Projektas Nr. XIIP-1936(2)
LIETUVOS RESPUBLIKOS
Kibernetinio saugumo
ĮSTATYMAS
2014 m. d. Nr.
Vilnius
I SKYRIUS
BENDROSIOS NUOSTATOS
1 straipsnis. Įstatymo paskirtis ir taikymas
1. Šis įstatymas nustato kibernetinio saugumo sistemos organizavimą, valdymą ir kontrolę, apibrėžia kibernetinio saugumo politiką formuojančias ir įgyvendinančias institucijas, jų kompetenciją, funkcijas, teises ir pareigas, valstybės informacinių išteklių valdytojų ir (arba) tvarkytojų, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų pareigas bei atsakomybę ir kibernetinio saugumo užtikrinimo priemones.
2. Šis įstatymas jame nustatytomis sąlygomis ir tvarka taikomas valstybės institucijoms, formuojančioms ir įgyvendinančioms kibernetinio saugumo politiką, viešojo administravimo subjektams, valdantiems ir (arba) tvarkantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams ir elektroninės informacijos prieglobos paslaugų teikėjams, informacinių technologijų srityje veiklą vykdantiems verslo subjektams, mokslo ir studijų institucijoms (toliau – kibernetinio saugumo dalyviai).
3. Šis įstatymas taikomas tiek, kiek šiame įstatyme reglamentuojamų visuomeninių santykių nereglamentuoja Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, Lietuvos Respublikos elektroninių ryšių įstatymas, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas, Lietuvos Respublikos nacionalinio saugumo pagrindų įstatymas ir Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas.
2 straipsnis. Pagrindinės šio įstatymo sąvokos
1. Elektroninės informacijos prieglobos paslaugos – informacinės visuomenės paslaugos, apimančios galimybės naudotis elektroninės informacijos ir elektroninių duomenų (toliau – elektroninė informacija) kūrimo ir tvarkymo priemonėmis sudarymą ir (arba) paslaugų gavėjo pateiktos elektroninės informacijos saugojimą.
2. Ypatingos svarbos informacinė infrastruktūra – elektroninių ryšių tinklas ar jo dalis, informacinė sistema ar jos dalis, informacinių sistemų grupė ar pramoninių procesų valdymo sistema ar jos dalis, nepaisant to, ar jos valdytojas yra privatus ar valstybės subjektas, kuriuose įvykęs kibernetinis incidentas gali padaryti didelę žalą nacionaliniam saugumui, šalies ūkiui, valstybės ir visuomenės interesams.
3. Kibernetinė erdvė – aplinka, kurioje pavieniuose kompiuteriuose ar kitoje informacinėje ir ryšių technologijų įrangoje sukuriama elektroninė informacija ir (arba) perduodama per elektroninių ryšių tinklu sujungtus kompiuterius ar kitą informacinių ir ryšių technologijų įrangą.
4. Kibernetinis incidentas – saugumo incidentas ir (arba) tie patys įvykiai (arba veikos) pramoninių procesų valdymo sistemoje.
5. Kibernetinis saugumas – visuma teisinių, informacijos sklaidos, organizacinių ir techninių priemonių, skirtų kibernetiniams incidentams išvengti, aptikti, analizuoti ir reaguoti į juos, taip pat įprastinei elektroninių ryšių tinklų, informacinių sistemų ar pramoninių procesų valdymo sistemų veiklai, įvykus šiems incidentams, atkurti.
6. Pramoninių procesų valdymo sistema – iš informacinėmis ir ryšių technologijomis grindžiamos įrangos sudaryta sistema, skirta technologiniams procesams stebėti ar valdyti pramonės, energetikos, transporto, vandens tiekimo paslaugų ir kituose ūkinės veiklos sektoriuose.
7. Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Lietuvos Respublikos žvalgybos įstatyme, Lietuvos Respublikos kriminalinės žvalgybos įstatyme ir Lietuvos Respublikos viešojo administravimo įstatyme.
