemos objektų registravimą ir objektų duomenų tvarkymą yra atsakingas būtent šios informacinės sistemos tvarkytojas.

42.     Svarstytina, ar keičiamo įstatymo 13 straipsnio 7 dalies nuostatų nereikėtų suformuluoti kaip pareigos šioje dalyje minimiems subjektams teikti minimą informaciją Kibernetinio saugumo informacinio tinklo duomenų tvarkytojui. Be to, siūlytina šioje dalyje vietoje žodžio „identifikuojamų“ rašyti formuluotę „identifikuojamų ir registruojamų“, vietoje žodžio „registruoti“ rašyti formuluotę „identifikuoti ir registruoti“.

43.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 13 straipsnio 8 dalyje po žodžių  „juos registruoti“ įrašyti žodžius „arba jų neregistruoti“.

44.     Keičiamo įstatymo 13 straipsnio 9 dalyje vietoj žodžių „nuo momento“ įrašytini žodžiai „nuo dienos“. Svarstytina, ar šios dalies paskutinio sakinio nereikėtų dėstyti atskira šio straipsnio dalimi. Taip pat siūlytina šį straipsnį papildyti nuostata dėl galimybės apskųsti sprendimą dėl išregistravimo iš Kibernetinio saugumo subjektų registro.

45.     Svarstytina, ar keičiamo įstatymo 13 straipsnio 10 dalies nuostatos neturėtų būti dėstomos šio straipsnio 5 dalyje.

46.     Keičiamo įstatymo 14 straipsnio 1 dalies 1 punkte nurodytos išlygos „išskyrus šio straipsnio 2 dalyje nurodytus atvejus“ turinys yra neaiškus, nes minėtoje 14 straipsnio 2 dalyje nėra nustatyta jokia išlyga, pagrindžianti Vyriausybės tvirtinamų kibernetinio saugumo reikalavimų netaikymą kibernetinio saugumo subjektams.

47.     Keičiamo įstatymo 14 straipsnio 1 dalies 2 punkto nuostata tikslinta, atsižvelgiant į tai, kad Europos Sąjungos teisės aktai negali būti priimami pagal nacionaliniame teisės akte nustatytus reikalavimus.

48.     Keičiamo įstatymo 14 straipsnio 2 dalyje vietoj žodžio „įtraukimo“ įrašytinas žodis „įregistravimo“, o prieš žodį „žmogiškuosius“ įrašytina formuluotė „kibernetinio saugumo subjekto“. Be to, vietoj trumpinio „mėn.“ vartotinas žodis „mėnesių“.

49.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 14 straipsnio 3 dalies nuostatas dėstyti taip: „Kibernetinio saugumo subjektai privalo Nacionaliniam kibernetinio saugumo centrui Kibernetinio saugumo informacinio tinklo nuostatuose nustatyta tvarka pateikti šiuose nuostatuose nurodytus duomenis apie kibernetinio saugumo rizikos valdymo priemonių įgyvendinimą“.

50.     Keičiamo įstatymo 14 straipsnio 4 dalyje brauktinas žodis „tik“, nes Lietuvos Respublikos jurisdikcijai priklausantys subjektai turi laikytis ne tik Europos Sąjungos, tačiau ir Lietuvos Respublikos teisės aktų.

51.     Siekiant teisinio aiškumo, reikėtų atskleisti keičiamo įstatymo 14 straipsnio 5 dalies 12 punkte nustatytos formuluotės „kibernetinio saugumo subjektų naudotojų, administratorių, tiekėjų, jų subtiekėjų ir kitų ūkio subjektų“ turinį, nes nėra aišku, kas turėtų būti laikomi kibernetinio saugumo subjektų naudotojais (galbūt turima omenyje kibernetinio saugumo subjektų teikiamų paslaugų vartotojus), administratoriais ar teikėjais.

52.     Kadangi kibernetinio saugumo subjektu gali būti ir fizinis asmuo, keičiamo įstatymo 14 straipsnio 7 dalies nuostatą apie darbuotojų nuolatinį švietimą kibernetinio saugumo srityje reikėtų papildyti, po žodžio „darbuotojų“ įrašant formuluotę „jei tokių yra“.

