Projekto Nr. XIVP-3821(2)
lyginamasis variantas
LIETUVOS RESPUBLIKOS
VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ VALDYMO ĮSTATYMO NR. XI-1807 1, 3, 4, 5, 7, 14, 15, 26, 27, 39, 41, 42, 43 IR 46 STRAIPSNIŲ PAKEITIMO
ĮSTATYMAS
2024 m. d. Nr.
Vilnius
1 straipsnis. 1 straipsnio pakeitimas
Pakeisti 1 straipsnio 3 dalį ir ją išdėstyti taip:
„3. Šis įstatymas valstybės informaciniams
ištekliams, kurių valdymą, tvarkymą ir kitus iš jų kylančius teisinius
santykius, susijusius su nacionaliniam saugumui užtikrinti svarbių objektų
apsaugos, kibernetinio saugumo ir saugos, asmens duomenų apsaugos reikalavimų
taikymu, valstybės duomenų valdysenos nustatymu, elektroninių ryšių tinklų
naudojimu, viešuoju administravimu, duomenų pakartotiniu naudojimu, erdvinių
duomenų tvarkymu, reglamentuoja kiti Lietuvos Respublikos įstatymai, tiesiogiai
taikomi Europos Sąjungos teisės aktai ar Lietuvos Respublikos tarptautinės
sutartys, taikomas tiek, kiek tai nereglamentuota tuose Lietuvos Respublikos
įstatymuose, tiesiogiai taikomuose Europos Sąjungos teisės aktuose ar Lietuvos
Respublikos tarptautinėse sutartyse. “
2 straipsnis. 3 straipsnio pakeitimas
Pakeisti 3 straipsnį ir jį išdėstyti taip:
„3 straipsnis. Asmens duomenų
apsaugos, ir kibernetinio saugumo ir valstybės informacinių
išteklių saugos reikalavimų taikymas valdant ir tvarkant valstybės
informacinius išteklius
1. Valstybės informacinius išteklius sudarantys asmens duomenys yra valdomi ir tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu ir kitais teisės aktais, nustatančiais asmens duomenų tvarkymo reikalavimus (toliau kartu – asmens duomenų apsaugos reikalavimai).
2. Informacinėms sistemoms, duomenims, šių informacinių
sistemų, duomenų valdytojams ir (ar) tvarkytojams, IT platformoms ir IT
priemonėms yra bendrai taikomi Kibernetinio saugumo įstatymo nustatyti
kibernetinio saugumo ir valstybės informacinių išteklių saugos
reikalavimai (toliau kartu – kibernetinio saugumo reikalavimai)
ir kitų teisės aktų, nustatančių kibernetinio saugumo subjektų veiklą, sąlygos.“
3 straipsnis. 4 straipsnio pakeitimas
Pakeisti 4 straipsnio 1 dalies 3 punktą ir jį išdėstyti taip:
„3) didinti duomenų valdymo ir tvarkymo brandą, siekiant užtikrinti duomenų valdymo ir tvarkymo atitiktį organizaciniams, teisiniams, techniniams ir kibernetinio saugumo reikalavimams;“.
4 straipsnis. 5 straipsnio pakeitimas
1. Pakeisti 5 straipsnio 1 dalies 3 punktą ir jį išdėstyti taip:
„3) didinti informacinių sistemų gyvavimo ciklo valdymo brandą, siekiant užtikrinti, kad informacinių sistemų kūrimo būdai, gyvavimo ciklo stadijų metu vykdomi procesai ir etapų rezultatai leistų pasiekti informacinėms sistemoms keliamus organizacinius, teisinius, techninius ir kibernetinio saugumo reikalavimus;“.
2. Pakeisti 5 straipsnio 2 dalies 2 punktą ir jį išdėstyti taip:
„2) saugumo principu – saugumo reikalavimų, įskaitant
kibernetinio saugumo reikalavimų, užtikrinimas yra neatsiejama informacinių
sistemų, IT platformų ir IT priemonių projektavimo, kūrimo, veikimo, naudojimo
ir tobulinimo dalis. Saugumas turi būti pagrindinis subjektų keliamas
reikalavimas projektuojamoms, kuriamoms ar tobulinamoms informacinėms sistemoms,
taip pat įsigyjamoms IT platformoms ir IT priemonėms. Šis principas
įgyvendinamas nuo pat projektavimo etapo pradžios, siekiant sumažinti ar
išvengti galimų saugumo spragų prieš pradedant eksploatuoti informacinę sistemą
ar naudoti IT platformas ir IT priemones. Subjektai turi siekti, kad jų
informacinės sistemos, IT platformos ir IT priemonės būtų saugios naudotis
nuo pat pradžių, be jokių papildomų nustatymų ir saugumo užtikrinimo priemonių
mokesčių;“.
5 straipsnis. 7 straipsnio pakeitimas
Pakeisti 7 straipsnio 4 dalį ir ją išdėstyti taip:
„4.
Vyriausybės tvirtinamame valstybės informacinių išteklių svarbos vertinimo
tvarkos apraše už valstybės informacinių išteklių svarbos vertinimą
nurodytiems atsakingiems asmenims mutatis mutandis taikomi
Kibernetinio saugumo įstatymo 22 15 straipsnio 3 5 dalyje dalies
1 ir 2 punktuose saugos įgaliotiniui už kibernetinį saugumą atsakingiems asmenims nustatyti reikalavimai.“
6 straipsnis. 14 straipsnio pakeitimas
Pakeisti 14 straipsnio 2 dalį ir ją išdėstyti taip:
„2.
Institucinis skaitmeninimo įgaliotinis atsako už
skaitmeninimo veiklos ir skaitmenizavimo veiklos įgyvendinimo koordinavimą ir
kontrolę institucijoje ir ministro ministrų valdymo sritims
priskirtose institucijose, jeigu tokios tokių yra.“
7 straipsnis. 15 straipsnio pakeitimas
Pakeisti 15 straipsnio 3 dalį ir ją išdėstyti taip:
„3. Duomenų valdymo įgaliotiniui mutatis
mutandis taikomi Kibernetinio saugumo įstatymo 22 15
straipsnio 3 5 dalyje dalies 1 ir 2 punktuose saugos
įgaliotiniui už kibernetinį saugumą atsakingiems
asmenims nustatyti
reikalavimai.“
8 straipsnis. 26 straipsnio pakeitimas
1. Pakeisti 26 straipsnio 1 dalies 1 punktą ir jį išdėstyti taip:
„1) rengti ir priimti teisės aktus, susijusius su duomenų tvarkymu ir kibernetinio saugumo reikalavimais;“.
2. Pakeisti 26 straipsnio 3 dalies 1 punktą ir jį išdėstyti taip:
„1) duomenų valdytojo pavedimu rengti teisės aktų, susijusių su duomenų tvarkymu ir kibernetinio saugumo reikalavimais, projektus ir juos priimti;“.
3. Pakeisti 26 straipsnio 5 dalį ją išdėstyti taip:
„5. Duomenų valdytojas ir tvarkytojas ar tvarkytojai pagal kompetenciją užtikrina tinkamą asmens duomenų apsaugos ir kibernetinio saugumo reikalavimų įgyvendinimą ir atsako už šių reikalavimų pažeidimus.“
9 straipsnis. 27 straipsnio pakeitimas
1. Pakeisti 27 straipsnio 1 dalies 1 punktą ir jį išdėstyti taip:
„1) rengti ir priimti informacinės sistemos nuostatus ir kitus teisės aktus, susijusius su informacinės sistemos veikimu ir taikomais kibernetinio saugumo reikalavimais;“
2. Pakeisti 27 straipsnio 3 dalies 1 punktą ir jį išdėstyti taip:
„1) informacinės sistemos valdytojo pavedimu rengti ir priimti teisės aktus, susijusius su informacinės sistemos veikimu ir taikomais kibernetinio saugumo reikalavimais, išskyrus informacinės sistemos nuostatus;“.
3. Pakeisti 27 straipsnio 5 dalį ir ją išdėstyti taip:
„5. Informacinės sistemos valdytojas ir tvarkytojas pagal kompetenciją užtikrina tinkamą informacinės sistemos administravimo asmens duomenų apsaugos reikalavimų ir kibernetinio saugumo reikalavimų įgyvendinimą ir atsako už šių reikalavimų pažeidimus.“
10 straipsnis. 39 straipsnio pakeitimas
Pripažinti netekusiu galios 39 straipsnio 2 dalies 1 punktą:
„1) informacinės sistemos saugumo reikalavimų
užtikrinimu;“
11 straipsnis. 41 straipsnio pakeitimas
Pakeisti 41 straipsnį ir jį išdėstyti taip:
„41 straipsnis. IT paslaugų teikimo ir gavimo tvarka
1. Tarp IT paslaugų teikėjo ir IT paslaugų gavėjo sudaroma
rašytinė IT paslaugų teikimo sutartis, išskyrus atvejus, kai IT paslaugas
teikia IT paslaugų gavėjo administracijos padalinys. Su IT paslaugų
teikėju sudarant IT paslaugų teikimo sutartį vadovaujamasi šiuo įstatymu, Kibernetinio
saugumo įstatymu, kitais teisės aktais, reglamentuojančiais valstybės
informacinių išteklių valdymą ir tvarkymą, nustatančiais kibernetinio
saugumo reikalavimus, taip pat rekomenduojama vadovautis tarptautiniais ir
nacionaliniais informacinių technologijų ir su jų valdymu ir (ar) tvarkymu
susijusiais standartais bei tarptautine gerąja praktika.
