Projektas
LIETUVOS RESPUBLIKOS
KIBERNETINIO SAUGUMO ĮSTATYMO NR. XII-1428
PAKEITIMO ĮSTATYMAS
2018 m. d. Nr.
Vilnius
1 straipsnis. Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 nauja redakcija
Pakeisti Lietuvos Respublikos kibernetinio saugumo įstatymą Nr. XII-1428 ir jį išdėstyti taip:
„LIETUVOS RESPUBLIKOS
KIBERNETINIO SAUGUMO ĮSTATYMAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1 straipsnis. Įstatymo paskirtis ir taikymas
1. Šis įstatymas nustato kibernetinio saugumo principus, apibrėžia kibernetinio saugumo politiką formuojančias ir įgyvendinančias institucijas, šių institucijų įgaliojimus kibernetinio saugumo srityje, kibernetinio saugumo subjektų pareigas, taip pat tarpinstitucinį bendradarbiavimą.
2. Šis įstatymas netaikomas patikimumo užtikrinimo paslaugų teikėjams, kuriems taikomi 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB (OL 2014 L 257, p. 73), 19 straipsnyje nustatyti reikalavimai.
2 straipsnis. Pagrindinės šio įstatymo sąvokos
1. Debesijos paslaugos – paslaugos, kurių gavėjai nuotoliniu būdu naudojasi šių paslaugų teikėjų valdoma ryšių ir informacinių sistemų infrastruktūra.
2. Elektroninės informacijos prieglobos paslaugos – paslaugos, apimančios galimybės naudotis elektroninės informacijos ir elektroninių duomenų (toliau – elektroninė informacija) kūrimo ir tvarkymo priemonėmis sudarymą ir (arba) paslaugų gavėjo pateiktos elektroninės informacijos laikymą.
3. Elektroninės prekyvietės paslauga – paslauga, kuria sudaromos sąlygos vartotojams ir (arba) komercinės veiklos subjektams sudaryti elektroninės prekybos ar paslaugų sutartis su komercinės veiklos subjektais elektroninės prekyvietės svetainėje arba komercinės veiklos subjekto svetainėje, kurioje naudojamasi elektroninės prekyvietės teikiamomis kompiuterijos paslaugomis.
4. Paieškos internete paslauga – paslauga, kuria interneto vartotojams sudaromos sąlygos atlikti paiešką svetainėse pagal kokio nors dalyko užklausą, naudojant raktinį žodį, frazę arba kitus įvesties duomenis. Atlikus paiešką pateikiamos nuorodos, kuriose gali būti su ieškomu turiniu susijusios informacijos.
5. Ypatingos svarbos informacinė infrastruktūra – ryšių ir informacinė sistema ar jos dalis, ryšių ir informacinių sistemų grupė, kurioje įvykęs kibernetinis incidentas gali padaryti didelį neigiamą poveikį nacionaliniam saugumui, valstybės ūkiui, valstybės ir visuomenės interesams.
6. Ypatingos svarbos informacinės infrastruktūros valdytojas – asmuo, valdantis ypatingos svarbos informacinę infrastruktūrą.
7. Kibernetinė erdvė – aplinka, kurią sudaro kompiuteriai ir kita ryšių ir informacinių technologijų įranga ir juose sukuriama ir (arba) jais perduodama elektroninė informacija.
8. Kibernetinis incidentas – įvykis ar veika kibernetinėje erdvėje, galintys sukelti arba sukeliantys grėsmę arba neigiamą poveikį ryšių ir informacinėmis sistemomis perduodamos ar jose tvarkomos elektroninės informacijos prieinamumui, autentiškumui, vientisumui ir konfidencialumui, trikdyti ryšių ir informacinių sistemų veikimą, valdymą ir paslaugų jomis teikimą.
9. Kibernetinių incidentų valdymas – procedūros, kurių tikslas – aptikti, analizuoti kibernetinius incidentus ir reaguoti į juos, taip pat atkurti įprastinę ryšių ir informacinių sistemų veiklą.
10. Kibernetinis saugumas – visuma teisinių, informacijos sklaidos, organizacinių ir techninių priemonių, kuriomis siekiama išlaikyti atsparumą veiksniams, kibernetinėje erdvėje keliantiems grėsmę ryšių ir informacinėmis sistemomis perduodamos ar jose tvarkomos elektroninės informacijos prieinamumui, autentiškumui, vientisumui ir konfidencialumui, ryšių ir informacinių sistemų netrikdomam veikimui, valdymui arba paslaugų šiomis sistemomis teikimui, taip pat kuriomis siekiama atkurti įprastinę ryšių ir informacinių sistemų veiklą.
11. Kibernetinio saugumo krizė – kibernetinis incidentas arba incidentai, kurių sukelto neigiamo poveikio Lietuvos Respublika negali pašalinti viena pati arba kurie Lietuvos Respublikai ir kitoms valstybėms, priklausančioms tarptautinėms organizacijoms, kurių narė yra Lietuvos Respublika, arba tų tarptautinių organizacijų institucijoms sukelia tokio masto ir tokios techninės arba politinės reikšmės neigiamą poveikį, kad iškyla poreikis koordinuoti politiką ir reaguoti tarptautiniu lygmeniu.
12. Kibernetinio saugumo subjektas – subjektas, valdantis ir (arba) tvarkantis valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojas, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų, elektroninės informacijos prieglobos paslaugų ir skaitmeninių paslaugų teikėjas.
13. Pramoninių procesų valdymo sistema – iš ryšių ir informacinėmis technologijomis grindžiamos įrangos sudaryta sistema, skirta technologiniams procesams stebėti ar valdyti pramonės, energetikos, transporto, vandens tiekimo paslaugų ir kituose ūkinės veiklos sektoriuose.
14. Rizika – pagrįstai nustatoma aplinkybė ar įvykis, galintis turėti neigiamą poveikį ryšių ir informacinių sistemų saugumui.
15. Ryšių ir informacinė sistema – elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema ir jų valdymo, naudojimo, apsaugos ir priežiūros tikslais laikoma, tvarkoma, atkuriama arba perduodama elektroninė informacija.
16. Skaitmeninė paslauga – ryšių ir informacinėmis technologijomis grindžiama paslaugų grupė, apimanti elektroninės prekyvietės, paieškos internete ir (arba) debesijos paslaugas.
17. Skaitmeninės paslaugos teikėjas – juridinis asmuo, teikiantis skaitmenines paslaugas Lietuvoje Respublikoje ir (arba) kitose Europos Sąjungos valstybėse narėse.
18. Kriterijai, kuriais remiantis vertinama, ar šio įstatymo 2 straipsnio 5 dalyje nurodomas neigiamas poveikis yra didelis, nustatomi ypatingos svarbos informacinės infrastruktūros identifikavimo metodikoje.
19. Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Lietuvos Respublikos žvalgybos įstatyme, Lietuvos Respublikos kriminalinės žvalgybos įstatyme, Lietuvos Respublikos nesąžiningos komercinės veiklos vartotojams draudimo įstatyme, Lietuvos Respublikos smulkiojo ir vidutinio verslo plėtros įstatyme ir 2012 m. spalio 25 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 1025/2012 dėl Europos standartizacijos, kuriuo iš dalies keičiamos Tarybos direktyvos 89/686/EEB ir 93/15/EEB ir Europos Parlamento ir Tarybos direktyvos 94/9/EB, 94/25/EB, 95/16/EB, 97/23/EB, 98/34/EB, 2004/22/EB, 2007/23/EB, 2009/23/EB ir 2009/105/EB ir panaikinamas Tarybos sprendimas Nr. 87/95/EEB ir Europos Parlamento ir Tarybos sprendimas Nr. 1673/2006/EB (OL 2012 L 316, p. 12).
3 straipsnis. Kibernetinio saugumo principai
1. Kibernetinis saugumas grindžiamas šiais kibernetinio saugumo principais:
1) kibernetinės erdvės nediskriminavimo – teisės aktų nuostatos yra taikomos, o gėriai yra saugomi vienodai tiek fizinėje, tiek kibernetinėje erdvėje;
2) kibernetinio saugumo rizikos valdymo – taikomos kibernetinio saugumo priemonės turi užtikrinti kibernetinio saugumo subjektų reguliariai įvertinamos rizikos suvaldymą;
3) kibernetinio saugumo proporcingumo – taikomos teisinės, organizacinės ir techninės kibernetinio saugumo priemonės neturi apriboti kibernetinio saugumo subjektų veiklos kibernetinėje erdvėje labiau, negu tai būtina;
4) viešojo intereso viršenybės – naudojamos kibernetinio saugumo priemonės pirmiausia turi užtikrinti visuomenės viešojo intereso apsaugą, tačiau neturi iš esmės pažeisti atskirų vartotojų teisių ar neproporcingai apriboti jų laisvės kibernetinėje erdvėje;
5) standartizacijos ir technologinio neutralumo – įgyvendinant kibernetinio saugumo priemones, kibernetinio saugumo subjektai skatinami vadovautis nacionaliniais, Europos Sąjungos ir kitais tarptautiniais ryšių ir informacinių sistemų kibernetinio saugumo standartais ir specifikacijomis, nereikalaujant taikyti kokios nors konkrečios rūšies technologijos ir nesuteikiant jai pirmenybės;
6) subsidiarumo – už ryšių ir informacinių sistemų ir jomis teikiamų paslaugų kibernetinį saugumą yra atsakingi šias sistemas valdantys ir paslaugas teikiantys kibernetinio saugumo subjektai. Srityse, kurios priklauso išimtinai kibernetinio saugumo subjektų kompetencijai, kibernetinio saugumo politiką formuojančios ir įgyvendinančios institucijos veiksmų imasi tik tada, kai ryšių ir informacinių sistemų ir jomis teikiamų paslaugų kibernetinio saugumo negali užtikrinti šias sistemas valdantys ir paslaugas teikiantys kibernetinio saugumo subjektai.
II SKYRIUS
KIBERNETINIO SAUGUMO POLITIKOS FORMAVIMAS IR ĮGYVENDINIMAS
4 straipsnis. Kibernetinio saugumo politikos formavimo ir įgyvendinimo institucijos
1. Kibernetinio saugumo politikos strateginius tikslus, prioritetus ir jiems pasiekti būtinas priemones nustato Lietuvos Respublikos Vyriausybė (toliau – Vyriausybė).
2. Kibernetinio saugumo politiką formuoja, jos įgyvendinimą organizuoja, kontroliuoja ir koordinuoja Lietuvos Respublikos krašto apsaugos ministerija. Nacionalinis kibernetinio saugumo centras formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek šiame įstatyme nustatytoms funkcijoms atlikti reikia nustatyti kibernetinio saugumo subjektų veiklos teisinį reguliavimą.
5 straipsnis. Vyriausybės įgaliojimai kibernetinio saugumo srityje
Vyriausybė:
3) tvirtina ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką ir ypatingos svarbos informacinės infrastruktūros ir jos valdytojų sąrašą;
4) tvirtina organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus kibernetinio saugumo subjektams;
6 straipsnis. Krašto apsaugos ministerijos įgaliojimai kibernetinio saugumo srityje
Krašto apsaugos ministerija:
1) koordinuoja Nacionalinės kibernetinio saugumo strategijos rengimą, teikia ją tvirtinti Vyriausybei;
2) teikia Vyriausybei tvirtinti organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus kibernetinio saugumo subjektams;
4) teikia Vyriausybei tvirtinti ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką;
5) teikia Vyriausybei tvirtinti ypatingos svarbos informacinės infrastruktūros ir jos valdytojų sąrašą;
8) tvirtina Nacionalinio kibernetinio saugumo centro reagavimo į kibernetinio saugumo subjektų ryšių ir informacinėse sistemose įvykusius kibernetinius incidentus tvarką;
9) tvirtina techninių kibernetinio saugumo priemonių diegimo planą ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarką;
7 straipsnis. Kibernetinio saugumo taryba
1. Kibernetinio saugumo taryba yra nuolatinė kolegiali nepriklausoma patariamoji institucija, analizuojanti kibernetinio saugumo užtikrinimo būklę Lietuvos Respublikoje ir teikianti pasiūlymus valstybės institucijoms, formuojančioms ir įgyvendinančioms kibernetinio saugumo politiką, kibernetinio saugumo subjektams, mokslo ir studijų institucijoms ir informacinių technologijų srityje veiklą vykdantiems verslo subjektams (toliau – kibernetinio saugumo dalyviai) dėl šios būklės gerinimo.