53.     Svarstytina, ar keičiamo įstatymo 14 straipsnio 8 dalies nuostatą nereikėtų performuluoti taip, kad joje minimi nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimai būtų taikomi ir asmenims, Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka išklausiusiems mokymus ir išlaikiusiems kvalifikacinius žinių ir praktinių įgūdžių patikrinimo egzaminą. Be to, prieš žodį „toliau“ įrašytinas skliaustelis.

54.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 15 straipsnio 1 dalyje aiškiai nurodyti subjektą, kuris turi atitikti šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams.

55.     Keičiamo įstatymo 15 straipsnio 3 dalyje vietoj žodžio „gyvendinimą“ rašytinas žodis „įgyvendinimą“. Be to, manytina, kad šios dalies antrajame sakinyje esanti nuoroda į keičiamo įstatymo 14 straipsnį turėtų būti papildyta nuoroda ir į keičiamo įstatymo 18 straipsnį, o šios dalies paskutiniame sakinyje po žodžio „vadovas“ įrašytina formuluotė „ar jo įgaliotas asmuo“. Taip pat svarstytina, ar šios dalies paskutinio sakinio nereikėtų atsisakyti kaip perteklinio, nes keičiamo įstatymo 15 straipsnio 1 ir 2 dalyse yra nurodyta, kas skiria šiuos asmenis.

56.     Kadangi keičiamo įstatymo 15 straipsnio 4 ir 5 dalyse vartojama sąvoka „už kibernetinį saugumą atsakingi asmenys“, siūlytina šiame straipsnyje konkrečiai įvardinti, kas tokiais asmenimis yra laikomi.

57.     Keičiamo įstatymo 15 straipsnio 5 dalies 2 punkto nuostata turėtų būti tikslinama, tiesiog nustatant, kad už kibernetinį saugumą atsakingais asmenimis negali būti skiriami asmenys, kuriems nuo nuobaudos už teisės aktų pažeidimus tinklų ir informacinių sistemų ir asmens duomenų tvarkymo ir privatumo apsaugos srityse paskyrimo praėję mažiau kaip vieneri metai.

58.     Keičiamo įstatymo 16 straipsnio 3 dalis tikslintina kalbiniu požiūriu.

59.     Keičiamo įstatymo 17 straipsnio 3 punkte nurodyta, kad šiame straipsnyje įvardinti kibernetinio saugumo subjektai privalo „skelbti šio straipsnio 2 ir 5 punktuose nurodytą politiką ir procedūras viešai savo interneto svetainėse ar, jeigu jie interneto svetainės neturi, kitomis visuomenės informavimo priemonėmis“. Šioje nuostatoje esantis žodis „skelbti“ suponuoja, kad minėta informacija turi būti nuolat skelbiama viešai šių subjektų interneto svetainėse arba, jeigu jie jų neturi, kitomis visuomenės informavimo priemonėmis. Jeigu tokios intencijos projekto rengėjai neturėjo, siūlytina šią nuostatą atitinkamai pakoreguoti. Taip pat svarstytina, ar nereikėtų patikslinti kokiomis visuomenės informavimo priemonėmis ši informacija turi būti skelbiama.

60.     Siekiant teisinio aiškumo, keičiamo įstatymo 17 straipsnio 4 punkte vietoj formuluotės „jų interneto svetainėse“ rašytina formuluotė „savo interneto svetainėse“. Taip pat svarstytina, ar vietoj šiame punkte vartojamos formuluotės „nepagrįstai nedelsdami“ nereikėtų nurodyti konkretaus termino, per kurį turi būti paskelbiami domeno registracijos duomenys. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 17 straipsnio 5 punktui.

61.     Pažymėtina, kad keičiamo įstatymo 18 straipsnio 1 dalies 1 ir 2 punktuose nėra nurodyti jokie objektyvūs kriterijai, įgalinantys atskirti šios dalies 1 punkte nurodytus didelius kibernetinius incidentus nuo „nedidelių“ kibernetinių incidentų, nurodytų šios dalies 2 punkte (nes abiejuose punktuose incidentus apibrėžiantis požymis yra tas pats – incidentas, darantis poveikį šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms). Galbūt turima omenyje, kad kibernetinio saugumo subjektai nacionalinio kibernetinių incidentų valdymo plano, tvirtinamo Vyriausybės, nustatytais terminais turi pateikti Vyriausybės nustatytą informaciją apie šio straipsnio 2 ir 3 dalyje nurodytus didelio kibernetinio incidento kriterijus neatitinkančius kibernetinius incidentus. Taip pat neaišku, ar 18 straipsnio 1 dalies 2 punkte taip pat turimi omenyje kibernetiniai incidentai, darantys poveikį subjektų šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms, ar vis dėlto siekiama nustatyti, kad šiame punkte minimi incidentai, kurie neatitinka didelių kibernetinių incidentų (kuriems esant daromas poveikis jų šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms) kriterijų.

