Projekto Nr. XIVP-3821(2)

lyginamasis variantas

 

LIETUVOS RESPUBLIKOS

VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ VALDYMO ĮSTATYMO NR. XI-1807 1, 3, 4, 5, 7, 14, 15, 26, 27, 39, 41, 42, 43 IR  46 STRAIPSNIŲ PAKEITIMO

ĮSTATYMAS

 

2024 m.                        d. Nr.

Vilnius

 

1 straipsnis. 1 straipsnio pakeitimas

Pakeisti 1 straipsnio 3 dalį ir ją išdėstyti taip:

3. Šis įstatymas valstybės informaciniams ištekliams, kurių valdymą, tvarkymą ir kitus iš jų kylančius teisinius santykius, susijusius su nacionaliniam saugumui užtikrinti svarbių objektų apsaugos, kibernetinio saugumo ir saugos, asmens duomenų apsaugos reikalavimų taikymu, valstybės duomenų valdysenos nustatymu, elektroninių ryšių tinklų naudojimu, viešuoju administravimu, duomenų pakartotiniu naudojimu, erdvinių duomenų tvarkymu, reglamentuoja kiti Lietuvos Respublikos įstatymai, tiesiogiai taikomi Europos Sąjungos teisės aktai ar Lietuvos Respublikos tarptautinės sutartys, taikomas tiek, kiek tai nereglamentuota tuose Lietuvos Respublikos įstatymuose, tiesiogiai taikomuose Europos Sąjungos teisės aktuose ar Lietuvos Respublikos tarptautinėse sutartyse.

 

2 straipsnis. 3 straipsnio pakeitimas

Pakeisti 3 straipsnį ir jį išdėstyti taip:

3 straipsnis. Asmens duomenų apsaugos, ir kibernetinio saugumo ir valstybės informacinių išteklių saugos reikalavimų taikymas valdant ir tvarkant valstybės informacinius išteklius

1. Valstybės informacinius išteklius sudarantys asmens duomenys yra valdomi ir tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu ir kitais teisės aktais, nustatančiais asmens duomenų tvarkymo reikalavimus (toliau kartu – asmens duomenų apsaugos reikalavimai).

2. Informacinėms sistemoms, duomenims, šių informacinių sistemų, duomenų valdytojams ir (ar) tvarkytojams, IT platformoms ir IT priemonėms yra bendrai taikomi Kibernetinio saugumo įstatymo nustatyti kibernetinio saugumo ir valstybės informacinių išteklių saugos reikalavimai (toliau kartukibernetinio saugumo reikalavimai) ir kitų teisės aktų, nustatančių kibernetinio saugumo subjektų veiklą, sąlygos.

 

3 straipsnis. 4 straipsnio pakeitimas

Pakeisti 4 straipsnio 1 dalies 3 punktą ir jį išdėstyti taip:

3) didinti duomenų valdymo ir tvarkymo brandą, siekiant užtikrinti duomenų valdymo ir tvarkymo atitiktį organizaciniams, teisiniams, techniniams ir kibernetinio saugumo reikalavimams;“.

 

4 straipsnis. 5 straipsnio pakeitimas

1. Pakeisti 5 straipsnio 1 dalies 3 punktą ir jį išdėstyti taip:

3) didinti informacinių sistemų gyvavimo ciklo valdymo brandą, siekiant užtikrinti, kad informacinių sistemų kūrimo būdai, gyvavimo ciklo stadijų metu vykdomi procesai ir etapų rezultatai leistų pasiekti informacinėms sistemoms keliamus organizacinius, teisinius, techninius ir kibernetinio saugumo reikalavimus;“.

2. Pakeisti 5 straipsnio 2 dalies 2 punktą ir jį išdėstyti taip:

„2) saugumo principu – saugumo reikalavimų, įskaitant kibernetinio saugumo reikalavimų, užtikrinimas yra neatsiejama informacinių sistemų, IT platformų ir IT priemonių projektavimo, kūrimo, veikimo, naudojimo ir tobulinimo dalis. Saugumas turi būti pagrindinis subjektų keliamas reikalavimas projektuojamoms, kuriamoms ar tobulinamoms informacinėms sistemoms, taip pat įsigyjamoms IT platformoms ir IT priemonėms. Šis principas įgyvendinamas nuo pat projektavimo etapo pradžios, siekiant sumažinti ar išvengti galimų saugumo spragų prieš pradedant eksploatuoti informacinę sistemą ar naudoti IT platformas ir IT priemones. Subjektai turi siekti, kad jų informacinės sistemos, IT platformos ir IT priemonės būtų saugios naudotis nuo pat pradžių, be jokių papildomų nustatymų ir saugumo užtikrinimo priemonių mokesčių;“.