2. IT paslaugų teikėjas užtikrina jo prižiūrimų informacinių sistemų, IT platformų ir (ar) IT priemonių priežiūrą, įgyvendina IT paslaugų teikimo sutartyje nustatytus įsipareigojimus, užtikrina, kad jo valdoma IT infrastruktūra ir (ar) IT paslaugoms teikti reikalinga infrastruktūra būtų naudojamos laikantis kibernetinio saugumo reikalavimų.
3. Su IT paslaugų teikėju sudaromoje IT paslaugų teikimo
sutartyje turi būti nustatomi šio įstatymo 39 straipsnio 2 dalyje
nurodyti reikalavimai. IT paslaugų teikėjas turi IT paslaugų teikimo
sutartyje nustatytas teises, taip pat privalo vykdyti šioje sutartyje
nustatytus įsipareigojimus ir teisės aktų, reglamentuojančių valstybės
informacinių išteklių valdymą ir tvarkymą, nustatytus kibernetinio saugumo reikalavimus.
4. Už IT paslaugų teikėjų suteiktas IT paslaugas IT paslaugų gavėjai apmoka iš šio įstatymo 46 straipsnyje nurodytų jiems skirtų finansavimo šaltinių.“
12 straipsnis. 42 straipsnio pakeitimas
Pakeisti 42 straipsnio 1 dalį ir ją išdėstyti taip:
„1. IT paslaugų gavėjo administracijos padalinys, atliekantis IT paslaugų teikėjo funkcijas, teikia IT paslaugų gavėjo veiklai užtikrinti reikalingas IT paslaugas, užtikrina teikiamų IT paslaugų atitiktį IT paslaugų gavėjo sprendimu nustatytiems IT paslaugų parametrams, taip pat kitų asmenų, įskaitant ir valstybės IT paslaugų teikėją, teikiamų IT paslaugų valdymą ir šių paslaugų atitiktį IT paslaugų teikimo sutartyse nustatytiems reikalavimams, kibernetinio saugumo reikalavimų įgyvendinimą, planuoja IT priemonių atnaujinimą, vertina, prognozuoja ir planuoja plėtros poreikius.“
13 straipsnis. 43 straipsnio pakeitimas
1. Pakeisti 43 straipsnio 6 dalį ir ją išdėstyti taip:
„6. Valstybės IT paslaugų teikėjas ar teikėjai užtikrina centralizuotai teikiamų IT paslaugų atitiktį IT paslaugų teikimo sutartyse su IT paslaugų gavėjais nustatytiems reikalavimams, atlieka centralizuotai valdomų IT priemonių tinkamo naudojimo kontrolę, įgyvendina kibernetinio saugumo reikalavimus, taikomus teikiamoms IT paslaugoms, planuoja valdomų IT priemonių atnaujinimą, prognozuoja plėtros poreikius, valdo centralizuotą IT infrastruktūrą.“.
2. Pakeisti 43 straipsnio 7 dalies 3 punktą ir jį išdėstyti taip:
„3) pastebėjus kibernetinio saugumo reikalavimų pažeidimų, atsirandančių netinkamai naudojantis teikiamomis IT paslaugomis, informuoti IT paslaugų gavėjo atsakingus asmenis ir laikinai stabdyti IT paslaugų teikimą, iki pastebėti pažeidimai bus pašalinti;“
14 straipsnis. 46 straipsnio pakeitimas
Pakeisti 46 straipsnio 1 dalį ir ją išdėstyti taip:
„1. Valstybės informacinių išteklių valdysena, valdymas ir tvarkymas (įskaitant pasirengimą steigti ir kurti informacines sistemas) bei kibernetinio saugumo reikalavimų įgyvendinimas yra finansuojami iš subjekto veiklai užtikrinti skirtų valstybės biudžeto (įskaitant Europos Sąjungos lėšas), Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų lėšų, taip pat lėšų, gautų už objektų registravimą, duomenų teikimą ir kitus su duomenų tvarkymu susijusius veiksmus, bei kitų Lietuvos Respublikos teisės aktuose nustatytų finansavimo šaltinių.“.
15 straipsnis. Įstatymo įsigaliojimas
Šis įstatymas įsigalioja 2024 m. spalio 18 d.
Skelbiu šį Lietuvos Respublikos Seimo priimtą įstatymą.
Respublikos Prezidentas
Teikia
Ekonomikos komiteto pirmininkas Kazys Starkevičius