62.     Atsižvelgus į keičiamo įstatymo 18 straipsnio 1 dalies 2 punkto turinį, manytina, kad nuostata „nacionalinio kibernetinių incidentų valdymo plano, tvirtinamo Vyriausybės, nustatytais terminais ir pateikti Vyriausybės nustatytą informaciją“ turėtų būti dėstoma prie keičiamo įstatymo 18 straipsnio 1 dalies nuostatos iki dvitaškio.

63.     Keičiamo įstatymo 18 straipsnio 1 dalies 2 punkte bei 5 dalyje brauktini pertekliniai žodžiai „tvirtinamo Vyriausybės“, nes tai, kad Vyriausybė tvirtina nacionalinį kibernetinių incidentų valdymo planą jau nustatyta keičiamo įstatymo 7 straipsnio 2 dalies 3 punkte. Taip pat nėra aiškus keičiamo įstatymo 18 straipsnio 1 dalies 2 punkto bei 5 dalies nuostatų santykis, nes abiejose nuostatose yra reglamentuojama ta pati pranešimų apie kibernetiniu incidentus teikimo tvarka.

64.     Pastebėtina, kad keičiamo įstatymo 18 straipsnio 2 dalies 1 ir 2 punktuose esantys žodžiai „didelių“ ir „didelę“ yra vertinamojo pobūdžio. Kadangi įstatymas yra norminio pobūdžio teisės aktas, jame negali ir neturi būti vertinamojo pobūdžio teisės normų, kartu nenustatant sąlygų ar kriterijų, kurie lemtų įstatyminės nuostatos taikymą ar netaikymą. Priešingu atveju, būtų pažeidžiamas konstitucinis įstatymų viršenybės principas, nes įstatymo nuostatos taikymą ar netaikymą lemtų išimtinai poįstatyminių teisės aktų turinys. Konstitucinio Teismo oficialiojoje doktrinoje nurodoma, kad „Teisinis reguliavimas visais atvejais turi būti aiškus, jis negali kelti dviprasmybių <...>“. (2000 m. vasario 10 d., 2001 m. sausio 25 d. ir kt. nutarimai). Todėl siūlytina aiškiai nurodyti, kokios konkrečios sąlygos ar kriterijai atitinka nuostatos reikalavimus.

65.     Siekiant teisinio aiškumo, keičiamo įstatymo 18 straipsnio 3 dalyje reikėtų aiškiau identifikuoti Europos Komisijos priimamus įgyvendinančiuosius teisės aktus, apibrėžiančius atvejus, kai kibernetinis incidentas laikomas dideliu.

66.     Nėra aiškus keičiamo įstatymo 18 straipsnio 6 dalies 5 punkte vartojamos formuluotės „Europos Komisijos įgyvendinimo aktai“ turinys.

67.     Keičiamo įstatymo 20 straipsnio 1 dalyje prieš žodį „Krizių“ įrašytinas žodis „Nacionaliniu“.

68.     Keičiamo įstatymo 20 straipsnio 2 dalies 5 punkte esantis trumpinys „val.“ keistinas žodžiu „valandas“.

69.     Keičiamo įstatymo 23 straipsnio 1 dalies pirmajame sakinyje reikėtų tikslinti nuorodą į „šio straipsnio 1 dalyje nustatytus reikalavimus“, nes keičiamo įstatymo 23 straipsnio 1 dalyje yra nustatytas vienintelis reikalavimas, kad Bendruomenės nariais negali būti nacionalinio saugumo interesams grėsmę keliantys asmenys.

70.     Pagal keičiamo įstatymo 23 straipsnio 2 dalį informaciją, ar Bendruomenės nariais siekiantys tapti asmenys galėtų kelti grėsmę nacionalinio saugumo interesams pagal Nacionalinio koordinavimo centro kreipimąsi teikia institucijos, nurodytos Lietuvos Respublikos nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatymo 12 straipsnio 7 dalyje, vadovaudamosi Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatyme nurodytais investuotojų patikros dėl atitikties nacionalinio saugumo interesams vertinimo kriterijais. Manytume, kad toks teisinis reguliavimas nėra pakankamas, nes skirtingai nei Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatyme, į kurį nurodoma aptariamoje keičiamo įstatymo nuostatoje, keičiamame įstatyme nėra jokių nuostatų, reglamentuojančių atitinkamos informacijos pateikimo tvarką, terminus ir pan.