3 straipsnis. Kibernetinio saugumo principai
1. Kibernetinis saugumas grindžiamas bendraisiais teisės principais, elektroninių ryšių veiklos reguliavimo principais ir šiais kibernetinio saugumo principais:
1) kibernetinės erdvės nediskriminavimo – įstatymų ir kitų teisės aktų nuostatos ir saugomi gėriai vienodai taikomi tiek fizinėje, tiek kibernetinėje erdvėje;
2) kibernetinio saugumo proporcingumo – taikomos kibernetinio saugumo užtikrinimo priemonės negali būti griežtesnės negu būtina kibernetiniam saugumui užtikrinti, o taikomi teisiniai, organizaciniai ir techniniai kibernetinio saugumo reikalavimai neturi apriboti kibernetinio saugumo dalyvių veiklos kibernetinėje erdvėje labiau, negu tai būtina;
II SKYRIUS
KIBERNETINIO SAUGUMO POLITIKOS FORMAVIMAS IR ĮGYVENDINIMAS
4 straipsnis. Kibernetinio saugumo politikos formavimo ir įgyvendinimo institucijos
1. Kibernetinio saugumo politikos strateginius tikslus ir jiems pasiekti būtinas priemones nustato Lietuvos Respublikos Vyriausybė (toliau – Vyriausybė).
2. Kibernetinio saugumo politiką formuoja, jos įgyvendinimą organizuoja, kontroliuoja ir koordinuoja Lietuvos Respublikos krašto apsaugos ministerija (toliau – Krašto apsaugos ministerija). Lietuvos Respublikos vidaus reikalų ministerija (toliau – Vidaus reikalų ministerija), Nacionalinis kibernetinio saugumo centras, Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau – Ryšių reguliavimo tarnyba), Valstybinė duomenų apsaugos inspekcija ir Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Policijos departamentas) formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek šiame įstatyme nustatytoms funkcijoms atlikti reikia nustatyti viešojo administravimo subjektų, valdančių valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų veiklos teisinį reguliavimą.
5 straipsnis. Vyriausybės įgaliojimai kibernetinio saugumo srityje
Vyriausybė:
1) sudaro Kibernetinio saugumo tarybą ir tvirtina jos reglamentą, tarybos narių skaičių ir paveda krašto apsaugos ministrui nustatyti tarybos personalinę sudėtį;
2) tvirtina Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką ir ypatingos svarbos informacinę infrastruktūrą ir (arba) šios infrastruktūros valdytojų sąrašą;
3) tvirtina organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus ypatingos svarbos informacinei infrastruktūrai, organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus valstybės informaciniams ištekliams;
5) tvirtina tipinius kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planus;
6 straipsnis. Krašto apsaugos ministerijos įgaliojimai kibernetinio saugumo srityje
Krašto apsaugos ministerija, formuodama kibernetinio saugumo politiką ir organizuodama, kontroliuodama ir koordinuodama jos įgyvendinimą:
1) rengia ir teikia Vyriausybei tvirtinti organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus ypatingos svarbos informacinei infrastruktūrai, ir organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus valstybės informaciniams ištekliams;
3) teikia Vyriausybei tvirtinti tipinius kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planus;
7 straipsnis. Vidaus reikalų ministerijos įgaliojimai kibernetinio saugumo srityje
Vidaus reikalų ministerija:
1) rengia ir teikia Vyriausybei tvirtinti Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką ir ypatingos svarbos informacinę infrastruktūrą ir (arba) šios infrastruktūros valdytojų sąrašą;
8 straipsnis. Ryšių reguliavimo tarnybos įgaliojimai kibernetinio saugumo srityje
1. Ryšių reguliavimo tarnyba, įgyvendindama kibernetinio saugumo politiką, reguliuoja viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų veiklą kibernetinio saugumo užtikrinimo srityje ir pagal kompetenciją:
1) rengia ir tvirtina informacijos apie kibernetinius incidentus ir taikytas šių incidentų valdymo priemones teikimo Ryšių reguliavimo tarnybai tvarkos ir sąlygų aprašą;
2) rengia ir tvirtina organizacinius ir techninius reikalavimus, taikomus elektroninės informacijos prieglobos paslaugų saugumui ir vientisumui užtikrinti;
3) rengia ir tvirtina techninės informacijos, reikalingos vertinti viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būseną, teikimo Ryšių reguliavimo tarnybai tvarkos ir sąlygų aprašą;
4) atlieka viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų interneto prieigos tinklų infrastruktūros vientisumo tyrimus;
5) atlieka viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būsenos tyrimus;
2. Ryšių reguliavimo tarnyba, siekdama užtikrinti viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų saugumą ir vientisumą, užkirsti kelią kibernetiniams incidentams plisti, mažinti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų, elektroninės informacijos prieglobos paslaugų teikėjų ir (arba) viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų gavėjų dėl kibernetinių incidentų patiriamos žalos atsiradimo riziką, turi teisę duoti privalomus nurodymus ir nustatyti nurodymų įvykdymo terminą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams ir (arba) elektroninės informacijos prieglobos paslaugų teikėjams. Ryšių reguliavimo tarnybos nurodymai turi būti motyvuoti ir proporcingi tikslui pasiekti.
