Lietuvos Respublikos kibernetinio saugumo įstatymas

Šis įstatymas nustato kibernetinio saugumo principus, kibernetinio saugumo politiką formuojančias ir ją įgyvendinančias institucijas, jų funkcijas ir įgaliojimus, kibernetinio saugumo subjektų identifikavimo pagrindus ir šių subjektų pareigas, keitimąsi informacija ir tarpinstitucinį bendradarbiavimą, kibernetinio saugumo subjektų atitikties šio įstatymo reikalavimams patikrinimus ir vykdymo užtikrinimo priemones, nacionalinės kibernetinio saugumo sertifikavimo institucijos įgaliojimus, Saugiojo valstybinio duomenų perdavimo tinklo naudojimo pagrindus.

Šis įstatymas, išskyrus VII skyrių, netaikomas žvalgybos institucijoms. Šis įstatymas netaikomas kredito unijoms, išskyrus kredito unijas, kurios paslaugoms teikti ar veiklai vykdyti valdo ir (ar) tvarko tinklų ir informacines sistemas nepriklausomai nuo centrinių kredito unijų.

Šio įstatymo 14 straipsnio, 15 straipsnio ir 18 straipsnio 1 dalies 1 ir (ar) 2 punktų nuostatos netaikomos kibernetinio saugumo subjektams, jeigu jiems taikomuose Europos Sąjungos teisės aktuose yra keliami reikalavimai įgyvendinti kibernetinio saugumo rizikos valdymo priemones, pranešti apie didelius kibernetinius incidentus ar skirti už kibernetinį saugumą atsakingus asmenis ir jeigu šių reikalavimų poveikis yra bent lygiavertis šio įstatymo 14 straipsnyje ar jo pagrindu priimtuose įgyvendinamuosiuose teisės aktuose, 15 straipsnio 1–4 dalyse, 18 straipsnio 1 dalies 1 punkte ir 4 dalyje ir (ar) 18 straipsnio 1 dalies 2 punkte ir 5 dalyje nustatytų reikalavimų poveikiui.

Šio straipsnio 3 dalyje nurodytų reikalavimų poveikis yra laikomas lygiaverčiu:

Lietuvos Respublikos Vyriausybė šio įstatymo 1 ir 2 prieduose nurodytuose atskiruose sektoriuose politiką formuojančių ministerijų teikimu tvirtina Europos Sąjungos teisės aktų, atitinkančių bent vieną šio straipsnio 4 dalyje nurodytą kriterijų, sąrašą.

Šio įstatymo nuostatos suderintos su Europos Sąjungos teisės aktais, nurodytais šio įstatymo 3 priede.

Aukščiausio lygio domenų vardų registravimo paslaugas teikiantis subjektas – subjektas, atsakingas už aukščiausio lygio domeno administravimą, apimantį domenų vardų registraciją tame domene ir techninį jo veikimą, įskaitant vardų serverių veikimą, duomenų bazių techninę priežiūrą ir aukščiausio lygio domenų zonos rinkmenų paskirstymą tarp domenų vardų serverių, neatsižvelgiant į tai, ar visas tas operacijas atlieka pats subjektas, ar dalis jų yra užsakomosios paslaugos. Subjektas nėra laikomas aukščiausio lygio domenų vardų registravimo paslaugas teikiančiu subjektu, jeigu aukščiausio lygio domenų vardus naudoja tik savo reikmėms.

Debesijos paslauga – informacinės visuomenės paslauga, kuri apima jos administravimą ir plataus masto nuotolinę prieigą prie kintamo masto pritaikomos bendrų ir paskirstytų kompiuterijos išteklių bazės, įskaitant atvejus, kai tokie ištekliai yra paskirstyti per kelias vietas.

Didelė kibernetinė grėsmė – kibernetinė grėsmė, kurios techninės charakteristikos leidžia daryti prielaidą, kad ji gali padaryti didelį neigiamą poveikį subjekto arba subjekto teikiamų paslaugų naudotojų tinklų ir informacinėms sistemoms, sukeldama didelę turtinę arba neturtinę žalą.

Domenų vardų registravimo paslaugas teikiantis subjektas – subjektas arba jo vardu veikiantis subjektas, teikiantys domenų vardų registravimo paslaugas, įskaitant privatumo ar įgaliotojo tarpininkavimo registravimo paslaugų teikėją arba perpardavėją.

Domenų vardų sistema – sistema, kurioje hierarchiškai suskirstyti domenų vardai, kurioje galima identifikuoti interneto paslaugas ir išteklius ir kurioje sudaromos sąlygos galutiniams naudotojams naudotis interneto maršruto parinkimo ir junglumo paslaugomis siekiant gauti išteklius.

Domenų vardų sistemos paslaugų teikėjas – subjektas, kuris teikia viešai prieinamas rekursinio domenų vardų keitimo paslaugas galutiniams interneto naudotojams arba patikimas domenų vardų keitimo paslaugas trečiosioms šalims, išskyrus šakninių domenų vardų serverių paslaugas.

Duomenų centro paslauga – duomenų centro teikiama paslauga, kuri apima informacinių technologijų ir tinklo įrangos centralizuotą pritaikymą, eksploatavimą ir tarpusavio junglumo palaikymą, duomenų saugojimo, tvarkymo ir perdavimo paslaugų teikimą ir visos energijos paskirstymo ir aplinkos kontrolės įrangos ir infrastruktūros užtikrinimą.

Elektroninės informacijos prieglobos paslaugos – paslaugos, kurios sudaro paslaugos gavėjo pateiktos elektroninės informacijos saugojimą jo prašymu.

Interneto duomenų srautų mainų taškas – tinklo įrenginys, per kurį siekiant palengvinti interneto duomenų srautų mainus, sujungiamos daugiau nei dvi atskiros autonominės sistemos. Interneto duomenų srautų mainų taškas sujungia tik autonomines sistemas, jį naudojant nebūtina, kad interneto duomenų srautai, kuriais keičiasi autonominių sistemų pora, būtų perduodami per trečią autonominę sistemą, be to, jis nekeičia ir netrikdo tokių srautų.

Kibernetinė erdvė – aplinka, kurią sudaro kompiuteriai ir kita tinklų ir informacinių technologijų įranga ir juose sukuriami ir (ar) jais perduodami skaitmeniniai duomenys.

Kibernetinio incidento valdymas – veiksmai ir procedūros, kuriais siekiama užkirsti kelią kibernetiniam incidentui, jį atskleisti, išanalizuoti ir sustabdyti arba į jį reaguoti ir atkurti veiklą po jo.

Kibernetinio saugumo rizika – potencialus praradimas arba sutrikimas, kurį gali sukelti kibernetinis incidentas. Kibernetinio saugumo rizika išreiškiama kaip tokio praradimo arba sutrikimo masto ir kibernetinio incidento tikimybės derinys.

Kibernetinio saugumo subjektas – subjektas, registruotas Kibernetinio saugumo informacinėje sistemoje.

Kibernetinis incidentas – įvykis, dėl kurio kyla pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui.

Nacionalinė kibernetinio saugumo strategija – nuosekli sistema, apimanti nustatytus Lietuvos Respublikos kibernetinio saugumo srities strateginius tikslus ir prioritetus ir jų įgyvendinimo valdymą.

Paskirstytasis turinio teikimo tinklas – geografiškai paskirstytų serverių tinklas, kurio paskirtis yra turinio ir paslaugų teikėjų vardu užtikrinti interneto vartotojams didelę skaitmeninio turinio ir paslaugų pasiūlą, prieinamumą arba greitą teikimą.

Saugusis valstybinis duomenų perdavimo tinklas – valstybės valdomas specialiuosius organizacinius ir techninius reikalavimus atitinkantis ir nuo viešųjų elektroninių ryšių tinklų nepriklausomas elektroninių ryšių tinklas.

Socialinių tinklų paslaugų platforma – interneto platforma, kuri sudaro galimybes galutiniams naudotojams įvairiais įrenginiais prisijungti, dalytis turiniu, rasti vienam kitą ir skelbiamą turinį, visų pirma per pokalbius, įrašus, vaizdo įrašus ir rekomendacijas.

Subjektas – fizinis asmuo arba juridinis asmuo, įsteigtas ir tokiu pripažintas pagal jo įsteigimo vietos nacionalinę teisę, kurie, veikdami savo vardu, naudojasi teisėmis ir kuriems gali būti taikomos pareigos.

Šakninis vardų serveris – aukščiausio lygio domenų vardų sistemos struktūroje esantis domenų vardų serveris, kuris atsako į užklausas pateikdamas atitinkamo aukščiausio lygio domeno vardų serverių sąrašą.

Tinklų ir informacinė sistema – elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais.

Tinklų ir informacinės sistemos spraga – tinklų ir informacinės sistemos trūkumas, įskaitant informacinių ir ryšių technologijų produktų arba informacinių ir ryšių technologijų paslaugų trūkumus, dėl kurio gali įvykti kibernetinis incidentas ar kuriuo gali būti pasinaudota kibernetinei grėsmei kelti.

Tinklų ir informacinių sistemų saugumas – tinklų ir informacinių sistemų pajėgumas tam tikru patikimumo lygiu išlikti atspariems bet kokiam įvykiui, galinčiam sukelti pavojų saugomų, perduodamų ar tvarkomų duomenų arba per tas tinklų ir informacines sistemas teikiamų arba gaunamų paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui.

Valdomų kibernetinio saugumo paslaugų teikėjas – valdomų paslaugų teikėjas, vykdantis kibernetinio saugumo rizikos valdymo veiklą arba teikiantis pagalbą tokiai veiklai vykdyti.

Valdomų paslaugų teikėjas – subjektas, teikiantis paslaugas, susijusias su informacinių ir ryšių technologijų produktų, tinklų, infrastruktūros, taikomųjų programų ar bet kurių kitų tinklų ir informacinių sistemų diegimu, valdymu, naudojimu ar technine priežiūra, kaip pagalbą arba kaip aktyvaus administravimo paslaugas klientų patalpose arba nuotoliniu būdu.

Vos neįvykęs kibernetinis incidentas – įvykis, dėl kurio galėjo būti sukeltas pavojus saugomų, perduodamų arba tvarkomų duomenų arba paslaugų, teikiamų arba prieinamų per tinklų ir informacines sistemas, prieinamumui, autentiškumui, vientisumui arba konfidencialumui, bet kuriam įvykti buvo sėkmingai užkirstas kelias arba kuris neįvyko.

Šiame įstatyme vartojamos sąvokos „Europos kibernetinio saugumo sertifikavimo schema“, „Europos kibernetinio saugumo sertifikatas“, „akreditavimas“ ir „atitikties vertinimo įstaiga“, „informacinių ir ryšių technologijų produktas“, „informacinių ir ryšių technologijų paslauga“, „informacinių ir ryšių technologijų procesas“, „kibernetinė grėsmė“, „kibernetinis saugumas“ suprantamos taip, kaip jos apibrėžiamos Reglamente (ES) 2019/881. Sąvokos „Kibernetinio saugumo kompetencijos bendruomenė“, „Europos kibernetinio saugumo pramonės, technologijų ir mokslinių tyrimų kompetencijos centras“, „Nacionalinių koordinavimo centrų tinklas“ šiame įstatyme suprantamos taip, kaip jos vartojamos Reglamente (ES) 2021/887. Sąvokos „patikimumo užtikrinimo paslauga“, „patikimumo užtikrinimo paslaugų teikėjas“, „kvalifikuota patikimumo užtikrinimo paslauga“, „kvalifikuotas patikimumo užtikrinimo paslaugų teikėjas“ šiame įstatyme suprantamos taip, kaip jos apibrėžiamos 2014 m. liepos 23 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama Direktyva 1999/93/EB, su visais pakeitimais. Sąvoka „interneto paieškos sistema“ šiame įstatyme suprantama taip, kaip ji apibrėžiama 2019 m. birželio 20 d. Europos Parlamento ir Tarybos reglamente (ES) 2019/1150 dėl verslo klientams teikiamų internetinių tarpininkavimo paslaugų sąžiningumo ir skaidrumo didinimo. Sąvokos „standartas“, „techninė specifikacija“ šiame įstatyme suprantamos taip, kaip jos apibrėžiamos 2012 m. spalio 25 d. Europos Parlamento ir Tarybos reglamente (ES) 1025/2012 dėl Europos standartizacijos, kuriuo iš dalies keičiamos Tarybos direktyvos 89/686/EEB ir 93/15/EEB ir Europos Parlamento ir Tarybos direktyvos 94/9/EB, 94/25/EB, 95/16/EB, 97/23/EB, 98/34/EB, 2004/22/EB, 2007/23/EB, 2009/23/EB ir 2009/105/EB ir panaikinamas Tarybos sprendimas 87/95/EEB ir Europos Parlamento ir Tarybos sprendimas Nr. 1673/2006/EB, su visais pakeitimais. Sąvoka „duomenys“ suprantama taip, kaip ji apibrėžiama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.

Kitos šiame įstatyme vartojamos sąvokos suprantamos taip, kaip jos apibrėžiamos Lietuvos Respublikos alternatyviųjų degalų įstatyme, Lietuvos Respublikos atliekų tvarkymo įstatyme, Lietuvos Respublikos atsinaujinančių išteklių energetikos įstatyme, Lietuvos Respublikos civiliniame kodekse, Lietuvos Respublikos elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų įstatyme, Lietuvos Respublikos elektroninių ryšių įstatyme, Lietuvos Respublikos elektros energetikos įstatyme, Lietuvos Respublikos farmacijos įstatyme, Lietuvos Respublikos finansinių priemonių rinkų įstatyme, Lietuvos Respublikos gamtinių dujų įstatyme, Lietuvos Respublikos geležinkelių transporto kodekse, Lietuvos Respublikos geriamojo vandens įstatyme, Lietuvos Respublikos geriamojo vandens tiekimo ir nuotekų tvarkymo įstatyme, Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos krizių valdymo ir civilinės saugos įstatyme, Lietuvos Respublikos mokslo ir studijų įstatyme, Lietuvos Respublikos nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatyme, Lietuvos Respublikos naftos produktų ir naftos valstybės atsargų įstatyme, Lietuvos Respublikos nesąžiningos komercinės veiklos vartotojams draudimo įstatyme, Lietuvos Respublikos pašto įstatyme, Lietuvos Respublikos saugios laivybos įstatyme, Lietuvos Respublikos smulkiojo ir vidutinio verslo plėtros įstatyme, Lietuvos Respublikos transporto veiklos pagrindų įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos viešojo administravimo įstatyme, Lietuvos Respublikos žvalgybos įstatyme.

Kibernetinis saugumas grindžiamas šiais kibernetinio saugumo principais: