1. Tvarkant valstybės informacinius išteklius, privaloma įgyvendinti teisines, organizacines ir technines elektroninės informacijos saugos priemones, skirtas apsaugoti informacinėse sistemose tvarkomus duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, sugadinimo, atskleidimo, neteisėto pasisavinimo, paskelbimo, pateikimo ar kitokio panaudojimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

2. Siekiant užtikrinti valstybės informacinių išteklių saugą, vadovaujantis Vyriausybės tvirtinamu elektroninės informacijos saugos reikalavimų aprašu rengiami, derinami ir tvirtinami informacinės sistemos saugos dokumentai. Informacinės sistemos valdytojas gali tvirtinti visų jo valdymo sričiai priskirtų informacinių sistemų bendrus saugos dokumentus. Tais atvejais, kai  informacinės sistemos tvarkytojas tvarko skirtingų valdytojų valdomas informacines sistemas,  informacinės sistemos valdytojas gali tvirtinti bendrus jo valdymo sričiai priskirtų informacinių sistemų, kurias tvarko tas pats tvarkytojas, saugos dokumentus. Organizuojant valstybės informacinių išteklių saugą, rekomenduojama vadovautis pripažintų standartizacijos organizacijų ir standartizacijos institucijų priimtais ir paskelbtais standartais.

3. Už informacinėje sistemoje tvarkomų duomenų saugą pagal kompetenciją atsako subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius. Subjektai, tvarkantys valstybės informacinius išteklius, privalo saugos nuostatuose ir kituose saugos dokumentuose nustatyta tvarka užtikrinti reikiamas technines ir organizacines saugos priemones ir tokių priemonių laikymąsi.

4. Darbuotojai, informacinėje sistemoje tvarkantys duomenis, privalo įsipareigoti saugoti duomenų paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su duomenų tvarkymu susijusią veiklą.

5. Fizinių asmenų asmens duomenų saugumas užtikrinamas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu.

6. Informacija apie elektroninės informacijos saugos priemones, nurodytas šio straipsnio 1 dalyje, ir valstybės informacinių išteklių pažeidžiamumą yra konfidenciali ir teikiama, jeigu galimybė teikti šią informaciją yra numatyta įstatymuose ar jų pagrindu priimtuose kituose norminiuose teisės aktuose.

1. Saugos įgaliotiniu skiriamas darbuotojas, kuris atsako už elektroninės informacijos saugos reikalavimų vykdymą ir atlieka kitas informacinės sistemos saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

2. Asmuo gali būti skiriamas ir atlikti saugos įgaliotinio funkcijas, jeigu atitinka šiuos reikalavimus:  

3. Skirdamas saugos įgaliotinį, subjekto vadovas arba jo įgaliotas darbuotojas privalo patikrinti skiriamo asmens atitiktį šio straipsnio 2 dalies nustatytiems reikalavimams ir turi teisę šiuo tikslu gauti reikalingus informacinių sistemų duomenis, o jį paskyręs - privalo šio asmens atitiktį nustatytiems reikalavimams tikrinti ne rečiau kaip kartą per ketvirtį.

4. Asmuo negali atlikti saugos įgaliotinio funkcijų, jeigu paaiškėja, kad yra pradėtas ikiteisminis tyrimas (iškelta baudžiamoji byla) dėl jo galimai padarytų šio straipsnio 2 dalyje nurodytų draudžiamų veikų. Šiuo atveju tokio asmens įgaliojimai vykdyti saugos įgaliotinio funkcijas yra laikinai sustabdomi. Kol atliekamas ikiteisminis tyrimas ir (ar) vyksta teismo procesas, laikinai saugos įgaliotinio funkcijoms atlikti šio straipsnio 2 ir 3 dalyse nustatyta tvarka yra skiriamas kitas asmuo.

5. Saugos įgaliotinis skiriamas teisės aktu, kuriuo tvirtinami informacinės sistemos saugos nuostatai, arba informacinės sistemos valdytojas paveda informacinės sistemos tvarkytojui paskirti saugos įgaliotinį.

6. Saugos įgaliotinis gali būti paskiriamas kelioms informacinėms sistemoms.

Subjektai, valdantys valstybės informacinius išteklius teikia duomenis apie elektroninės informacijos saugos reikalavimų įgyvendinimą savo valdomuose valstybės informaciniuose ištekliuose Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose nustatyta tvarka.

1. Valstybės ir savivaldybių institucijos ir įstaigos, valstybės įmonės ir viešosios įstaigos (toliau kartu – institucijos), įrašytos į Saugiojo tinklo naudotojų sąrašą, privalo naudotis tik Saugiuoju tinklu teikiamomis elektroninių ryšių paslaugomis ir jungtis prie viešųjų elektroninių ryšių tinklų tik per Saugųjį tinklą. Kai nėra techninių galimybių jungtis prie viešųjų elektroninių ryšių tinklų tik per Saugųjį tinklą, institucijos turi teisę Vyriausybės ar jos įgaliotos institucijos nustatytais atvejais ir tvarka prie viešųjų elektroninių ryšių tinklų jungtis ne per Saugųjį tinklą. Saugiojo tinklo naudotojų sąrašą Krašto apsaugos ministerijos teikimu tvirtina Vyriausybė. Saugiuoju tinklu negali naudotis į Saugiojo tinklo naudotojų sąrašą neįtraukti subjektai. Krašto apsaugos ministerija bent kartą per metus peržiūri Saugiojo tinklo naudotojų sąrašą ir prireikus inicijuoja šio sąrašo pakeitimus.

2. Į Saugiojo tinklo naudotojų sąrašą yra įrašomos institucijos, atitinkančios bent vieną iš šių kriterijų:

3. Saugųjį tinklą tvarko krašto apsaugos ministro įgaliota valstybės biudžetinė įstaiga.

4. Specialiuosius organizacinius ir techninius reikalavimus, taikomus Saugiajam tinklui, Saugiojo tinklo paslaugoms bei prekių ir paslaugų Saugiajam tinklui teikėjams, ir Saugiojo tinklo nuostatus tvirtina Saugiojo tinklo valdytojas. Saugiojo tinklo tvarkytojas užtikrina, kad būtų įgyvendinti specialieji organizaciniai ir techniniai reikalavimai, taikomi Saugiajam tinklui, ir būtų teikiamos Saugiojo tinklo standartinės ir papildomos elektroninių ryšių ir kibernetinio saugumo paslaugos. Saugiuoju tinklu teikiamų elektroninių ryšių ir kibernetinio saugumo paslaugų teikimo sąlygas ir taisykles nustato Vyriausybė ar jos įgaliota institucija. Saugiajam tinklui veikti reikiamų prekių ir paslaugų įsigijimui taikomi Viešųjų pirkimų įstatymo reikalavimai.

5. Saugiuoju tinklu teikiamas standartines elektroninių ryšių ir kibernetinio saugumo paslaugas (toliau – standartinės paslaugos) sudaro:

6. Standartinių paslaugų kiekybiniai ir kokybiniai rodikliai nustatomi Vyriausybės ar jos įgaliotos institucijos Saugiuoju tinklu teikiamų elektroninių ryšių ir kibernetinio saugumo paslaugų teikimo sąlygose ir taisyklėse. Saugiojo tinklo tvarkytojas užtikrina neatlygintiną standartinių paslaugų teikimą Saugiojo tinklo naudotojams. Išlaidos, patirtos dėl neatlygintinai teikiamų standartinių paslaugų, finansuojamos iš Saugiajam tinklui tvarkyti skiriamų valstybės biudžeto lėšų ir (ar) kitų teisės aktuose nustatytų finansavimo šaltinių.

7. Saugiuoju tinklu teikiamas papildomas elektroninių ryšių ir kibernetinio saugumo paslaugas (toliau – papildomos paslaugos) sudaro šio straipsnio 5 dalyje nurodytos paslaugos, kurių kiekybiniai ar kokybiniai rodikliai, atsižvelgiant į Saugiojo tinklo naudotojų poreikius, skiriasi nuo nustatytų standartinių paslaugų rodiklių.

8. Atlyginimo už naudojimąsi papildomomis paslaugomis dydžių kriterijus ir atlyginimo nustatymo tvarkos aprašą tvirtina Vyriausybė. Krašto apsaugos ministras, atsižvelgdamas į atlyginimo už naudojimąsi Saugiuoju tinklu dydžių kriterijus, tvirtina atlyginimo už naudojimąsi Saugiuoju tinklu dydžius. Atlyginimas už papildomas paslaugas neturi viršyti sąnaudų, patiriamų teikiant šias paslaugas. Papildomų paslaugų teikimo sąnaudos Saugiojo tinklo tvarkytojo lėšomis turi būti patikrintos auditoriaus ar audito įmonės, o patikrinti duomenys apie patirtas sąnaudas per 2 mėnesius nuo kalendorinių metų pabaigos turi būti pateikti Vyriausybės įgaliotai institucijai. Vyriausybės įgaliota institucija vertina, ar atlyginimo už papildomų paslaugų teikimą dydžiai apskaičiuoti atsižvelgiant į Vyriausybės patvirtintus atlyginimo už naudojimąsi papildomomis paslaugomis dydžių kriterijus, ir teikia išvadą Saugiojo tinklo tvarkytojui.

9. Institucijų prisijungimo prie Saugiojo tinklo ir atsijungimo nuo jo sąlygas, planą ir terminus nustato Vyriausybė ar jos įgaliota institucija.

1. Institucijos, įrašytos į Saugiojo tinklo naudotojų sąrašą, savo valdomus valstybės informacinius išteklius laiko valstybiniuose duomenų centruose arba Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose vadovaudamosi Valstybės informacinių išteklių valdymo įstatymo 49 straipsnio 1-4 ir 6 dalyse nustatyta tvarka.

2. Institucijų išlaidos, patirtos dėl jų valdomų valstybės informacinių išteklių ir (ar) jų kopijų laikymo valstybiniuose duomenų centruose arba Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esančiuose duomenų centruose, finansuojamos iš šioms institucijoms skirtų valstybės biudžeto lėšų ir (arba) padengiamos iš kitų teisės aktuose nustatytų finansavimo šaltinių.

3. Valstybinių duomenų centrų sąrašas, techniniai ir organizacinius reikalavimai, taikomi valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (arba) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, tvirtinami Valstybės informacinių išteklių įstatymo nustatyta tvarka.“