9 straipsnis. Kibernetinio saugumo taryba
1. Kibernetinio saugumo taryba yra nuolatinė kolegiali institucija, analizuojanti kibernetinio saugumo užtikrinimo būklę Lietuvos Respublikoje ir teikianti pasiūlymus kibernetinio saugumo dalyviams dėl šios būklės gerinimo. Kibernetinio saugumo taryba yra sudaroma iš kibernetinio saugumo politiką formuojančių ir įgyvendinančių valstybės institucijų, informacinių technologijų srityje veiklą vykdančių verslo subjektų atstovų, mokslo ir studijų institucijų atstovų, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų, elektroninės informacijos prieglobos paslaugų teikėjų atstovų, o prireikus ir iš kitų asmenų.
3. Kibernetinio saugumo tarybos darbo ūkinį ir techninį aptarnavimą vykdo Krašto apsaugos ministerija ar jos įgaliota institucija.
4. Kibernetinio saugumo taryba:
1) teikia pasiūlymus kibernetinio saugumo dalyviams dėl kibernetinio saugumo prioritetų, plėtros krypčių, siektinų rezultatų ir jų įgyvendinimo būdų;
2) teikia pasiūlymus kibernetinio saugumo dalyviams dėl platesnio viešojo sektoriaus, verslo ir mokslo bendradarbiavimo galimybių kibernetinio saugumo užtikrinimo srityje;
3) analizuoja kibernetinio saugumo užtikrinimo tobulinimo tendencijas, teikia kibernetinio saugumo dalyviams išvadas ir pasiūlymus dėl kibernetinių incidentų valdymo;