3. Kibernetinio saugumo tarybą ūkiškai ir techniškai aptarnauja Krašto apsaugos ministerija ar jos įgaliota institucija.
4. Kibernetinio saugumo taryba:
1) teikia pasiūlymus kibernetinio saugumo dalyviams dėl kibernetinio saugumo prioritetų, plėtros krypčių, siektinų rezultatų ir jų įgyvendinimo būdų;
2) teikia pasiūlymus kibernetinio saugumo dalyviams dėl viešojo sektoriaus, verslo ir mokslo bendradarbiavimo galimybių kibernetinio saugumo užtikrinimo srityje;
3) analizuoja kibernetinio saugumo užtikrinimo tobulinimo tendencijas, teikia kibernetinio saugumo dalyviams išvadas ir pasiūlymus dėl kibernetinių incidentų valdymo;
8 straipsnis. Nacionalinis kibernetinio saugumo centras
2. Nacionalinis kibernetinio saugumo centras, įgyvendindamas kibernetinio saugumo politiką:
1) atlieka kibernetinio saugumo subjektų ir jų valdomų ryšių ir informacinių sistemų atitikties organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nuostatoms priežiūrą ir kibernetinio saugumo būklės tyrimus;
2) duoda nurodymus kibernetinio saugumo subjektams pateikti informaciją, būtiną kibernetinio saugumo subjektų ir jų valdomų ryšių ir informacinių sistemų atitikties organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nuostatoms ir kibernetinio saugumo būklės įvertinimui atlikti;
3) taiko technines priemones, siekdamas įvertinti valstybės informacinių išteklių ir ypatingos svarbos informacinių infrastruktūrų atsparumą kibernetiniams incidentams;
4) duoda nurodymus, susijusius su kibernetinio saugumo užtikrinimu ir nustatytų kibernetinio saugumo trūkumų pašalinimu, nustato nurodymų įvykdymo terminą subjektams, valdantiems ir (arba) tvarkantiems valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojams, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams ir elektroninės informacijos prieglobos paslaugų teikėjams;
5) duoda nurodymus kibernetinio saugumo subjektams, išskyrus skaitmeninių paslaugų teikėjus, savo lėšomis atlikti nepriklausomą viešųjų ryšių tinklų ar viešųjų elektroninių ryšių paslaugų saugumo auditą ir pateikti šio audito rezultatus, jei jie organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nustatyta tvarka nepateikia techninės informacijos, reikalingos ryšių ir informacinių sistemų ar jomis teikiamų paslaugų kibernetinio saugumo būklei įvertinti;
6) gavęs įrodymų iš kibernetinio saugumo subjekto, skaitmeninės paslaugos vartotojo arba kitos Europos Sąjungos valstybės narės, kurioje yra teikiama skaitmeninė paslauga, kompetentingos institucijos, prižiūrinčios skaitmeninių paslaugų teikėjų veiklą kibernetinio saugumo srityje, kad skaitmeninių paslaugų teikėjai neatitinka šio įstatymo nustatytų reikalavimų, duoda nurodymus skaitmeninių paslaugų teikėjams, kad šie pateiktų informaciją, reikalingą jų valdomų ryšių ir informacinių sistemų kibernetiniam saugumui įvertinti, ir pašalintų kibernetinio saugumo reikalavimų įgyvendinimo trūkumus;
7) nacionaliniu lygmeniu stebi kibernetinius incidentus ir vykdo rizikos kibernetinėje erdvėje bei kibernetinių incidentų analizę;
8) pagal techninių kibernetinio saugumo priemonių diegimo planą, suderintą su subjektais, valdančiais ir (arba) tvarkančiais valstybės informacinius išteklius, ar ypatingos svarbos informacinės infrastruktūros valdytojais, laikydamasis krašto apsaugos ministro nustatytos tvarkos, diegia ir valdo technines kibernetinio saugumo priemones valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėse infrastruktūrose. Nacionalinio kibernetinio saugumo centro lėšomis įdiegtos priemonės naudojamos išimtinai tik kibernetiniam saugumui užtikrinti. Nacionalinio kibernetinio saugumo centro lėšomis įdiegtos techninės kibernetinio saugumo priemonės techniškai prižiūrimos, jų remontas atliekamas Nacionalinio kibernetinio saugumo centro lėšomis;
9) nacionaliniu lygmeniu organizuoja kibernetinių incidentų kibernetinio saugumo subjektų ryšių ir informacinėse sistemose valdymą;
11) siekdamas stabdyti kibernetinio incidento poveikį valstybės informacinių išteklių ar ypatingos svarbos informacinių infrastruktūrų kibernetiniam saugumui, duoda nurodymą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjui ne ilgiau negu 48 valandoms apriboti viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikimą šių paslaugų gavėjui; Nacionalinis kibernetinio saugumo centras apie viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams pagal šį punktą duotus nurodymus ne vėliau kaip kitą darbo dieną informuoja Lietuvos Respublikos ryšių reguliavimo tarnybą;
13) jei būtina informuoti visuomenę siekiant išvengti kibernetinio incidento arba valdyti vykstantį kibernetinį incidentą, pasikonsultavęs su kibernetinio saugumo subjektu, pranešusiu apie kibernetinį incidentą, informuoja visuomenę apie pavienius incidentus arba reikalauja, kad tai padarytų kibernetinio saugumo subjektas;
14) bendradarbiauja su tarptautinių organizacijų kompetentingomis institucijomis, jų įsteigtomis bendradarbiavimo grupėmis bei užsienio valstybių kompetentingomis institucijomis ir tarnybomis vykdydamas šio įstatymo ir kitų teisės aktų nustatytas funkcijas kibernetinio saugumo srityje;
15) tvarko asmens duomenis, būtinus funkcijoms kibernetinio saugumo užtikrinimo srityje atlikti; Nacionalinis kibernetinio saugumo centras asmens duomenis tvarko Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;
16) kartu su verslo subjektais, mokslo ir studijų institucijomis ir kibernetinio saugumo subjektais plėtoja nacionalinį kibernetinį saugumą stiprinančius projektus;
9 straipsnis. Valstybinės duomenų apsaugos inspekcijos įgaliojimai kibernetinio saugumo srityje
Valstybinė duomenų apsaugos inspekcija įgyvendina kibernetinio saugumo politiką asmens duomenų apsaugos srityje:
1) teisės aktų nustatyta tvarka atlieka kibernetinio saugumo subjektų patikrinimus, kai yra rizikos, kad kibernetiniai incidentai gali turėti įtakos asmens duomenų apsaugai;
2) teikia visuomenei ir suinteresuotoms institucijoms informaciją apie kibernetinio saugumo, susijusio su asmens duomenų apsauga, rizikos veiksnius, pavojus ir grėsmes kibernetinėje erdvėje;
3) nustato kibernetinio saugumo subjektams informacijos apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones pateikimo Valstybinei duomenų apsaugos inspekcijai tvarką;
4) renka, analizuoja ir vertina informaciją apie kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones;
10 straipsnis. Policijos įgaliojimai kibernetinio saugumo srityje
Policija, vykdydama kibernetinių incidentų, galimai turinčių nusikalstamos veikos požymių, užkardymą ir tyrimą:
1) renka, analizuoja ir apibendrina informaciją apie kibernetinius incidentus, galimai turinčius nusikalstamos veikos požymių;
2) nustato kibernetinio saugumo subjektams informacijos, reikalingos kibernetiniams incidentams, galimai turintiems nusikalstamos veikos požymių, užkardyti ir tirti, pateikimo policijai tvarką;
3) turi teisę, kai paslaugų gavėjas galimai dalyvauja ar jo naudojama ryšių ir informacinių technologijų įranga galimai yra naudojama nusikalstamoje veikoje, be teismo sankcijos duoti nurodymą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjui, elektroninės informacijos prieglobos paslaugų teikėjui ir skaitmeninių paslaugų teikėjui ne ilgiau kaip 48 valandoms, ilgesniam laikui – su apylinkės teismo sankcija, apriboti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų, elektroninės informacijos prieglobos paslaugų ir skaitmeninių paslaugų teikimą paslaugų gavėjui ir (arba) nurodyti taikyti priemones, šalinančias nusikalstamų veikų kibernetinėje erdvėje priežastis. Tokiais atvejais apylinkės teismo pirmininkui ar jo įgaliotam teisėjui pateikiamas teikimas dėl veiksmų teisėtumo ar pagrįstumo patvirtinimo motyvuota nutartimi. Jeigu terminas baigiasi poilsio ar švenčių dieną, teikimas pateikiamas ne vėliau kaip kitą darbo dieną po poilsio ar švenčių dienos. Jeigu teisėjas nepatvirtina nurodytų veiksmų teisėtumo ar pagrįstumo motyvuota nutartimi, nurodymas nedelsiant stabdomas;
4) turi teisę duoti nurodymą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų, elektroninės informacijos prieglobos paslaugų teikėjui ir skaitmeninių paslaugų teikėjui išsaugoti informaciją, susijusią su jų teikiamomis paslaugomis, iš kurios galima nustatyti naudotos ryšio paslaugos tipą, taikytas technines priemones ir naudojimo laiką, paslaugos gavėjo tapatybę, pašto, geografinės padėties adresą, telefono ir bet kokį kitą prieigos numerį, informaciją apie sąskaitas ir atliktus mokėjimus paslaugos sutarties arba susitarimo pagrindu ir kitą informaciją ryšių aparatūros įrengimo vietoje, turimą pagal paslaugos sutartį arba susitarimą, šią informaciją gauti ir, kai yra motyvuota teismo nutartis, gauti paslaugų gavėjo srauto duomenis ir kontroliuoti perduodamos informacijos turinį.
III SKYRIUS
KIBERNETINIO SAUGUMO SUBJEKTŲ PAREIGOS
11 straipsnis. Bendrosios kibernetinio saugumo subjektų pareigos
1. Kibernetinio saugumo subjektai:
1) atsako už jų valdomų ryšių ir informacinių sistemų ar teikiamų paslaugų kibernetinį saugumą, užtikrina jų atitiktį organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nuostatoms;
2) organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nustatyta tvarka atlieka rizikos vertinimą ir įdiegia kitas, naujausiais technikos laimėjimais paremtas ir proporcingas nustatytai rizikai suvaldyti, technines ir organizacines kibernetinio saugumo priemones;
3) Nacionaliniame kibernetinių incidentų valdymo plane nustatytomis sąlygomis ir tvarka informuoja Nacionalinį kibernetinio saugumo centrą apie jų valdomose ir (arba) tvarkomose ryšių ir informacinėse sistemose įvykusius kibernetinius incidentus ir taikytas kibernetinių incidentų valdymo priemones;
4) teikia Valstybinei duomenų apsaugos inspekcijai informaciją apie jų valdomose ir (arba) tvarkomose arba viešosioms elektroninių ryšių paslaugoms, elektroninės informacijos prieglobos paslaugoms ir skaitmeninėms paslaugoms teikti naudojamose ryšių ir informacinėse sistemose įvykusius kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių incidentų valdymo priemones šios institucijos nustatyta tvarka;
5) policijos generalinio komisaro nustatyta tvarka teikia policijai informaciją, reikalingą teisės pažeidimams, turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti, ir vykdo kitus policijos nurodymus, duotus šio įstatymo nustatytais pagrindais. Policijos nurodymus dėl paslaugų teikimo jų gavėjui apribojimo privaloma įvykdyti ne vėliau kaip per 8 valandas nuo policijos nurodymo gavimo;
6) paskiria kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą, ir Nacionaliniam kibernetinio saugumo centrui pateikia paskirto asmens ar padalinio kontaktinę informaciją;
12 straipsnis. Specialiosios kibernetinio saugumo subjektų pareigos
1. Ypatingos svarbos informacinės infrastruktūros valdytojai:
1) vadovaudamiesi krašto apsaugos ministro patvirtintu tipiniu kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planu, patvirtina ir Nacionaliniam kibernetinio saugumo centrui pateikia kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planus;
2) Nacionaliniame kibernetinių incidentų valdymo plane nustatyta tvarka informuoja skaitmeninių paslaugų teikėjus apie neigiamą poveikį ypatingos svarbos informacinės infrastruktūros veiklai, kurį lėmė skaitmeninių paslaugų teikėjų ryšių ir informacinėse sistemose įvykę sutrikimai;
3) ne rečiau kaip kartą per kalendorinius metus išbando kibernetinių incidentų valdymo planų veikimą, o bandymų rezultatus organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nustatyta tvarka pateikia Nacionaliniam kibernetinio saugumo centrui;
4) sudaro sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones ypatingos svarbos informacinėje infrastruktūroje ir taikyti technines priemones, siekiant įvertinti ypatingos svarbos informacinių infrastruktūrų atsparumą kibernetiniams incidentams.
2. Subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, sudaro sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones valstybės informaciniuose ištekliuose ir taikyti technines priemones, siekiant įvertinti valstybės informacinių išteklių atsparumą kibernetiniams incidentams.
3. Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai viešai skelbia savo interneto svetainėje ar kitomis visuomenės informavimo priemonėmis paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų teikiamomis paslaugomis.
4. Elektroninės informacijos prieglobos paslaugų teikėjai viešai skelbia savo interneto svetainėje ar kitomis visuomenės informavimo priemonėmis elektroninės informacijos prieglobos paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis elektroninės informacijos prieglobos paslaugomis.
5. Skaitmeninių paslaugų teikėjai:
1) viešai skelbia savo interneto svetainėje ar kitomis visuomenės informavimo priemonėmis paslaugų gavėjams rekomendacijas apie priemones kibernetiniam saugumui užtikrinti naudojantis skaitmeninių paslaugų teikėjų teikiamomis paslaugomis;
2) skiria atstovą vykdyti veiklą Europos Sąjungoje skaitmeninių paslaugų teikėjo vardu. Atstovas skiriamas, jei skaitmeninių paslaugų teikėjas nėra įsisteigęs Europos Sąjungos valstybėje narėje. Atstovas turi būti fizinis arba juridinis asmuo, įsisteigęs vienoje iš tų Europos Sąjungos valstybių narių, kuriose yra teikiamos skaitmeninės paslaugos. Kibernetinio saugumo politiką įgyvendinančios institucijos turi teisę kreiptis į skaitmeninių paslaugų teikėjo atstovą dėl šiuo įstatymu nustatytų skaitmeninių paslaugų teikėjo pareigų vykdymo. Laikoma, kad skaitmeninių paslaugų teikėjas priklauso valstybės narės, kurioje yra įsisteigęs jo atstovas, jurisdikcijai.
IV SKYRIUS
KEITIMASIS INFORMACIJA IR TARPINSTITUCINIS BENDRADARBIAVIMAS
13 straipsnis. Kibernetinio saugumo informacinis tinklas
1. Kibernetinio saugumo informacinio tinklo paskirtis yra dalytis informacija apie galimus ir įvykusius kibernetinius incidentus, taip pat rekomendacijomis, nurodymais, techniniais sprendimais ir kitomis priemonėmis, užtikrinančiomis kibernetinį saugumą ir bendradarbiavimą tarp kibernetinio saugumo informacinio tinklo narių kibernetinio saugumo srityje.
2. Kibernetinio saugumo informaciniu tinklu gali naudotis tik tie kibernetinio saugumo subjektai, kurie atitinka Kibernetinio saugumo informacinio tinklo nuostatuose nurodytus reikalavimus.
14 straipsnis. Tarpinstitucinis bendradarbiavimas valdant ir tiriant kibernetinius incidentus
1. Nacionalinis kibernetinio saugumo centras ir policija konsultuojasi ir bendradarbiauja tiriant kibernetinius incidentus, keičiasi su kibernetinių incidentų tyrimais susijusia informacija, reikalinga pagal kompetenciją institucijų vykdomoms funkcijoms atlikti. Prireikus apie kibernetinių incidentų tyrimą gali būti informuojami kiti kriminalinės žvalgybos subjektai ir (arba) žvalgybos institucijos.
2. Nacionalinis kibernetinio saugumo centras ir Valstybinė duomenų apsaugos inspekcija bendradarbiauja tiriant kibernetinius incidentus, susijusius su asmens duomenų saugumo pažeidimais, keičiasi informacija, reikalinga teisės aktų nustatytoms funkcijoms, susijusioms su kibernetinių incidentų, pažeidžiančių asmens duomenų saugumą, tyrimu, atlikti.
15 straipsnis. Informacijos apsauga
Kibernetinio saugumo politiką įgyvendinančios institucijos kibernetinio saugumo subjektų pateikta informacija, įskaitant ir konfidencialią informaciją, turi teisę keistis tik tokia apimtimi, kiek tai yra būtina institucijų pagal kompetenciją vykdomoms funkcijoms atlikti, ir privalo užtikrinti gautos informacijos apsaugą.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
16 straipsnis. Savanoriškas pranešimas apie kibernetinius incidentus
1. Asmenys, kuriems šiuo įstatymu nėra nustatytos pranešimo apie kibernetinius incidentus jų ryšių ir informacinėse sistemose pareigos, turi teisę savanoriškai informuoti Nacionalinį kibernetinio saugumo centrą apie kibernetinius incidentus ir taikytas kibernetinių incidentų valdymo priemones. Nacionalinis kibernetinio saugumo centras tokius pranešimus tvarko Nacionaliniame kibernetinių incidentų valdymo plane nustatyta tvarka.
Lietuvos Respublikos
kibernetinio saugumo įstatymo
priedas
ĮGYVENDINAMI EUROPOS SĄJUNGOS TEISĖS AKTAI
1. 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyva 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 349) su paskutiniais pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (OL 2009 L 337, p. 37).
2 straipsnis. Įstatymo įsigaliojimas ir įgyvendinimas
2. Lietuvos Respublikos Vyriausybė ir Lietuvos Respublikos krašto apsaugos ministras iki 2018 m. gegužės 8 d. priima šio įstatymo įgyvendinamuosius teisės aktus.
3. 2018 m. gegužės 25 d. įsigalioja tokia šio įstatymo 1 straipsnyje išdėstyto Lietuvos Respublikos kibernetinio saugumo įstatymo 9 straipsnio redakcija:
„9 straipsnis. Valstybinės duomenų apsaugos inspekcijos įgaliojimai kibernetinio saugumo srityje
Valstybinė duomenų apsaugos inspekcija įgyvendina kibernetinio saugumo politiką asmens duomenų apsaugos srityje ir vykdo 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) jai pavestas užduotis.“
4. 2018 m. gegužės 25 d. įsigalioja tokia šio įstatymo 1 straipsnyje išdėstyto Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio redakcija:
„11 straipsnis. Bendrosios kibernetinio saugumo subjektų pareigos
1. Kibernetinio saugumo subjektai:
1) atsako už jų valdomų ryšių ir informacinių sistemų ar teikiamų paslaugų kibernetinį saugumą, užtikrina jų atitiktį organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, nuostatoms;
2) organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo nustatyta tvarka atlieka rizikos vertinimą ir įdiegia kitas, naujausiais technikos laimėjimais paremtas ir proporcingas nustatytai rizikai suvaldyti, technines ir organizacines kibernetinio saugumo priemones;
3) Nacionaliniame kibernetinių incidentų valdymo plane nustatytomis sąlygomis ir tvarka informuoja kibernetinio saugumo instituciją apie jų valdomose ir (arba) tvarkomose ryšių ir informacinėse sistemose įvykusius kibernetinius incidentus ir taikytas kibernetinių incidentų valdymo priemones;
4) policijos generalinio komisaro nustatyta tvarka teikia policijai informaciją, reikalingą teisės pažeidimams, turintiems nusikalstamos veikos požymių, kibernetinėje erdvėje užkardyti ir tirti, ir vykdo kitus policijos nurodymus, duotus šio įstatymo nustatytais pagrindais. Policijos nurodymus dėl paslaugų teikimo jų gavėjui apribojimo privaloma įvykdyti ne vėliau kaip per 8 valandas nuo policijos nurodymo gavimo;
5) paskiria kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą, ir Nacionaliniam kibernetinio saugumo centrui pateikia paskirto asmens ar padalinio kontaktinę informaciją;