Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 pakeitimo įstatymas
LIETUVOS RESPUBLIKOS
KIBERNETINIO SAUGUMO ĮSTATYMO NR. XII-1428 PAKEITIMO
ĮSTATYMAS
2024 m. liepos 11 d. Nr. XIV-2902
Vilnius
1 straipsnis. Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 nauja redakcija
Pakeisti Lietuvos Respublikos kibernetinio saugumo įstatymą Nr. XII-1428 ir jį išdėstyti taip:
„LIETUVOS RESPUBLIKOS
KIBERNETINIO SAUGUMO ĮSTATYMAS
I SKYRIUS
BENDROSIOS NUOSTATOS
2 straipsnis. Pagrindinės šio įstatymo sąvokos
Aukščiausio lygio domenų vardų registravimo paslaugas teikiantis subjektas – subjektas, atsakingas už aukščiausio lygio domeno administravimą, apimantį domenų vardų registraciją tame domene ir techninį jo veikimą, įskaitant vardų serverių veikimą, duomenų bazių techninę priežiūrą ir aukščiausio lygio domenų zonos rinkmenų paskirstymą tarp domenų vardų serverių, neatsižvelgiant į tai, ar visas tas operacijas atlieka pats subjektas, ar dalis jų yra užsakomosios paslaugos. Subjektas nėra laikomas aukščiausio lygio domenų vardų registravimo paslaugas teikiančiu subjektu, jeigu aukščiausio lygio domenų vardus naudoja tik savo reikmėms.
Debesijos paslauga – informacinės visuomenės paslauga, kuri apima jos administravimą ir plataus masto nuotolinę prieigą prie kintamo masto pritaikomos bendrų ir paskirstytų kompiuterijos išteklių bazės, įskaitant atvejus, kai tokie ištekliai yra paskirstyti per kelias vietas.
Didelė kibernetinė grėsmė – kibernetinė grėsmė, kurios techninės charakteristikos leidžia daryti prielaidą, kad ji gali padaryti didelį neigiamą poveikį subjekto arba subjekto teikiamų paslaugų naudotojų tinklų ir informacinėms sistemoms, sukeldama didelę turtinę arba neturtinę žalą.
Domenų vardų registravimo paslaugas teikiantis subjektas – subjektas arba jo vardu veikiantis subjektas, teikiantys domenų vardų registravimo paslaugas, įskaitant privatumo ar įgaliotojo tarpininkavimo registravimo paslaugų teikėją arba perpardavėją.
Domenų vardų sistema – sistema, kurioje hierarchiškai suskirstyti domenų vardai, kurioje galima identifikuoti interneto paslaugas ir išteklius ir kurioje sudaromos sąlygos galutiniams naudotojams naudotis interneto maršruto parinkimo ir junglumo paslaugomis siekiant gauti išteklius.
Domenų vardų sistemos paslaugų teikėjas – subjektas, kuris teikia viešai prieinamas rekursinio domenų vardų keitimo paslaugas galutiniams interneto naudotojams arba patikimas domenų vardų keitimo paslaugas trečiosioms šalims, išskyrus šakninių domenų vardų serverių paslaugas.
Duomenų centro paslauga – duomenų centro teikiama paslauga, kuri apima informacinių technologijų ir tinklo įrangos centralizuotą pritaikymą, eksploatavimą ir tarpusavio junglumo palaikymą, duomenų saugojimo, tvarkymo ir perdavimo paslaugų teikimą ir visos energijos paskirstymo ir aplinkos kontrolės įrangos ir infrastruktūros užtikrinimą.
Elektroninės informacijos prieglobos paslaugos – paslaugos, kurios sudaro paslaugos gavėjo pateiktos elektroninės informacijos saugojimą jo prašymu.
Interneto duomenų srautų mainų taškas – tinklo įrenginys, per kurį siekiant palengvinti interneto duomenų srautų mainus, sujungiamos daugiau nei dvi atskiros autonominės sistemos. Interneto duomenų srautų mainų taškas sujungia tik autonomines sistemas, jį naudojant nebūtina, kad interneto duomenų srautai, kuriais keičiasi autonominių sistemų pora, būtų perduodami per trečią autonominę sistemą, be to, jis nekeičia ir netrikdo tokių srautų.
Kibernetinė erdvė – aplinka, kurią sudaro kompiuteriai ir kita tinklų ir informacinių technologijų įranga ir juose sukuriami ir (ar) jais perduodami skaitmeniniai duomenys.
Kibernetinio incidento valdymas – veiksmai ir procedūros, kuriais siekiama užkirsti kelią kibernetiniam incidentui, jį atskleisti, išanalizuoti ir sustabdyti arba į jį reaguoti ir atkurti veiklą po jo.