10 straipsnis. Nacionalinis kibernetinio saugumo centras
1. Nacionalinio kibernetinio saugumo centro funkcijas vykdo įstaiga prie Krašto apsaugos ministerijos.
2. Nacionalinis kibernetinio saugumo centras, pagal kompetenciją įgyvendindamas kibernetinio saugumo politiką ir vykdydamas valstybės informacinių išteklių ir ypatingos svarbos informacinių infrastruktūrų kibernetinių incidentų valdymo padalinio veiklą:
1) pagal savo kompetenciją rengia ir teikia siūlymus krašto apsaugos ministrui dėl organizacinių ir techninių kibernetinio saugumo reikalavimų valstybės informaciniams ištekliams ir ypatingos svarbos informacinei infrastruktūrai;
2) atlieka valstybės informacinių išteklių ir ypatingos svarbos informacinės infrastruktūros atitikties organizaciniams ir techniniams kibernetinio saugumo reikalavimams stebėseną;
3) rengia tipinius kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planus;
4) teikia konsultacijas ir rekomendacijas valstybės informacinių išteklių valdytojams ir ypatingos svarbos infrastruktūros valdytojams kibernetinio saugumo klausimais;
5) analizuoja nacionalinę kibernetinio saugumo situaciją ir rengia nacionalinio kibernetinio saugumo būklės ataskaitas;
6) ne rečiau kaip kartą per metus rengia ir teikia nacionalinio kibernetinio saugumo būklės ataskaitas krašto apsaugos ministrui;
10) reaguoja į kibernetinius incidentus valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėse infrastruktūrose;
3. Nacionalinis kibernetinio saugumo centras, įgyvendamas kibernetinio saugumo politiką, turi teisę:
1) diegti ir valdyti technines kibernetinio saugumo priemones valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėse infrastruktūrose, savo lėšomis diegti ir valdyti Nacionalinio kibernetinio saugumo centro technines kibernetinio saugumo priemones, naudojamas išimtinai tik kibernetiniam saugumui užtikrinti, valstybės informaciniuose ištekliuose ar ypatingos svarbos informacinėje infrastruktūroje pagal su valstybės informacinių išteklių valdytojais ar ypatingos svarbos informacinės infrastruktūros valdytojais suderintą diegimo planą, laikydamasis krašto apsaugos ministro nustatytos tvarkos;
2) susipažinti su valstybės informacinių išteklių auditu ir ypatingos svarbos informacinių infrastruktūrų informacinių technologijų auditu, rizikos analizėmis ir gauti papildomą informaciją apie kibernetinio saugumo būklę;
3) taikyti technines priemones, siekdamas įvertinti valstybės informacinių išteklių ir ypatingos svarbos informacinių infrastruktūrų atsparumą kibernetiniams incidentams;
4) kibernetinio incidento metu duoti motyvuotus privalomus nurodymus, susijusius su kibernetinio saugumo užtikrinimu, viešojo administravimo subjektams, valdantiems ir (arba) tvarkantiems valstybės informacinius išteklius, ir ypatingos svarbos informacinės infrastruktūros valdytojams;
6) siekdamas stabdyti kibernetinio incidento poveikį valstybės informacinių išteklių ar ypatingos svarbos informacinių infrastruktūrų kibernetiniam saugumui, be teismo sankcijos duoti motyvuotą nurodymą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams laikinai, bet ne ilgiau negu 48 valandoms apriboti viešųjų elektroninių ryšių paslaugų teikimą šių paslaugų gavėjui; Nacionalinis kibernetinio saugumo centras apie viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams pagal šį punktą duotus nurodymus ne vėliau kaip kitą darbo dieną informuoja Ryšių reguliavimo tarnybą;
8) tvarkyti asmens duomenis, būtinus šio įstatymo ir kitų teisės aktų numatytoms funkcijoms kibernetinio saugumo užtikrinimo srityje atlikti;
4. Nacionalinio kibernetinio saugumo centro, įgyvendinančio kibernetinio saugumo politiką, pareigos:
1) skelbti visuomenei kibernetinio saugumo užtikrinimo metodinę informaciją, rekomendacijas ir kitą su kibernetinio saugumo užtikrinimu susijusią neįslaptintą informaciją;
11 straipsnis. Valstybinės duomenų apsaugos inspekcijos įgaliojimai kibernetinio saugumo srityje
Valstybinė duomenų apsaugos inspekcija įgyvendina kibernetinio saugumo politiką asmens duomenų apsaugos srityje ir pagal kompetenciją:
1) teisės aktų nustatyta tvarka atlieka juridinių asmenų patikrinimus, kai yra rizikos, kad kibernetiniai incidentai gali turėti įtakos asmens duomenų apsaugai;
2) teikia visuomenei ir suinteresuotoms institucijoms informaciją apie kibernetinio saugumo, susijusio su asmens duomenų apsauga, rizikos veiksnius, pavojus ir grėsmes kibernetinėje erdvėje;
3) nustato viešojo administravimo subjektams, valdantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams, elektroninės informacijos prieglobos paslaugų teikėjams informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones pateikimo tvarką;
4) renka, analizuoja ir vertina informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones;
5) tikrina asmens duomenų tvarkymo teisėtumą ir priima sprendimus dėl asmens duomenų tvarkymo pažeidimų kibernetinėje erdvėje;
12 straipsnis. Policijos departamento įgaliojimai kibernetinio saugumo srityje
Policija, policijos generalinio komisaro nustatyta tvarka vykdydama teisės pažeidimų, galimai turinčių nusikalstamos veikos požymių, kibernetinėje erdvėje užkardymą ir tyrimą, turi teisę:
1) rinkti, analizuoti, vertinti informaciją apie galimus teisės pažeidimus kibernetinėje erdvėje, užkardymo ir tyrimo tikslais duoti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų ar elektroninės informacijos prieglobos paslaugų teikėjams motyvuotus nurodymus laikinai, bet ne ilgiau kaip 90 dienų, išsaugoti informaciją, susijusią su jų paslaugų abonentais, iš kurios galima nustatyti: naudotos ryšio paslaugos tipą, taikytas technines priemones ir naudojimo laiką, abonento tapatybę, pašto ar geografinės padėties adresą, telefono ir bet kokį kitą prieigos numerį, taip pat išsaugoti informaciją apie sąskaitas ir atliktus mokėjimus, gaunamą paslaugos sutarties arba susitarimo pagrindu, ir bet kurią kitą informaciją ryšių aparatūros įrengimo vietoje, turimą pagal paslaugos sutartį arba susitarimą (abonentinę informaciją), taip pat elektroninius duomenis, įskaitant srauto duomenis ir (ar) turinį;
2) nustatyti viešojo administravimo subjektams, valdantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams, elektroninės informacijos prieglobos paslaugų teikėjams informacijos, reikalingos kibernetinių incidentams, galimai turintiems nusikalstamos veikos požymių, užkardyti ir tirti, pateikimo tvarką;
3) duoti motyvuotus nurodymus viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams, elektroninės informacijos prieglobos paslaugų teikėjams laikinai (ne ilgiau kaip 48 valandoms be teismo sankcijos, ilgesniam laikui – su paslaugos teikėjo vietos apylinkės teismo sankcija; jeigu terminas baigiasi poilsio ar švenčių dieną, teikimas pateikiamas ne vėliau kaip kitą darbo dieną po poilsio ar švenčių dienos) apriboti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų teikimą paslaugų gavėjui, kai paslaugų gavėjas ar jo naudojama informacinė ir ryšių technologijų įranga galbūt dalyvauja nusikalstamoje veikoje, ir (arba) nurodo viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjui ar elektroninės informacijos prieglobos paslaugų teikėjui taikyti priemones, šalinančias teisės pažeidimų kibernetinėje erdvėje ir nusikalstamų veikų priežastis;
4) duoti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjui ar elektroninės informacijos prieglobos paslaugų teikėjui motyvuotus nurodymus, įpareigojančius juos neskelbti informacijos paslaugų gavėjui apie jo atžvilgiu atliekamus policijos veiksmus, iki nėra baigti teisės pažeidimo, galimai turinčio nusikalstamos veikos požymių, kibernetinėje erdvėje užkardymo ar tyrimo veiksmai;
5) pagal motyvuotą nurodymą gauti iš paslaugų teikėjų jų tvarkomą abonentinę informaciją ir (ar) srauto duomenis;
III SKYRIUS
KIBERNETINIO SAUGUMO DALYVIŲ PAREIGOS
13 straipsnis. Viešojo administravimo subjektų pareigos
1. Viešojo administravimo subjektai atsako už jų valdomų ir (arba) tvarkomų valstybės informacinių išteklių kibernetinį saugumą ir privalo užtikrinti jų valdomų ir (arba) tvarkomų valstybės informacinių išteklių atitiktį Vyriausybės nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.
2. Viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, privalo informuoti Nacionalinį kibernetinio saugumo centrą apie organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose nustatytus kibernetinius incidentus, įvykusius jų valdomuose ir (arba) tvarkomuose valstybės informaciniuose ištekliuose, ir taikytas kibernetinių incidentų valdymo priemones Vyriausybės ar jos įgaliotos institucijos nustatyta tvarka.
3. Viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, privalo teikti Valstybinei duomenų apsaugos inspekcijai informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones šios institucijos nustatyta tvarka ir sąlygomis.
4. Viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, privalo teikti policijai informaciją, reikalingą kibernetiniams incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis.
5. Viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, turi paskirti kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą, ir Nacionaliniam kibernetinio saugumo centrui pateikti paskirto asmens ar padalinio kontaktinę informaciją.
14 straipsnis. Ypatingos svarbos informacinės infrastruktūros valdytojų pareigos
1. Ypatingos svarbos informacinės infrastruktūros valdytojai atsako už jų valdomos ypatingos svarbos informacinės infrastruktūros kibernetinį saugumą ir privalo užtikrinti jų valdomos ypatingos svarbos informacinės infrastruktūros atitiktį Vyriausybės nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.
2. Ypatingos svarbos informacinės infrastruktūros valdytojai privalo informuoti Nacionalinį kibernetinio saugumo centrą apie organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose nustatytus kibernetinius incidentus ypatingos svarbos informacinėje infrastruktūroje ir taikytas kibernetinių incidentų valdymo priemones Vyriausybės ar jos įgaliotos institucijos nustatyta tvarka.
3. Ypatingos svarbos informacinės infrastruktūros valdytojai privalo teikti Valstybinei duomenų apsaugos inspekcijai informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones šios institucijos nustatyta tvarka ir sąlygomis;
4. Ypatingos svarbos informacinės infrastruktūros valdytojai privalo teikti policijai informaciją, reikalingą kibernetiniams incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis.
5. Ypatingos svarbos informacinės infrastruktūros valdytojai privalo, vadovaudamiesi Vyriausybės patvirtintais tipiniais kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planais, parengti, patvirtinti ir Nacionaliniam kibernetinio saugumo centrui pateikti kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planus.
6. Ypatingos svarbos informacinės infrastruktūros valdytojai privalo išbandyti kibernetinių incidentų valdymo planų veikimą, o bandymų rezultatus pateikti Nacionaliniam kibernetinio saugumo centrui.
7. Ypatingos svarbos informacinės infrastruktūros valdytojai turi paskirti kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą, ir Nacionaliniam kibernetinio saugumo centrui pateikti paskirto asmens ar padalinio kontaktinę informaciją.
15 straipsnis. Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų pareigos
Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai privalo:
1) viešai skelbti paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų teikiamomis paslaugomis;
2) teikti Ryšių reguliavimo tarnybai informaciją apie Ryšių reguliavimo tarnybos patvirtintose viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklėse nustatytus kibernetinius incidentus ir taikytas šių incidentų valdymo priemones bei techninę informaciją, reikalingą vertinti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų kibernetinio saugumo būseną, šios institucijos nustatyta tvarka ir sąlygomis;
3) teikti Valstybinei duomenų apsaugos inspekcijai informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones šios institucijos nustatyta tvarka ir sąlygomis;
4) policijos generalinio komisaro nustatyta tvarka ir sąlygomis teikti policijai informaciją, reikalingą teisės pažeidimams, galimai turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti, ir vykdyti kitus policijos nurodymus, duotus šio įstatymo ar kitų teisės aktų nustatytais pagrindais. Policijos nurodymus dėl paslaugų teikimo jų gavėjui apribojimo privaloma įvykdyti ne ilgiau kaip per 8 valandas nuo policijos nurodymo gavimo;
16 straipsnis. Elektroninės informacijos prieglobos paslaugų teikėjų pareigos
Elektroninės informacijos prieglobos paslaugų teikėjai privalo:
1) įgyvendinti kibernetinio saugumo užtikrinimo technines ir organizacines priemones, nustatytas Ryšių reguliavimo tarnybos, kiek tai susiję su jų teikiamomis paslaugomis, prireikus kartu su viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjais imtis reikiamų priemonių kibernetiniam saugumui užtikrinti;