71.     Siūlytina keičiamo įstatymo 23 straipsnio 2 dalyje keisti vartojamą formuluotę „kaip Bendruomenės narius“ formuluote „Bendruomenės nariais“. Analogiško turinio pastaba taikytina ir šio straipsnio 4 bei 7 dalims.

72.     Svarstytina, ar keičiamo įstatymo 23 straipsnio 7 dalies punktų nereikėtų sujungti jungtuku „ir“.

73.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 26 straipsnio 4 dalies sakinius apjungti į vieną. Be to, vietoje žodžio „nustatytame“ vartotinas žodis „patvirtintame“.

74.     Keičiamo įstatymo 27 straipsnio 1 ir 2 dalyse brauktina perteklinė formuluotė „šio įstatymo 26 straipsnio 2 dalyje nurodyto“, nes ir taip suprantama kokie skundai turimi omenyje (kitose keičiamo įstatymo nuostatose nėra minimi jokie kitokie skundai, todėl dispozicinė nuoroda tiesiog nereikalinga). Be to, siūlytina vietoje formuluotės „centro sprendimu“ vartoti formuluotę „centro direktoriaus sprendimu“.

75.     Nėra aišku, kodėl keičiamo įstatymo 27 straipsnio 4 dalyje nustatytos Nacionalinio kibernetinio saugumo centro teisės (atliekant patikrinimus) nėra dėstomos šio straipsnio 3 dalyje, kurioje būtent ir numatytos visos Nacionalinio kibernetinio saugumo centro su atliekamais patikrinimais susijusios teisės. Be to, siūlome atsisakyti keičiamo įstatymo 27 straipsnio 4 dalies 1 punkto, kuriame numatyta teisė atlikti veiksmus, nurodytus šio straipsnio 3 dalies 1 punkte (nes Nacionalinis kibernetinio saugumo centras turi teisę atlikti visus 3 dalyje, o ne tik šios dalies 1 punkte, numatytus veiksmus).

76.     Keičiamo įstatymo 27 straipsnio 5 dalyje vietoj formuluotės „Taikydamas šio straipsnio 3 dalies 3 punktą“ įrašytina formuluotė „Duodamas šio straipsnio 3 dalies 3 punkte nustatytą nurodymą“.

77.     Svarstytina, ar keičiamo įstatymo 27 straipsnis neturėtų būti papildytas nuostatomis dėl šio straipsnio 6 dalies 2 punkte minimo Nacionalinio kibernetinio saugumo centro sprendimo apskundimo galimybės.

78.     Siekiant teisinio aiškumo, keičiamo įstatymo 28 straipsnio 1 dalies nuostatoje iki dvitaškio vietoj formuluotės „taiko vykdymo užtikrinimo priemonę ar jų grupę“ siūlome įrašyti formuluotę „taiko vieną ar kelias vykdymo užtikrinimo priemonę (priemones)“.

79.     Keičiamo įstatymo 28 straipsnio 1 dalies 9 punkto formuluotė turėtų būti patikslinta, nes siūloma redakcija implikuoja, kad baudos privalo būti skiriamos kartu su bet kuriomis šios dalies 1–8, 10 ir 11 punktuose nurodytomis priemonėmis. Galbūt turima omenyje, kad baudos gali būti skiriamos kartu su šios dalies 1–8, 10 ir 11 punktuose nurodytomis priemonėmis.

80.     Keičiamo įstatymo 28 straipsnio 3 dalies 1 punkte vartojama formuluotė „pažeistų nuostatų pavojingumas“ turėtų būti patikslinta, nes pavojingos ne įstatyminės nuostatos, o būtent veikla, kuria buvo įvykdyti įstatymo pažeidimai.

81.     Keičiamo įstatymo 28 straipsnio 4 ir 5 dalyse atsisakytina perteklinės formuluotės „Šio straipsnio 3 dalies 1 punkte nurodytomis“.

82.     Nelogiškas atrodo keičiamo įstatymo 28 straipsnio 4 dalies 5 punkte ir 5 dalies 7 punkte nustatytas reguliavimas, pagal kurį bet kuris įstatymo nuostatų pažeidimas yra laikomas arba atsakomybę lengvinančia (jei padarytas dėl neatsargumo), arba atsakomybę sunkinančia aplinkybe (jei padarytas tyčia). Atsižvelgiant į tai, kad visi pažeidimai apskritai gali būti padaromi tik tyčia arba neatsargiai, svarstytina, ar pažeidimo padarymo tyčia turėtų būti laikomas atsakomybę sunkinančia aplinkybe.

83.     Nėra aiškus keičiamo įstatymo 28 straipsnio 7 dalies nuostatos, nustatančios, kad sprendimas dėl vykdymo užtikrinimo priemonės skyrimo gali būti priimtas, jeigu praėjo ne daugiau kaip 2 metai nuo pažeidimo dienos (išskyrus atvejus, kai sprendimo dėl vykdymo užtikrinimo priemonės skyrimo metu pažeidimas ar trūkumas jau yra ištaisytas), turinys ir jos praktinis taikymas. Kitaip sakant, nėra aiški šios išlygos esmė bei sprendimo dėl vykdymo užtikrinimo priemonės skyrimo galimybė bei jo terminas tuo atveju, kai sprendimo priėmimo metu pažeidimas jau nutrauktas ar trūkumas pašalintas. Be to, šioje dalyje prieš formuluotę „nuo jo paaiškėjimo dienos“ įrašytina formuluotė „jeigu praėjo ne daugiau kaip 2 metai“.

84.     Svarstytina, ar keičiamo įstatymo 28 straipsnis neturėtų būti papildytas nuostatomis dėl šio straipsnio 7 dalyje minimo Nacionalinio kibernetinio saugumo centro sprendimo apskundimo galimybės.

85.     Keičiamo įstatymo 29 straipsnio 3 dalyje turėtų būti patikslinta dispozicinė nuoroda į šio įstatymo 7 straipsnio 2 dalies 6 ir 7 punktus (o ne 2 dalies 6 ir 7 dalis).

86.     Nors keičiamo įstatymo 29 straipsnio 1 dalyje ir nurodyta, kad pažeidimais laikomi ir trukdymas šio įstatymo 4 straipsnio 2 ir 3 dalyse nurodytoms institucijoms, įskaitant jų pasitelktus subjektus, atlikti joms priskirtas funkcijas, tačiau kitose šio straipsnio nuostatose, kuriose nurodomi pažeidimų pavojingumo lygiai bei vardijami šiems lygiams priskirtini pažeidimai, nėra nurodyta kokiam pavojingumo lygiui būtų priskiriamas trukdymas institucijoms atlikti joms priskirtas funkcijas.

87.     Derinant keičiamo įstatymo nuostatas tarpusavyje, keičiamo įstatymo 30 straipsnio 2 dalies nuostatoje iki dvitaškio prieš žodį „dydžiai“ įrašytinas žodis „maksimalūs“. Be to, šioje dalyje po žodžio „Už“ įrašytina formuluotė „šio įstatymo“.

88.     Nelogiškas ir teisiškai ydingas yra keičiamo įstatymo 30 straipsnio 2 dalies 3 ir 4 punktuose nustatytas reguliavimas, pagal kurį Nacionalinis kibernetinio saugumo centras turėtų teisę skirti baudą valstybės biudžetinėms įstaigoms. Nesuprantama būtų tokios baudos paskirtis, nes biudžetinei įstaigai, valstybės funkcijų vykdymui gaunančiai valstybės biudžeto asignavimus, sumokėjusi baudą į tą patį valstybės biudžetą, būtų apribotos galimybės tinkamam jos funkcijų vykdymui. Būtų logiška ir suprantama galima administracinė ar tarnybinė atsakomybė biudžetinės įstaigos vadovui, tačiau ne finansinė atsakomybė valstybės biudžetinei įstaigai. Taip pat nėra aiškus formuluotės „valstybės biudžetinės įstaigos bendros metinės pajamos“ turinys (galbūt turimi omenyje valstybės biudžeto asignavimai).

89.     Keičiamo įstatymo 30 straipsnio 4 dalyje turi būti pateikta nuoroda ne į šio įstatymo 28 straipsnio 3 dalį, o į 28 straipsnio 3-5 dalis.

90.     Siekiant teisinio aiškumo, keičiamo įstatymo 31 straipsnio 8 dalyje po žodžių „nustatyto termino“ įrašytini žodžiai „paaiškinimams pateikti“.

91.     Atsižvelgus į keičiamo įstatymo 31 straipsnio 10 - 13 dalių turinį, siūlytina 13 dalies nuostatas dėstyti 10 dalimi, o 10 – 12 dalių nuostatas dėstyti atitinkamai 11 – 13 dalimis.

92.     Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 32 straipsnyje aiškiai nurodyti kokios jurisdikcijos ir kokios pakopos teismas priima šiame straipsnyje nurodytas nutartis laikinai sustabdyti teisę užsiimti dalimi ar visa esminio subjekto vykdoma veikla. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 33 straipsniui.

93.     Derinant keičiamo įstatymo nuostatas tarpusavyje, keičiamo įstatymo 32 straipsnio 1 dalyje (o taip pat ir kitose atitinkamose šio straipsnio nuostatose) po formuluotės „laikinai sustabdyti teisę užsiimti dalimi ar visa esminio subjekto vykdoma veikla“ įrašytina formuluotė „ar teikti paslaugas“.

94.               Keičiamo įstatymo 32 straipsnio 4, 5, 8 ir 9 dalyse vietoje sąvokos „juridinis asmuo“ vartotina sąvoka „esminis subjektas“.

95.               Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 32 straipsnio 4 dalies nuostatą „Pratęsimų skaičius neribojamas“ papildyti nuostata „bet visais atvejais laikinas teisės užsiimti dalimi ar visa esminio subjekto vykdoma veikla ar teikti paslaugas sustabdymas negali trukti ilgiau, nei to reikia, kad būtų užtikrinamas šio įstatymo nuostatų laikymasis“.

96.               Siekiant teisinio aiškumo, keičiamo įstatymo 32 straipsnio 5 dalyje vietoj žodžio „vykyti“ rašytinas žodis „vykdyti“, o po žodžio „nutartis“ vietoje formuluotės „kuria laikinai sustabdoma dalis ar visa juridinio asmens veikla“ įrašytina formuluotė „kuria laikinai sustabdoma teisė užsiimti dalimi ar visa esminio subjekto vykdoma veikla ar teikti paslaugas“. Be to, siūlytina šia formuluote papildyti ir keičiamo įstatymo 32 straipsnio 6 dalį.

97.               Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 32 straipsnio 7 dalyje po žodžio „veiklą“ įrašyti formuluotę „taip pat nutartį pratęsti šios priemonės taikymo terminą“. Taip pat siūlytina šią dalį papildyti sakiniu „Šio teismo priimta nutartis yra galutinė ir neskundžiama“.

98.               Keičiamo įstatymo 32 straipsnio 7 dalyje reikėtų nurodyti konkretų teismą (turbūt apygardos), kuriam gali būti skundžiama teismo nutartis dėl laikino teisės užsiimti dalimi ar visa esminio subjekto vykdoma veikla ar teikti paslaugas sustabdymo. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 33 straipsnio 8 daliai.

99.               Atkreiptinas dėmesys, kad nei keičiamo įstatymo 32 straipsnio 7 dalyje, nei šio straipsnio 8 dalyje nėra numatyta galimybė teismui panaikinti esminio subjekto veiklos paslaugų teikimo laikino sustabdymo. Atsižvelgus į tai, projektas koreguotinas.

100.           Siūlytina keičiamo įstatymo 32 straipsnio 8 dalies pirmajame sakinyje vietoje formuluotės „privalo panaikinti“ įrašyti žodį „panaikina“, nes Lietuvos Respublikos teisinėje sistemoje, atsižvelgiant, be kita ko, į teismų nepriklausomumo reikalavimą, reguliuojant teismų priimamų procesinių sprendimų pobūdį tokia terminologija nėra naudojama. Be to, atsižvelgus į šios dalies turinį, siūlytina jos sakinius sukeisti vietomis. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 33 straipsnio 9 daliai.

101.           Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 32 straipsnio 9 dalyje numatyti kiek laiko turi būti skelbiama šioje dalyje minima informacija apie esminį subjektą, taip pat prieš žodį „subjektą“ įrašytinas žodis „esminį“. Analogiško turinio pastaba taikytina ir keičiamo įstatymo 33 straipsnio 10 daliai.

102.           Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 33 straipsnio 5 dalyje po žodžio „nutartis“ įrašyti formuluotę „kuria esminio subjekto vadovas laikinai nušalinamas nuo pareigų“.

103.           Siekiant teisini aiškumo, vietoj keičiamo įstatymo 33 straipsnio 6 dalyje esančios formuluotės „fizinis asmuo“ įrašytina formuluotė „esminio subjekto vadovas“.

104.           Keičiamo įstatymo 33 straipsnio 7 dalyje esantys žodžiai „šešis“ ir „trijų“ keistini skaičiais.

105.           Keičiamo įstatymo 33 straipsnio 9 dalies nuostatos tikslintinos, nes 33 straipsnyje reglamentuojamas esminio subjekto vadovo laikinas nušalinimo nuo pareigų, o ne laikino teisės užsiimti tam tikra veikla sustabdymo klausimas. Be to, siūlytina pirmąjį šios dalies sakinį papildyti formuluote „kai ši priemonė yra nebereikalinga“.

106.           Siekiant teisinio aiškumo, keičiamo įstatymo 35 straipsnio 5 dalies iki dvitaškio nuostatą, nustatančią Nacionalinio kibernetinio saugumo centro sprendimo dėl papildomų įgaliojimų apribojimų turinį, siūlome dėstyti atskiroje naujoje dalyje. Taip pat siūlytina po formuluotės „6 mėnesiai“ įrašyti nuo kurios datos jie bus skaičiuojami. Analogiško turinio pastaba taikytina ir šio straipsnio 8 dalies nuostatai iki dvitaškio.

107.           Siekiant teisinio aiškumo, siūlytina keičiamo įstatymo 35 straipsnį papildyti nuostatomis dėl šiame straipsnyje numatytų Nacionalinio kibernetinio saugumo centro sprendimų apskundimo tvarkos.

108.           Keičiamo įstatymo 1 priedo 1.1.6 papunktyje, atsižvelgiant į tai, kad pilnas direktyvos pavadinimas jau yra nurodytas šio priedo 1.1.5 papunktyje, nurodytinas sutrumpintas direktyvos pavadinimas. Analogiška pastaba taikytina ir keičiamo įstatymo priedo 2.3.2 papunkčiui.

109.           Keičiamo įstatymo 3 priedo 1 punkte brauktina perteklinė nuostata „2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas“ (ES) 2019/881 dėl ENISA (Be to, šio punkto pabaigoje po žodžių ir skaičių „Reglamentas (ES) Nr. 526/2013“ įrašytina „(Kibernetinio saugumo aktas)“.

110.           Keičiamo įstatymo 3 priedo 3 punkte po žodžių ir skaičių „Direktyva (ES) 2016/1148“ įrašytina „(TIS 2 direktyva)“.

111.           Projekto 2 straipsnio nuostatos tikslintinos taip:

-            3 dalyje po žodžių „identifikuoja šio“ įrašytina formuluotė „įstatymo 1 straipsnyje išdėstyto Lietuvos Respublikos kibernetinio saugumo“;

-            5 ir 6 dalyse vietoj formuluotės „šiuo įstatymu nauja redakcija išdėstyto Lietuvos Respublikos kibernetinio saugumo įstatymo“ įrašytina formuluotė „šio įstatymo 1 straipsnyje išdėstyto Kibernetinio saugumo įstatymo“;

-            7 dalyje vietoj žodžio „centas“ įrašytinas žodis „centras“;

-            10 dalyje vietoj žodžio „galiojusio“ įrašytinas žodis „galiojusiu“;

-       10 dalyje vietoj žodžių „šiame įstatyme“ įrašytina formuluotė „šio įstatymo 1 straipsnyje išdėstytame Kibernetinio saugumo įstatyme“.

112.     Projekto 3 straipsnio 1 ir 2 dalyse vietoj žodžių „šiame įstatyme“ įrašytina formuluotė „šio įstatymo 1 straipsnyje išdėstytame Kibernetinio saugumo įstatyme“.

 

 

 

Departamento direktorius                                                                                      Dainius Zebleckis

 

 

 

 

 

 

 

R. Dirgėlienė, tel. (0 5)  209 6350, el. p. [email protected]

E. Mušinskis, tel. (0 5)  209 6356, el. p. [email protected]

L. Schulte-Ebbert, tel. (0 5)  209 6055, el. p. [email protected]