„3. Šis įstatymas valstybės informaciniams ištekliams, kurių valdymą, tvarkymą ir kitus iš jų kylančius teisinius santykius, susijusius su nacionaliniam saugumui užtikrinti svarbių objektų apsaugos, kibernetinio saugumo, asmens duomenų apsaugos reikalavimų taikymu, valstybės duomenų valdysenos nustatymu, elektroninių ryšių tinklų naudojimu, viešuoju administravimu, duomenų pakartotiniu naudojimu, erdvinių duomenų tvarkymu, reglamentuoja kiti Lietuvos Respublikos įstatymai, tiesiogiai taikomi Europos Sąjungos teisės aktai ar Lietuvos Respublikos tarptautinės sutartys, taikomas tiek, kiek tai nereglamentuota tuose Lietuvos Respublikos įstatymuose, tiesiogiai taikomuose Europos Sąjungos teisės aktuose ar Lietuvos Respublikos tarptautinėse sutartyse.“

„3 straipsnis. Asmens duomenų apsaugos ir kibernetinio saugumo taikymas valdant ir tvarkant valstybės informacinius išteklius

„3) didinti duomenų valdymo ir tvarkymo brandą, siekiant užtikrinti duomenų valdymo ir tvarkymo atitiktį organizaciniams, teisiniams, techniniams ir kibernetinio saugumo reikalavimams;“.

„3) didinti informacinių sistemų gyvavimo ciklo valdymo brandą, siekiant užtikrinti, kad informacinių sistemų kūrimo būdai, gyvavimo ciklo stadijų metu vykdomi procesai ir etapų rezultatai leistų pasiekti informacinėms sistemoms keliamus organizacinius, teisinius, techninius ir kibernetinio saugumo reikalavimus;“.

„2) saugumo principu – saugumo reikalavimų, įskaitant kibernetinio saugumo reikalavimų, užtikrinimas yra neatsiejama informacinių sistemų, IT platformų ir IT priemonių projektavimo, kūrimo, veikimo, naudojimo ir tobulinimo dalis. Saugumas turi būti pagrindinis subjektų keliamas reikalavimas projektuojamoms, kuriamoms ar tobulinamoms informacinėms sistemoms, taip pat įsigyjamoms IT platformoms ir IT priemonėms. Šis principas įgyvendinamas nuo pat projektavimo etapo pradžios, siekiant sumažinti ar išvengti galimų saugumo spragų prieš pradedant eksploatuoti informacinę sistemą ar naudoti IT platformas ir IT priemones. Subjektai turi siekti, kad jų informacinės sistemos, IT platformos ir IT priemonės būtų saugios naudotis nuo pat pradžių, be jokių papildomų nustatymų ir saugumo užtikrinimo priemonių mokesčių;“.

„4. Vyriausybės tvirtinamame valstybės informacinių išteklių svarbos vertinimo tvarkos apraše už valstybės informacinių išteklių svarbos vertinimą nurodytiems atsakingiems asmenims mutatis mutandis taikomi Kibernetinio saugumo įstatymo 15 straipsnio 5 dalies 1 ir 2 punktuose už kibernetinį saugumą atsakingiems asmenims nustatyti reikalavimai.“

„2. Institucinis skaitmeninimo įgaliotinis atsako už skaitmeninimo veiklos ir skaitmenizavimo veiklos įgyvendinimo koordinavimą ir kontrolę institucijoje ir ministrų valdymo sritims priskirtose institucijose, jeigu tokių yra.“

„3. Duomenų valdymo įgaliotiniui mutatis mutandis taikomi Kibernetinio saugumo įstatymo 15 straipsnio 5 dalies 1 ir 2 punktuose už kibernetinį saugumą atsakingiems asmenims nustatyti reikalavimai.“

„1) rengti ir priimti teisės aktus, susijusius su duomenų tvarkymu ir kibernetinio saugumo reikalavimais;“.

„1) duomenų valdytojo pavedimu rengti teisės aktų, susijusių su duomenų tvarkymu ir kibernetinio saugumo reikalavimais, projektus ir juos priimti;“.

„5. Duomenų valdytojas ir tvarkytojas ar tvarkytojai pagal kompetenciją užtikrina tinkamą asmens duomenų apsaugos ir kibernetinio saugumo reikalavimų įgyvendinimą ir atsako už šių reikalavimų pažeidimus.“

„1) rengti ir priimti informacinės sistemos nuostatus ir kitus teisės aktus, susijusius su informacinės sistemos veikimu ir taikomais kibernetinio saugumo reikalavimais;“.

„1) informacinės sistemos valdytojo pavedimu rengti ir priimti teisės aktus, susijusius su informacinės sistemos veikimu ir taikomais kibernetinio saugumo reikalavimais, išskyrus informacinės sistemos nuostatus;“.

„5. Informacinės sistemos valdytojas ir tvarkytojas pagal kompetenciją užtikrina tinkamą informacinės sistemos administravimo asmens duomenų apsaugos reikalavimų ir kibernetinio saugumo reikalavimų įgyvendinimą ir atsako už šių reikalavimų pažeidimus.“

„41 straipsnis. IT paslaugų teikimo ir gavimo tvarka

„1. IT paslaugų gavėjo administracijos padalinys, atliekantis IT paslaugų teikėjo funkcijas, teikia IT paslaugų gavėjo veiklai užtikrinti reikalingas IT paslaugas, užtikrina teikiamų IT paslaugų atitiktį IT paslaugų gavėjo sprendimu nustatytiems IT paslaugų parametrams, taip pat kitų asmenų, įskaitant ir valstybės IT paslaugų teikėją, teikiamų IT paslaugų valdymą ir šių paslaugų atitiktį IT paslaugų teikimo sutartyse nustatytiems reikalavimams, kibernetinio saugumo reikalavimų įgyvendinimą, planuoja IT priemonių atnaujinimą, vertina, prognozuoja ir planuoja plėtros poreikius.“

„6. Valstybės IT paslaugų teikėjas ar teikėjai užtikrina centralizuotai teikiamų IT paslaugų atitiktį IT paslaugų teikimo sutartyse su IT paslaugų gavėjais nustatytiems reikalavimams, atlieka centralizuotai valdomų IT priemonių tinkamo naudojimo kontrolę, įgyvendina kibernetinio saugumo reikalavimus, taikomus teikiamoms IT paslaugoms, planuoja valdomų IT priemonių atnaujinimą, prognozuoja plėtros poreikius, valdo centralizuotą IT infrastruktūrą.“

„3) pastebėjus kibernetinio saugumo reikalavimų pažeidimų, atsirandančių netinkamai naudojantis teikiamomis IT paslaugomis, informuoti IT paslaugų gavėjo atsakingus asmenis ir laikinai stabdyti IT paslaugų teikimą, iki pastebėti pažeidimai bus pašalinti;“.

„1. Valstybės informacinių išteklių valdysena, valdymas ir tvarkymas (įskaitant pasirengimą steigti ir kurti informacines sistemas) bei kibernetinio saugumo reikalavimų įgyvendinimas yra finansuojami iš subjekto veiklai užtikrinti skirtų valstybės biudžeto (įskaitant Europos Sąjungos lėšas), Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų lėšų, taip pat lėšų, gautų už objektų registravimą, duomenų teikimą ir kitus su duomenų tvarkymu susijusius veiksmus, bei kitų Lietuvos Respublikos teisės aktuose nustatytų finansavimo šaltinių.“