 

5 straipsnis. 7 straipsnio pakeitimas

Pakeisti 7 straipsnio 4 dalį ir ją išdėstyti taip:

4. Vyriausybės tvirtinamame valstybės informacinių išteklių svarbos vertinimo tvarkos apraše už valstybės informacinių išteklių svarbos vertinimą nurodytiems atsakingiems asmenims mutatis mutandis taikomi Kibernetinio saugumo įstatymo 22 15 straipsnio 3 5 dalyje dalies 1 ir 2 punktuose saugos įgaliotiniui už kibernetinį saugumą atsakingiems asmenims nustatyti reikalavimai.

 

6 straipsnis. 14 straipsnio pakeitimas

Pakeisti 14 straipsnio 2 dalį ir ją išdėstyti taip:

„2. Institucinis skaitmeninimo įgaliotinis atsako už skaitmeninimo veiklos ir skaitmenizavimo veiklos įgyvendinimo koordinavimą ir kontrolę institucijoje ir ministro ministrų valdymo sritims priskirtose institucijose, jeigu tokios tokių yra.“

 

7 straipsnis. 15 straipsnio pakeitimas

Pakeisti 15 straipsnio 3 dalį ir ją išdėstyti taip:

3. Duomenų valdymo įgaliotiniui mutatis mutandis taikomi Kibernetinio saugumo įstatymo 22 15 straipsnio 3 5 dalyje dalies 1 ir 2 punktuose saugos įgaliotiniui už kibernetinį saugumą atsakingiems asmenims nustatyti reikalavimai.

 

8 straipsnis. 26 straipsnio pakeitimas

1. Pakeisti 26 straipsnio 1 dalies 1 punktą ir jį išdėstyti taip:

1) rengti ir priimti teisės aktus, susijusius su duomenų tvarkymu ir kibernetinio saugumo reikalavimais;“.

2. Pakeisti 26 straipsnio 3 dalies 1 punktą ir jį išdėstyti taip:

1) duomenų valdytojo pavedimu rengti teisės aktų, susijusių su duomenų tvarkymu ir kibernetinio saugumo reikalavimais, projektus ir juos priimti;“.

3. Pakeisti 26 straipsnio 5 dalį ją išdėstyti taip:

5. Duomenų valdytojas ir tvarkytojas ar tvarkytojai pagal kompetenciją užtikrina tinkamą asmens duomenų apsaugos ir kibernetinio saugumo reikalavimų įgyvendinimą ir atsako už šių reikalavimų pažeidimus.

 

9 straipsnis. 27 straipsnio pakeitimas

1. Pakeisti 27 straipsnio 1 dalies 1 punktą ir jį išdėstyti taip:

„1) rengti ir priimti informacinės sistemos nuostatus ir kitus teisės aktus, susijusius su informacinės sistemos veikimu ir taikomais kibernetinio saugumo reikalavimais;“

2. Pakeisti 27 straipsnio 3 dalies 1 punktą ir jį išdėstyti taip:

1) informacinės sistemos valdytojo pavedimu rengti ir priimti teisės aktus, susijusius su informacinės sistemos veikimu ir taikomais kibernetinio saugumo reikalavimais, išskyrus informacinės sistemos nuostatus;“.

3. Pakeisti 27 straipsnio 5 dalį ir ją išdėstyti taip:

5. Informacinės sistemos valdytojas ir tvarkytojas pagal kompetenciją užtikrina tinkamą informacinės sistemos administravimo asmens duomenų apsaugos reikalavimų ir kibernetinio saugumo reikalavimų įgyvendinimą ir atsako už šių reikalavimų pažeidimus.

 

10 straipsnis. 39 straipsnio pakeitimas

Pripažinti netekusiu galios 39 straipsnio 2 dalies  1 punktą:

1) informacinės sistemos saugumo reikalavimų užtikrinimu;

 

11 straipsnis. 41 straipsnio pakeitimas

Pakeisti 41 straipsnį ir jį išdėstyti taip:

41 straipsnis. IT paslaugų teikimo ir gavimo tvarka

1. Tarp IT paslaugų teikėjo ir IT paslaugų gavėjo sudaroma rašytinė IT paslaugų teikimo sutartis, išskyrus atvejus, kai IT paslaugas teikia IT paslaugų gavėjo administracijos padalinys. Su IT paslaugų teikėju sudarant IT paslaugų teikimo sutartį vadovaujamasi šiuo įstatymu, Kibernetinio saugumo įstatymu, kitais teisės aktais, reglamentuojančiais valstybės informacinių išteklių valdymą ir tvarkymą, nustatančiais kibernetinio saugumo reikalavimus, taip pat rekomenduojama vadovautis tarptautiniais ir nacionaliniais informacinių technologijų ir su jų valdymu ir (ar) tvarkymu susijusiais standartais bei tarptautine gerąja praktika.

2. IT paslaugų teikėjas užtikrina jo prižiūrimų informacinių sistemų, IT platformų ir (ar) IT priemonių priežiūrą, įgyvendina IT paslaugų teikimo sutartyje nustatytus įsipareigojimus, užtikrina, kad jo valdoma IT infrastruktūra ir (ar) IT paslaugoms teikti reikalinga infrastruktūra būtų naudojamos laikantis kibernetinio saugumo reikalavimų.

3. Su IT paslaugų teikėju sudaromoje IT paslaugų teikimo sutartyje turi būti nustatomi šio įstatymo 39 straipsnio 2 dalyje nurodyti reikalavimai. IT paslaugų teikėjas turi IT paslaugų teikimo sutartyje nustatytas teises, taip pat privalo vykdyti šioje sutartyje nustatytus įsipareigojimus ir teisės aktų, reglamentuojančių valstybės informacinių išteklių valdymą ir tvarkymą, nustatytus kibernetinio saugumo reikalavimus.

4. Už IT paslaugų teikėjų suteiktas IT paslaugas IT paslaugų gavėjai apmoka iš šio įstatymo 46 straipsnyje nurodytų jiems skirtų finansavimo šaltinių.

 

12 straipsnis. 42 straipsnio pakeitimas

Pakeisti 42 straipsnio 1 dalį ir ją išdėstyti taip:

1. IT paslaugų gavėjo administracijos padalinys, atliekantis IT paslaugų teikėjo funkcijas, teikia IT paslaugų gavėjo veiklai užtikrinti reikalingas IT paslaugas, užtikrina teikiamų IT paslaugų atitiktį IT paslaugų gavėjo sprendimu nustatytiems IT paslaugų parametrams, taip pat kitų asmenų, įskaitant ir valstybės IT paslaugų teikėją, teikiamų IT paslaugų valdymą ir šių paslaugų atitiktį IT paslaugų teikimo sutartyse nustatytiems reikalavimams, kibernetinio saugumo reikalavimų įgyvendinimą, planuoja IT priemonių atnaujinimą, vertina, prognozuoja ir planuoja plėtros poreikius.

 

13 straipsnis. 43 straipsnio pakeitimas

1. Pakeisti 43 straipsnio 6 dalį ir ją išdėstyti taip:

6. Valstybės IT paslaugų teikėjas ar teikėjai užtikrina centralizuotai teikiamų IT paslaugų atitiktį IT paslaugų teikimo sutartyse su IT paslaugų gavėjais nustatytiems reikalavimams, atlieka centralizuotai valdomų IT priemonių tinkamo naudojimo kontrolę, įgyvendina kibernetinio saugumo reikalavimus, taikomus teikiamoms IT paslaugoms, planuoja valdomų IT priemonių atnaujinimą, prognozuoja plėtros poreikius, valdo centralizuotą IT infrastruktūrą.“.

2. Pakeisti 43 straipsnio 7 dalies 3 punktą ir jį išdėstyti taip:

3) pastebėjus kibernetinio saugumo reikalavimų pažeidimų, atsirandančių netinkamai naudojantis teikiamomis IT paslaugomis, informuoti IT paslaugų gavėjo atsakingus asmenis ir laikinai stabdyti IT paslaugų teikimą, iki pastebėti pažeidimai bus pašalinti;

 

14 straipsnis. 46 straipsnio pakeitimas

Pakeisti 46 straipsnio 1 dalį ir ją išdėstyti taip:

1. Valstybės informacinių išteklių valdysena, valdymas ir tvarkymas (įskaitant pasirengimą steigti ir kurti informacines sistemas) bei kibernetinio saugumo reikalavimų įgyvendinimas yra finansuojami iš subjekto veiklai užtikrinti skirtų valstybės biudžeto (įskaitant Europos Sąjungos lėšas), Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų lėšų, taip pat lėšų, gautų už objektų registravimą, duomenų teikimą ir kitus su duomenų tvarkymu susijusius veiksmus, bei kitų Lietuvos Respublikos teisės aktuose nustatytų finansavimo šaltinių.“.

 

15 straipsnis. Įstatymo įsigaliojimas

Šis įstatymas įsigalioja 2024 m. spalio 18 d.

 

 

Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.

 

 

Respublikos Prezidentas

 

 

 

Teikia

Ekonomikos komiteto pirmininkas                                                                Kazys Starkevičius