Kibernetinio saugumo rizika – potencialus praradimas arba sutrikimas, kurį gali sukelti kibernetinis incidentas. Kibernetinio saugumo rizika išreiškiama kaip tokio praradimo arba sutrikimo masto ir kibernetinio incidento tikimybės derinys.
Kibernetinio saugumo subjektas – subjektas, registruotas Kibernetinio saugumo informacinėje sistemoje.
Kibernetinis incidentas – įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.
Nacionalinė kibernetinio saugumo strategija – nuosekli sistema, apimanti nustatytus Lietuvos Respublikos kibernetinio saugumo srities strateginius tikslus ir prioritetus ir jų įgyvendinimo valdymą.
Paskirstytasis turinio teikimo tinklas – geografiškai paskirstytų serverių tinklas, kurio paskirtis yra turinio ir paslaugų teikėjų vardu užtikrinti interneto vartotojams didelę skaitmeninio turinio ir paslaugų pasiūlą, prieinamumą arba greitą teikimą.
Saugusis valstybinis duomenų perdavimo tinklas – valstybės valdomas specialiuosius organizacinius ir techninius reikalavimus atitinkantis ir nuo viešųjų elektroninių ryšių tinklų nepriklausomas elektroninių ryšių tinklas.
Socialinių tinklų paslaugų platforma – interneto platforma, kuri sudaro galimybes galutiniams naudotojams įvairiais įrenginiais prisijungti, dalytis turiniu, rasti vienam kitą ir skelbiamą turinį, visų pirma per pokalbius, įrašus, vaizdo įrašus ir rekomendacijas.
Subjektas – fizinis asmuo arba juridinis asmuo, įsteigtas ir tokiu pripažintas pagal jo įsteigimo vietos nacionalinę teisę, kurie, veikdami savo vardu, naudojasi teisėmis ir kuriems gali būti taikomos pareigos.
Šakninis vardų serveris – aukščiausio lygio domenų vardų sistemos struktūroje esantis domenų vardų serveris, kuris atsako į užklausas pateikdamas atitinkamo aukščiausio lygio domeno vardų serverių sąrašą.
Tinklų ir informacinė sistema – elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais.
Tinklų ir informacinės sistemos spraga – tinklų ir informacinės sistemos trūkumas, įskaitant informacinių ir ryšių technologijų produktų arba informacinių ir ryšių technologijų paslaugų trūkumus, dėl kurio gali įvykti kibernetinis incidentas ar kuriuo gali būti pasinaudota kibernetinei grėsmei kelti.
Tinklų ir informacinių sistemų saugumas – tinklų ir informacinių sistemų pajėgumas tam tikru patikimumo lygiu išlikti atspariems bet kokiam įvykiui, galinčiam sukelti pavojų saugomų, perduodamų ar tvarkomų duomenų arba per tas tinklų ir informacines sistemas teikiamų arba gaunamų paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui.
Valdomų kibernetinio saugumo paslaugų teikėjas – valdomų paslaugų teikėjas, vykdantis kibernetinio saugumo rizikos valdymo veiklą arba teikiantis pagalbą tokiai veiklai vykdyti.
Valdomų paslaugų teikėjas – subjektas, teikiantis paslaugas, susijusias su informacinių ir ryšių technologijų produktų, tinklų, infrastruktūros, taikomųjų programų ar bet kurių kitų tinklų ir informacinių sistemų diegimu, valdymu, naudojimu ar technine priežiūra, kaip pagalbą arba kaip aktyvaus administravimo paslaugas klientų patalpose arba nuotoliniu būdu.
Vos neįvykęs kibernetinis incidentas – įvykis, dėl kurio galėjo būti sukeltas pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui, bet kuriam įvykti buvo sėkmingai užkirstas kelias arba kuris neįvyko.
Šiame įstatyme vartojamos sąvokos „Europos kibernetinio saugumo sertifikavimo schema“, „Europos kibernetinio saugumo sertifikatas“, „akreditavimas“ ir „atitikties vertinimo įstaiga“, „informacinių ir ryšių technologijų produktas“, „informacinių ir ryšių technologijų paslauga“, „informacinių ir ryšių technologijų procesas“, „kibernetinė grėsmė“, „kibernetinis saugumas“ suprantamos taip, kaip jos apibrėžiamos Reglamente (ES) 2019/881. Sąvokos „Kibernetinio saugumo kompetencijos bendruomenė“, „Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras“, „Nacionalinių koordinavimo centrų tinklas“ šiame įstatyme suprantamos taip, kaip jos vartojamos Reglamente (ES) 2021/887. Sąvokos „patikimumo užtikrinimo paslauga“, „patikimumo užtikrinimo paslaugų teikėjas“, „kvalifikuota patikimumo užtikrinimo paslauga“, „kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas“ šiame įstatyme suprantamos taip, kaip jos apibrėžiamos 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, su visais pakeitimais. Sąvoka „interneto paieškos sistema“ šiame įstatyme suprantama taip, kaip ji apibrėžiama 2019 m. birželio 20 d. Europos Parlamento ir Tarybos reglamente (ES) 2019/1150 dėl verslo klientams teikiamų internetinių tarpininkavimo paslaugų sąžiningumo ir skaidrumo didinimo. Sąvokos „standartas“, „techninė specifikacija“ šiame įstatyme suprantamos taip, kaip jos apibrėžiamos 2012 m. spalio 25 d. Europos Parlamento ir Tarybos reglamente (ES) 1025/2012 dėl Europos standartizacijos, kuriuo iš dalies keičiamos Tarybos direktyvos 89/686/EEB ir 93/15/EEB ir Europos Parlamento ir Tarybos direktyvos 94/9/EB, 94/25/EB, 95/16/EB, 97/23/EB, 98/34/EB, 2004/22/EB, 2007/23/EB, 2009/23/EB ir 2009/105/EB ir panaikinamas Tarybos sprendimas 87/95/EEB ir Europos Parlamento ir Tarybos sprendimas Nr. 1673/2006/EB, su visais pakeitimais. Sąvoka „duomenys“ suprantama taip, kaip ji apibrėžiama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.
Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip jos apibrėžiamos Lietuvos Respublikos alternatyviųjų degalų įstatyme, Lietuvos Respublikos atliekų tvarkymo įstatyme, Lietuvos Respublikos atsinaujinančių išteklių energetikos įstatyme, Lietuvos Respublikos civiliniame kodekse, Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme, Lietuvos Respublikos elektroninių ryšių įstatyme, Lietuvos Respublikos elektros energetikos įstatyme, Lietuvos Respublikos farmacijos įstatyme, Lietuvos Respublikos finansinių priemonių rinkų įstatyme, Lietuvos Respublikos gamtinių dujų įstatyme, Lietuvos Respublikos geležinkelių transporto kodekse, Lietuvos Respublikos geriamojo vandens įstatyme, Lietuvos Respublikos geriamojo vandens tiekimo ir nuotekų tvarkymo įstatyme, Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos krizių valdymo ir civilinės saugos įstatyme, Lietuvos Respublikos mokslo ir studijų įstatyme, Lietuvos Respublikos nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatyme, Lietuvos Respublikos naftos produktų ir naftos valstybės atsargų įstatyme, Lietuvos Respublikos nesąžiningos komercinės veiklos vartotojams draudimo įstatyme, Lietuvos Respublikos pašto įstatyme, Lietuvos Respublikos saugios laivybos įstatyme, Lietuvos Respublikos smulkiojo ir vidutinio verslo plėtros įstatyme, Lietuvos Respublikos transporto veiklos pagrindų įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos viešojo administravimo įstatyme, Lietuvos Respublikos žvalgybos įstatyme.
3 straipsnis. Kibernetinio saugumo principai
Kibernetinis saugumas grindžiamas šiais kibernetinio saugumo principais:
1) kibernetinės erdvės nediskriminavimo – teisės aktų nuostatos yra taikomos, o teisės aktų saugomų gėrių apsauga yra užtikrinama vienodai tiek fizinėje, tiek kibernetinėje erdvėje;
2) kibernetinio saugumo rizikos valdymo – taikomos kibernetinio saugumo rizikos valdymo priemonės turi užtikrinti kibernetinio saugumo subjektų reguliariai įvertinamos rizikos suvaldymą;
3) kibernetinio saugumo proporcingumo – taikomos kibernetinio saugumo rizikos valdymo priemonės neturi apriboti kibernetinio saugumo subjektų veiklos labiau, negu tai būtina kibernetiniam saugumui užtikrinti;
4) viešojo intereso viršenybės – taikomos kibernetinio saugumo rizikos valdymo priemonės pirmiausia turi užtikrinti viešojo intereso apsaugą, tačiau neturi iš esmės pažeisti atskirų vartotojų, kibernetinio saugumo subjektų teisių ir teisėtų interesų ar neproporcingai apriboti jų laisvės;
5) standartizacijos ir technologinio neutralumo – įgyvendinant kibernetinio saugumo rizikos valdymo priemones, kibernetinio saugumo subjektai skatinami vadovautis nacionaliniais, Europos Sąjungos ir kitais tarptautiniais tinklų ir informacinių sistemų saugumo standartais ir techninėmis specifikacijomis, nereikalaujant taikyti kokios nors konkrečios rūšies technologijos ir nesuteikiant jai pirmenybės;
6) subsidiarumo – už tinklų ir informacinių sistemų ir jomis teikiamų paslaugų kibernetinį saugumą yra atsakingi šias sistemas valdantys ir paslaugas jomis teikiantys kibernetinio saugumo subjektai. Srityse, kurios priklauso išimtinei kibernetinio saugumo subjektų kompetencijai, kibernetinio saugumo politikos formavimo ir įgyvendinimo institucijos veiksmų imasi tik tada, kai tinklų ir informacinių sistemų ir jomis teikiamų paslaugų kibernetinio saugumo neužtikrina šias sistemas valdantys ir paslaugas jomis teikiantys kibernetinio saugumo subjektai.
Taikant kibernetinį saugumą reglamentuojančias teisės normas, turi būti atsižvelgiama į visus šio straipsnio 1 dalyje nurodytus principus. Šie principai turi būti derinami tarpusavyje, nė vienam iš jų iš anksto nesuteikiama pirmenybė.
II SKYRIUS
KIBERNETINIO SAUGUMO POLITIKOS FORMAVIMAS IR ĮGYVENDINIMAS
4 straipsnis. Kibernetinio saugumo politikos formavimo ir įgyvendinimo institucijos
Kibernetinio saugumo politika formuojama, atsižvelgiant į Lietuvos Respublikos Seimo tvirtinamoje Nacionalinio saugumo strategijoje nustatytus ilgojo laikotarpio nacionalinio saugumo politikos prioritetus ir uždavinius, Vyriausybės tvirtinamame Nacionaliniame pažangos plane nustatytus strateginius tikslus ir uždavinius, Seimo tvirtinamoje Krašto apsaugos sistemos stiprinimo ir plėtros bei Vyriausybės tvirtinamoje Nacionalinės kibernetinio saugumo plėtros programose nustatytus uždavinių įgyvendinimo prioritetus ir kryptis. Šioje dalyje nurodyti strateginio planavimo dokumentai ar jų dalys kartu su šiuo įstatymu ir jo įgyvendinamaisiais teisės aktais sudaro nacionalinę kibernetinio saugumo strategiją.
Kibernetinio saugumo politiką formuoja, jos įgyvendinimą organizuoja, kontroliuoja ir koordinuoja Lietuvos Respublikos krašto apsaugos ministerija. Lietuvos Respublikos užsienio reikalų ministerija formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek reikia nustatyti diplomatinių priemonių taikymo reaguojant į kibernetines grėsmes ir kibernetinius incidentus teisinį reguliavimą. Nacionalinis kibernetinio saugumo centras formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek šiame įstatyme jam nustatytoms funkcijoms atlikti reikia nustatyti kibernetinio saugumo subjektų veiklos ir priežiūros teisinį reguliavimą.
Kibernetinio saugumo politiką įgyvendina Nacionalinis kibernetinio saugumo centras, Lietuvos policija ir Valstybinė duomenų apsaugos inspekcija.
5 straipsnis. Krašto apsaugos ministerijos įgaliojimai kibernetinio saugumo srityje
Krašto apsaugos ministerija, be šio įstatymo 4 straipsnio 2 dalyje numatyto kibernetinio saugumo politikos formavimo ir kitų šio įstatymo nustatytų funkcijų vykdymo, taip pat bendradarbiauja su atitinkamomis Šiaurės Atlanto sutarties organizacijos (toliau – NATO) bei Europos Sąjungos institucijomis ir NATO valstybių narių bei Europos Sąjungos valstybių narių institucijomis, tarptautinėmis institucijomis kibernetinio saugumo klausimais.
6 straipsnis. Kibernetinio saugumo taryba
Kibernetinio saugumo taryba (toliau – Taryba) yra nuolatinė kolegiali nepriklausoma visuomeniniais pagrindais veikianti patariamoji institucija, kuri savo veikloje remiasi Tarybos narių turimomis žiniomis ir gerąja praktika bei teikia pasiūlymus Krašto apsaugos ministerijai dėl:
1) kibernetinio saugumo politikos prioritetų, plėtros krypčių, siektinų rezultatų ir įgyvendinimo būdų;
2) viešojo sektoriaus, verslo subjektų ir mokslo ir studijų institucijų bendradarbiavimo galimybių kibernetinio saugumo užtikrinimo srityje;
Šis dokumentas nepakeičia oficialaus paskelbimo Teisės aktų registre. Neprisiimame atsakomybės už galimus netikslumus, atsiradusius perkeliant originalą į šį formatą.