2) viešai skelbti elektroninės informacijos prieglobos paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis elektroninės informacijos prieglobos paslaugomis;
3) teikti Ryšių reguliavimo tarnybai informaciją apie organizaciniuose ir techniniuose reikalavimuose elektroninės informacijos prieglobos paslaugų saugumui ir vientisumui užtikrinti nustatytus kibernetinius incidentus ir taikytas šių incidentų valdymo priemones bei techninę informaciją, reikalingą vertinti elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būseną, šios institucijos nustatyta tvarka ir sąlygomis;
4) policijos generalinio komisaro nustatyta tvarka ir sąlygomis teikti policijai informaciją, reikalingą teisės pažeidimams, galimai turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti, ir vykdyti kitus policijos nurodymus, duotus šio įstatymo ar kitų teisės aktų nustatytais pagrindais. Policijos nurodymus dėl paslaugų teikimo jų gavėjui apribojimo privaloma įvykdyti ne ilgiau kaip per 8 valandas nuo policijos nurodymo gavimo;
IV SKYRIUS
TARPINSTITUCINIS BENDRADARBIAVIMAS, INFORMACIJOS PASIKEITIMO TVARKA IR ATSAKOMYBĖ UŽ KIBERNETINIO SAUGUMO REIKALAVIMŲ PAŽEIDIMUS
17 straipsnis. Kibernetinio saugumo informacinis tinklas
1. Kibernetinio saugumo informacinis tinklas, kurio valdytojas – Nacionalinis kibernetinio saugumo centras, yra saugi informacijos mainų platforma, kurios paskirtis yra dalytis informacija apie galimus ir įvykusius kibernetinius incidentus, taip pat rekomendacijomis, nurodymais, techniniais sprendimais ir kitomis priemonėmis, užtikrinančiomis kibernetinį saugumą ir bendradarbiavimą tarp kibernetinio saugumo informacinio tinklo narių kibernetinio saugumo srityje.
2. Kibernetinio saugumo informaciniu tinklu gali naudotis tik tie subjektai, kurie atitinka Kibernetinio saugumo informacinio tinklo nuostatuose nurodytus reikalavimus.
3. Kibernetinio saugumo informaciniame tinkle skelbiama aktuali viešojo administravimo subjektų, valdančių ir (arba) tvarkančių valstybės informacinius išteklius, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų, elektroninės informacijos prieglobos paslaugų teikėjų ir ypatingos svarbos informacinės infrastruktūros valdytojų paskirtų asmenų ar padalinių, atsakingų už kibernetinio saugumo organizavimą ir kibernetinių incidentų valdymą, kontaktinė informacija.
18 straipsnis. Tarpinstitucinis bendradarbiavimas tiriant kibernetinius incidentus
1. Nacionalinis kibernetinio saugumo centras, Ryšių reguliavimo tarnyba, Policijos departamentas ir kitos policijos įstaigos bendradarbiauja tiriant kibernetinius incidentus, keičiasi su kibernetinių incidentų tyrimais susijusia informacija, reikalinga institucijų pagal kompetenciją vykdomoms funkcijoms atlikti. Prireikus apie kibernetinių incidentų tyrimą gali būti informuojami kiti kriminalinės žvalgybos subjektai ir (ar) žvalgybos institucijos.
2. Valstybinė duomenų apsaugos inspekcija bendradarbiauja su Nacionalinio kibernetinio saugumo centru ir Ryšių reguliavimo tarnyba tiriant kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, keičiasi informacija apie su asmens duomenų saugumo pažeidimais susijusių kibernetinių incidentų tyrimui, reikalinga teisės aktų numatytoms funkcijoms atlikti.
19 straipsnis. Atsakomybė už šio įstatymo ir jo įgyvendinamųjų teisės aktų pažeidimus
1. Už šio įstatymo ar jį įgyvendinančių teisės aktų nustatytų reikalavimų pažeidimus viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų, elektroninės informacijos prieglobos paslaugų teikėjų ir ypatingos svarbos informacinės infrastruktūros valdytojų administracijos vadovai atsako Lietuvos Respublikos administracinių teisės pažeidimų kodekso nustatyta tvarka, išskyrus šio straipsnio 2 dalyje nurodytus atvejus.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
20 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas