APGINTI.🇱🇹

XIV-2902: Lietuvos Respublikos kibernetinio saugumo įstatymo NR. XII-1428 pakeitimo įstatymas

2024 m. liepos 11 d. e-seimas.lrs.lt

Lietuvos Respublikos kibernetinio saugumo įstatymas

I Skyrius - Bendrosios nuostatos

II Skyrius - Kibernetinio saugumo politikos formavimas ir įgyvendinimas

III Skyrius - Kibernetinio saugumo subjektų identifikavimas ir šių subjektų pareigos

III Skyrius

11 straipsnis. Kibernetinio saugumo subjektai
1. Kibernetinio saugumo subjekto statusą įgyja ir Kibernetinio saugumo informacinėje sistemoje registruojami subjektai, atitinkantys bent vieną iš šio straipsnio 3–5 dalyse nurodytų bendrųjų ar specialiųjų kibernetinio saugumo subjektų identifikavimo kriterijų ir šiose dalyse nurodytoms paslaugoms teikti ar veiklai vykdyti valdantys ir (ar) tvarkantys tinklų ir informacines sistemas. Atsižvelgiant į galimą neigiamą poveikį, kurį kibernetinis incidentas gali padaryti kibernetinio saugumo subjektų valdomoms ir (ar) tvarkomoms tinklų ir informacinėms sistemoms, kibernetinio saugumo subjektai skirstomi į esminius kibernetinio saugumo subjektus (toliau – esminiai subjektai) ir svarbius kibernetinio saugumo subjektus (toliau – svarbūs subjektai).
2. Kibernetinio saugumo subjektai įgyja pareigas, nustatytas kibernetinio saugumo subjektams, tik nuo jų įregistravimo Kibernetinio saugumo informacinėje sistemoje.
3. Bendrieji esminių subjektų identifikavimo kriterijai:
  1. subjektas teikia paslaugas ir (ar) vykdo veiklą šio įstatymo 1 priede nurodytuose sektoriuose ir viršija vidutinių įmonių darbuotojų skaičių ir finansinius duomenis apibrėžiančias ribas, nustatytas Smulkiojo ir vidutinio verslo plėtros įstatyme;
  2. subjektas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje teikia kvalifikuotas patikimumo užtikrinimo paslaugas, aukščiausio lygio domeno vardų registravimo paslaugas ar domenų vardų sistemos (toliau – DNS) paslaugas, išskyrus šakninių vardų serverių operatorius;
  3. subjektas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje teikia viešąsias elektroninių ryšių tinklų ar viešąsias elektroninių ryšių paslaugas ir yra laikomas vidutine įmone pagal Smulkiojo ir vidutinio verslo plėtros įstatymą;
  4. subjektas Krizių valdymo ir civilinės saugos įstatymo nustatyta tvarka yra pripažintas ypatingos svarbos subjektu;
  5. subjektas šio įstatymo 1 priede nurodytame viešojo administravimo sektoriuje teikia paslaugas ir (ar) vykdo veiklą ir yra laikomas centriniu valstybinio administravimo subjektu ar regioninio administravimo subjektu, ar savivaldybių administravimo subjektu pagal Viešojo administravimo įstatymą;
  6. subjektas Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka valdo ir (ar) tvarko ypatingos svarbos ir (ar) svarbius valstybės informacinius išteklius;
  7. subjektas yra laikomas nacionaliniam saugumui užtikrinti svarbia įmone arba subjekto valdoma ir (ar) tvarkoma tinklų ir informacinė sistema yra įrašyta į nacionaliniam saugumui užtikrinti svarbių įrenginių ir turto sąrašą.
4. Bendrieji svarbių subjektų identifikavimo kriterijai:
  1. subjektas teikia paslaugas ir (ar) vykdo veiklą šio įstatymo 2 priede nurodytuose sektoriuose, viršija mažų įmonių darbuotojų skaičių ir finansinius duomenis apibrėžiančias ribas, nustatytas Smulkiojo ir vidutinio verslo plėtros įstatyme, ir šio subjekto šiame punkte nurodytų teikiamų paslaugų ir (ar) vykdomos veiklos metinių pajamų suma viršija 50 procentų visų subjekto metinių pajamų;
  2. subjektas teikia paslaugas ir (ar) vykdo veiklą šio įstatymo 1 priede nurodytuose sektoriuose ir viršija mažų įmonių darbuotojų skaičių ir finansinius duomenis apibrėžiančias ribas, tačiau neviršija vidutinių įmonių darbuotojų skaičiaus ir finansinių duomenų ribų, nustatytų Smulkiojo ir vidutinio verslo plėtros įstatyme;
  3. subjektas teikia nekvalifikuotas patikimumo užtikrinimo paslaugas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje ir yra laikomas vidutine, maža ar labai maža įmone pagal Smulkiojo ir vidutinio verslo plėtros įstatymą;
  4. subjektas teikia viešąsias elektroninių ryšių tinklų ar viešąsias elektroninių ryšių paslaugas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje ir yra laikomas maža ar labai maža įmone pagal Smulkiojo ir vidutinio verslo plėtros įstatymą;
  5. subjektas valdo ir (ar) tvarko valstybės informacinius išteklius;
  6. subjektas teikia domenų vardų registravimo paslaugas;
  7. subjektas teikia elektroninės informacijos prieglobos paslaugas.
5. Specialieji kibernetinio saugumo subjektų identifikavimo kriterijai:
  1. subjektas yra vienintelis paslaugos, kuri yra būtina siekiant užtikrinti ypatingos svarbos visuomeninės ar ekonominės veiklos vykdymą Lietuvos Respublikoje, teikėjas;
  2. paslaugos, kurią teikia subjektas, sutrikimas galėtų daryti didelį poveikį viešajam saugumui, visuomenės saugumui arba visuomenės sveikatai;
  3. paslaugos, kurią teikia subjektas, sutrikimas galėtų kelti didelę sisteminę riziką sektoriuose, kuriuose toks sutrikimas galėtų daryti tarpvalstybinį poveikį;
  4. subjektas yra ypatingos svarbos atsižvelgiant į jo svarbą konkrečiam sektoriui ar paslaugos rūšiai arba kitiems tarpusavyje priklausomiems sektoriams nacionaliniu ar regioniniu lygmeniu;
  5. subjektas šio įstatymo 1 priede nurodytame viešojo administravimo sektoriuje teikia paslaugas ir (ar) vykdo veiklą, kuriai sutrikus galėtų kilti didelis poveikis valstybei, institucijoms ar gyventojams, ir yra laikomas teritoriniu valstybinio administravimo subjektu ar regioniniu administravimo subjektu, ar savivaldybių administravimo subjektu pagal Viešojo administravimo įstatymą;
  6. paslaugos, kurią teikia subjektas, sutrikimas galėtų daryti didelį poveikį esminio subjekto teikiamai paslaugai ir (ar) vykdomai veiklai;
  7. subjektas yra paslaugos, kuri yra būtina gyvybiškai svarbioms valstybės funkcijoms atlikti ir valstybinėms mobilizacinėms užduotims vykdyti, teikėjas;
  8. subjektas šio įstatymo 2 priede nurodytame mokslinių tyrimų sektoriuje vykdo ypatingos svarbos mokslinių tyrimų ir eksperimentinės plėtros veiklą.
6. Vyriausybė nustato identifikavimo pagal specialiuosius kriterijus metodiką, pagal kurią subjektas priskiriamas esminiams arba svarbiems subjektams. Pagal šio straipsnio 5 dalies 5 punkte nurodytą kriterijų identifikuojami tik esminiai subjektai, o pagal šio straipsnio 5 dalies 8 punkte nurodytą kriterijų identifikuojami tik svarbūs subjektai.
7. Jeigu subjektas atitinka bent vieną šio straipsnio 3 ar 5 dalyje nurodytą kriterijų, pagal kurį identifikuojamas esminis subjektas, laikoma, kad subjektas yra esminis subjektas nepriklausomai nuo jo atitikties svarbaus subjekto kriterijams.
12 straipsnis. Jurisdikcija ir teritoriškumas
1. Identifikuojant kibernetinio saugumo subjektus laikoma, kad Lietuvos Respublikos jurisdikcijai priklauso:
  1. subjektai, registruoti Lietuvos Respublikoje, išskyrus:
    • a) viešojo administravimo subjektus, kurie yra įsteigti kitos valstybės;
    • b) šios dalies 3 punkte nurodytus subjektus, kurių pagrindinė buveinė yra ne Lietuvos Respublikoje;
  2. viešojo administravimo subjektai, kuriuos Lietuvos Respublika įsteigė kitose valstybėse;
  3. DNS paslaugų teikėjai, aukščiausio lygio domenų vardų registravimo paslaugas teikiantys subjektai, domenų vardų registravimo paslaugas teikiantys subjektai, debesijos paslaugų teikėjai, duomenų centrų paslaugų teikėjai, paskirstytojo turinio teikimo tinklo paslaugų teikėjai, valdomų paslaugų teikėjai, valdomų kibernetinio saugumo paslaugų teikėjai, elektroninių prekyviečių, interneto paieškos sistemų ar socialinio tinklo paslaugų platformų paslaugų teikėjai, kurių pagrindinė buveinė yra Lietuvos Respublikoje;
  4. viešųjų elektroninių ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikėjai, teikiantys šias paslaugas Lietuvos Respublikoje.
2. Laikoma, kad šio straipsnio 1 dalies 3 punkte nurodyta pagrindinė buveinė yra Lietuvos Respublikoje, jeigu šio straipsnio 1 dalies 3 punkte nurodyti subjektai yra registruoti ar įsisteigę Lietuvos Respublikoje. Laikoma, kad šio straipsnio 1 dalies 3 punkte nurodyta pagrindinė buveinė yra Lietuvos Respublikoje, jeigu su kibernetinio saugumo rizikos valdymo priemonėmis susiję sprendimai yra priimami Lietuvos Respublikoje. Jeigu Europos Sąjungos valstybė narė, kurioje priimami tokie sprendimai, nenustatoma arba tokie sprendimai Europos Sąjungoje nepriimami, laikoma, kad pagrindinė buveinė yra Lietuvos Respublikoje, kai Lietuvos Respublikoje įgyvendinamos kibernetinio saugumo rizikos valdymo priemonės. Jeigu nenustatoma Europos Sąjungos valstybė narė, kurioje įgyvendinamos kibernetinio saugumo rizikos valdymo priemonės, laikoma, kad pagrindinė buveinė yra Lietuvos Respublikoje, jeigu subjektas Lietuvos Respublikoje turi padalinį, kuriame dirba daugiausia jo darbuotojų Europos Sąjungoje.
3. Jeigu šio straipsnio 1 dalies 3 punkte nurodytas subjektas nėra įsisteigęs Europos Sąjungoje, bet teikia paslaugas Lietuvos Respublikoje, jis privalo paskirti Europos Sąjungoje įsisteigusį fizinį arba juridinį asmenį veikti tik DNS paslaugų teikėjo, aukščiausio lygio domenų vardų registravimo paslaugas teikiančio subjekto, domenų vardų registravimo paslaugas teikiančio subjekto, debesijos paslaugų teikėjo, duomenų centro paslaugų teikėjo, paskirstytojo turinio teikimo tinklo paslaugų teikėjo, valdomų paslaugų teikėjo, valdomų kibernetinio saugumo paslaugų teikėjo, elektroninės prekyvietės paslaugų teikėjo, interneto paieškos sistemos paslaugų teikėjo arba socialinio tinklo paslaugų platformų paslaugų teikėjo, kuris nėra įsisteigęs Europos Sąjungoje, vardu, į kurį Nacionalinis kibernetinio saugumo centras gali kreiptis vietoj subjekto dėl to subjekto pareigų atlikimo pagal šį įstatymą (toliau – atstovas) Europos Sąjungoje. Šioje dalyje nurodytas atstovas turi būti įsisteigęs vienoje iš tų Europos Sąjungos valstybių narių, kuriose siūlomos paslaugos. Jeigu šio straipsnio 1 dalies 3 punkte nurodytas subjektas skiria atstovą Lietuvos Respublikoje arba jo nepaskiria, bet teikia paslaugas Lietuvos Respublikoje, laikoma, kad toks subjektas priklauso Lietuvos Respublikos jurisdikcijai.
13 straipsnis. Kibernetinio saugumo subjektų registras
1. Kibernetinio saugumo subjektų registro objektas yra kibernetinio saugumo subjektai.
2. Kibernetinio saugumo subjektų registras tvarkomas Kibernetinio saugumo informacinėje sistemoje.
3. Kibernetinio saugumo subjektų registrą sudaro šie pagrindiniai duomenys apie kibernetinio saugumo subjektus:
  1. jeigu kibernetinio saugumo subjektas yra juridinis asmuo – kibernetinio saugumo subjekto pavadinimas, juridinio asmens kodas, teisinė forma, ekonominės veiklos sritis (sritys) ir rūšis (rūšys), pagrindinės buveinės adresas, o jeigu kibernetinio saugumo subjektas nėra įsisteigęs Europos Sąjungoje, – pagal šio įstatymo 12 straipsnio 3 dalį paskirto atstovo pavadinimas, teisinė forma, ekonominės veiklos sritis (sritys) ir rūšis (rūšys), adresas. Jeigu kibernetinio saugumo subjektas yra DNS paslaugų teikėjas, aukščiausio lygio domenų vardų registravimo paslaugas teikiantis subjektas, debesijos paslaugų teikėjas, duomenų centrų paslaugų teikėjas, paskirstytojo turinio teikimo tinklo paslaugų teikėjas, valdomų paslaugų teikėjas, valdomų kibernetinio saugumo paslaugų teikėjas, elektroninės prekyvietės paslaugų teikėjas, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų paslaugų teikėjas (toliau – specialusis subjektas) ar yra domenų vardų registravimo paslaugas teikiantis subjektas – ir kitų juridinių padalinių Europos Sąjungoje adresai;
  2. jeigu kibernetinio saugumo subjektas yra fizinis asmuo – kibernetinio saugumo subjekto vardas, pavardė, asmens kodas, veiklos vykdymo adresas;
  3. kibernetinio saugumo subjekto (jeigu jis nėra įsisteigęs Europos Sąjungoje – taip pat ir pagal šio įstatymo 12 straipsnio 3 dalį paskirto atstovo) kontaktiniai duomenys (elektroninio pašto adresas, ryšio numeris);
  4. kibernetinio saugumo subjekto teikiamos paslaugos ir (ar) vykdomos veiklos, atitinkančios šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus;
  5. kibernetinio saugumo subjekto naudojami interneto protokolo (IP) adresai;
  6. valstybės, kuriose kibernetinio saugumo subjektas teikia paslaugas ir (ar) vykdo veiklą, nurodytą šio įstatymo 1 ir 2 prieduose nurodytuose sektoriuose ir subsektoriuose;
  7. kibernetinio saugumo subjekto paslaugų teikimui ar veiklai reikšmingos tinklų ir informacinės sistemos;
  8. šio įstatymo 1 ir 2 prieduose nurodytas sektorius, kuriame kibernetinio saugumo subjektas veikia ar teikia paslaugas, jo subsektorius.
4. Subjektas, atitinkantis šio įstatymo 11 straipsnio 3–5 dalyse nustatytus kibernetinio saugumo subjektų identifikavimo kriterijus, Kibernetinio saugumo informacinės sistemos duomenų tvarkytojui pateikia duomenis, nurodytus krašto apsaugos ministro tvirtinamuose Kibernetinio saugumo informacinės sistemos nuostatuose. Duomenys teikiami šiuose nuostatuose nustatyta tvarka.
5. Kibernetinio saugumo subjektus registruoja ir išregistruoja Kibernetinio saugumo informacinės sistemos duomenų tvarkytojas Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka. Kibernetinio saugumo subjektai šio įstatymo 1 ir 2 prieduose nurodytiems sektoriams, subsektoriams ir subjekto rūšiai priskiriami pagal Ekonominės veiklos rūšių klasifikatorių Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka.
6. Šio įstatymo 1 ir 2 prieduose nurodytos institucijos, atsakingos už kibernetinio saugumo subjektų identifikavimą, patvirtina šio straipsnio 3 dalyje nurodytus Kibernetinio saugumo informacinės sistemos duomenų tvarkytojo duomenis apie kibernetinio saugumo subjektus, taip pat pagal Vyriausybės nustatytą identifikavimo pagal specialiuosius kriterijus metodiką identifikuotus kibernetinio saugumo subjektus Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka.
7. Kibernetinio saugumo informacinės sistemos nuostatuose nustatytais atvejais ir tvarka identifikuojami ir registruojami subjektai, taip pat kitos valstybės institucijos, valstybės įstaigos, valstybės valdomos įmonės, viešosios įstaigos, savivaldybių valdomos įmonės ir savivaldybių įstaigos neatlygintinai teikia Kibernetinio saugumo informacinės sistemos duomenų tvarkytojui šio straipsnio 3 dalyje nurodytus duomenis ir kitą šiuos duomenis apibūdinančią informaciją, reikalingą kibernetinio saugumo subjektams registruoti.
8. Jeigu kibernetinio saugumo subjektas neatitinka šio įstatymo 11 straipsnio 3–5 dalyse

nurodytų kriterijų, jis išregistruojamas iš Kibernetinio saugumo informacinės sistemos. Kibernetinio saugumo subjektas išregistruojamas iš Kibernetinio saugumo informacinės sistemos per 20 darbo dienų nuo dienos, kai Kibernetinio saugumo informacinės sistemos duomenų tvarkytojas gauna informacijos, kad kibernetinio saugumo subjektas nebeatitinka šio įstatymo 11 straipsnio 3–5 dalyse nurodytų kriterijų.

9. Subjektai turi teisę skųsti sprendimą juos registruoti arba jų neregistruoti Kibernetinio

saugumo informacinėje sistemoje, taip pat sprendimą iš jos išregistruoti Administracinių bylų teisenos įstatymo nustatyta tvarka.

10. Kibernetinio saugumo subjektas netenka šiame įstatyme nurodytų kibernetinio

saugumo subjektams taikomų pareigų nuo jo išregistravimo iš Kibernetinio saugumo informacinės sistemos.

14 straipsnis. Kibernetinio saugumo rizikos valdymo priemonės
1. Kibernetinio saugumo subjektai privalo užtikrinti šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai veiklai vykdyti ar paslaugoms teikti naudojamų tinklų ir informacinių sistemų atitiktį kibernetinio saugumo rizikos valdymo priemonėms:
  1. kibernetinio saugumo reikalavimams, tvirtinamiems Vyriausybės, išskyrus šio straipsnio 4 dalyje nurodytus atvejus;
  2. Europos Komisijos priimtiems įgyvendinamiesiems teisės aktams.
2. Kibernetinio saugumo subjektai privalo šio straipsnio 1 dalies 1 punkte nurodytus

kibernetinio saugumo reikalavimus įgyvendinti per Vyriausybės nustatytą ne trumpesnį kaip 12 mėnesių terminą nuo jų įregistravimo Kibernetinio saugumo informacinėje sistemoje. Nustatydama terminą Vyriausybė privalo atsižvelgti į kibernetinio saugumo reikalavimams įgyvendinti reikalingus kibernetinio saugumo subjekto žmogiškuosius ir finansinius išteklius.

3. Kibernetinio saugumo subjektai privalo Nacionaliniam kibernetinio saugumo centrui Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka pateikti šiuose nuostatuose nurodytus duomenis apie kibernetinio saugumo rizikos valdymo priemonių įgyvendinimą.
4. Specialusis subjektas privalo užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį tik šio straipsnio 1 dalies 2 punkte nurodytoms kibernetinio saugumo rizikos valdymo priemonėms.
5. Kibernetinio saugumo reikalavimai apima šiuos elementus:
  1. kibernetinio saugumo rizikos analizės, tinklų ir informacinių sistemų kibernetinio saugumo politiką;
  2. už kibernetinį saugumą atsakingų asmenų, nurodytų šio įstatymo 15 straipsnyje, ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigas;
  3. kibernetinių incidentų valdymą;
  4. veiklos tęstinumą;
  5. tiekimo grandinės saugumą, įskaitant aspektus, susijusius su kiekvieno kibernetinio saugumo subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais;
  6. tinklų ir informacinių sistemų įsigijimą, plėtojimą ir priežiūros saugumą, įskaitant spragų valdymą ir atskleidimą;
  7. politiką ir procedūras, skirtas kibernetinio saugumo reikalavimų veiksmingumui įvertinti;
  8. kibernetinės higienos praktiką ir reguliarius kibernetinio saugumo mokymus;
  9. kriptografijos ir šifravimo naudojimo politiką ir procedūras;
  10. žmogiškųjų išteklių saugumą, prieigos prie tinklų ir informacinių sistemų kontrolės politiką ir turto valdymą;
  11. kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų subjekto viduje naudojimą;
  12. kibernetinio saugumo subjektų valdomų ir (ar) tvarkomų tinklų ir informacinių sistemų naudotojų, administratorių, kibernetinio saugumo subjektų tiekėjų, jų subtiekėjų ir kitų ūkio subjektų teisių ir prieigos prie kibernetinio saugumo subjektų valdomų ir (ar) tvarkomų tinklų ir informacinių sistemų ir (ar) skaitmeninių duomenų suteikimo ir valdymo politiką;
  13. kitus atskiriems sektoriams arba atskiroms kibernetinio saugumo subjektų grupėms taikomus kibernetinio saugumo reikalavimus, nustatytus atsižvelgiant į identifikuotas atskirų sektorių kibernetinio saugumo rizikas.
6. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo privalo užtikrinti, kad kibernetinio saugumo subjektas laikytųsi šiame įstatyme jam nustatytų pareigų, ir prižiūrėti jų laikymąsi. Kibernetinio saugumo subjekto vadovas, įgaliodamas šioje dalyje nurodytą asmenį,užtikrina, kad jis turėtų būtinų priemonių, reikalingų nurodytam įgaliojimui vykdyti.
7. Kibernetinio saugumo subjekto valdymo organų nariai, vadovas ir jo įgaliotas asmuo, jeigu toks yra, ar kibernetinio saugumo subjektas, jeigu jis yra fizinis asmuo, privalo ne rečiau kaip kartą per 2 metus Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka išklausyti kibernetinio saugumo mokymus ir užtikrinti kibernetinio saugumo subjekto darbuotojų, jeigu tokių yra, nuolatinį švietimą kibernetinio saugumo srityje.
8. Kibernetinio saugumo subjektai ne rečiau kaip kartą per 3 metus atlieka kibernetinio saugumo auditą pagal Nacionalinio kibernetinio saugumo centro tvirtinamą kibernetinio saugumo auditų atlikimo metodiką. Kibernetinio saugumo auditą atlieka nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų saugumo atitikties auditoriai, audito įmonės ar kitos institucijos, Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka mokymus išklausę ir kvalifikacinius žinių ir praktinių įgūdžių patikrinimo egzaminą išlaikę asmenys, kurie atitinka Nacionalinio kibernetinio saugumo centro kibernetinio saugumo auditų atlikimo metodikoje nustatytus nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus, (toliau kartu – auditoriai). Auditoriams negali būti pavedama vertinti tinklų ir informacinių sistemų, kurias valdo ir (ar) tvarko subjektas, kuriame dirba auditorius, saugos.
15 straipsnis. Už kibernetinį saugumą atsakingi asmenys
1. Kibernetinio saugumo subjekto vadovas ar jo įgaliotas asmuo privalo paskirti kibernetinio saugumo vadovą, tiesiogiai atskaitingą kibernetinio saugumo subjekto vadovui, atsakingą už kibernetinio saugumo subjekto atitikties šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams įgyvendinimą ir atliekantį kitas kibernetinį saugumą reglamentuojančiuose teisės aktuose nustatytas funkcijas.
2. Kibernetinio saugumo subjekto vadovas ar jo įgaliotas asmuo privalo paskirti saugos įgaliotinį, atsakingą už konkrečios tinklų ir informacinės sistemos atitiktį šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams ir atliekantį kitas kibernetinį saugumą reglamentuojančiuose teisės aktuose nustatytas funkcijas.
3. Kibernetinio saugumo vadovas gali vykdyti saugos įgaliotinio funkcijas. Kibernetinio saugumo vadovas gali būti paskirtas atsakingas už šio įstatymo 14 ir 18 straipsniuose nustatytų reikalavimų, taikomų keliems kibernetinio saugumo subjektams, įgyvendinimą. Saugos įgaliotinis gali būti paskirtas atsakingas už kelių tinklų ir informacinių sistemų atitiktį šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams. Tinklų ir informacinės sistemos valdytojas turi teisę pavesti šios tinklų ir informacinės sistemos tvarkytojui paskirti saugos įgaliotinį.
4. Kibernetinio saugumo subjektui leidžiama iš tiekėjo įsigyti paslaugas, kurias teikiant būtų atliekamos kibernetinio saugumo vadovo ir (ar) saugos įgaliotinio funkcijos. Įsigyjant šioje dalyje nurodytas paslaugas, turi būti užtikrinama atitiktis šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams.
5. Kibernetinio saugumo vadovas ir saugos įgaliotinis:
  1. turi atitikti Lietuvos Respublikos valstybės tarnybos įstatyme valstybės tarnautojams nustatytus nepriekaištingos reputacijos reikalavimus;
  2. negali turėti administracinės nuobaudos už teisės aktų pažeidimus tinklų ir informacinių sistemų ir asmens duomenų tvarkymo ir privatumo apsaugos srityse, nuo kurios paskyrimo praėję mažiau kaip vieni metai;
  3. turi turėti ne mažiau kaip 2 metų patirtį informacinių technologijų, kibernetinio saugumo ar tinklų ir informacinių sistemų srityje arba šių sričių kvalifikaciją patvirtinantį aukštojo mokslo diplomą, tarptautiniu lygmeniu pripažįstamą kvalifikacijos sertifikatą arba Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka būti išklausę mokymus ir išlaikę kibernetinio saugumo vadovo egzaminą.
  1. Jeigu kibernetinio saugumo subjektas yra fizinis asmuo, jam netaikomi šiame straipsnyje nustatyti reikalavimai.
16 straipsnis. Techninės kibernetinio saugumo priemonės
1. Vykdydamas esminių subjektų valdomų ir (ar) tvarkomų tinklų ir informacinių sistemų stebėseną, siekdamas identifikuoti kibernetines grėsmes ir kibernetinius incidentus, Nacionalinis kibernetinio saugumo centras esminių subjektų tinklų ir informacinėse sistemose diegia ir valdo technines kibernetinio saugumo priemones. Svarbių subjektų valdomose ir (ar) tvarkomose tinklų ir informacinėse sistemose techninės kibernetinio saugumo priemonės gali būti diegiamos jų prašymu, siekiant suvaldyti kibernetinius incidentus. Šioje dalyje nurodytos priemonės diegiamos ir naudojamos taip, kad būtų užtikrinamas kibernetinio saugumo subjektų valdomų ir (ar) tvarkomų tinklų ir informacinės sistemos saugumas, nepertraukiamas veikimas, kibernetinio saugumo subjekto duomenų ir informacijos slaptumas, konfidencialumas, prieinamumas ir atsparumas, tinkama kibernetinio saugumo subjektų, kitų subjektų teisių ir teisėtų interesų apsauga.
2. Krašto apsaugos ministras nustato techninių kibernetinio saugumo priemonių diegimo ir valdymo kibernetinio saugumo subjektų valdomose ir (ar) tvarkomose tinklų ir informacinėse sistemose tvarką, tvirtina techninių kibernetinio saugumo priemonių diegimo planą, kuriame nustato technines kibernetinio saugumo priemones, šiomis priemonėmis tvarkomus duomenis (jeigu jie yra tvarkomi).
3. Techninės kibernetinio saugumo priemonės, įdiegtos Nacionalinio kibernetinio saugumo centro, prižiūrimos, naudojamos ir remontuojamos Nacionalinio kibernetinio saugumo centro lėšomis.
4. Esminiai subjektai privalo sudaryti sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones.
17 straipsnis. Aukščiausio lygio domenų vardų registravimo ir domenų vardų registravimo paslaugų teikimo reikalavimai
Kibernetinio saugumo subjektai, kurie yra aukščiausio lygio domenų vardų registravimo paslaugas teikiantys subjektai ir domenų vardų registravimo paslaugas teikiantys subjektai, privalo:
  1. siekdami prisidėti prie DNS saugumo, stabilumo ir atsparumo, kaupti informaciją, pagal kurią būtų galima nustatyti domenų vardų turėtojus ir kontaktinius asmenis, administruojančius aukščiausio lygio domenų vardais pažymėtus domenų vardus, ir su jais susisiekti, laikydamiesi Reglamento (ES) 2016/679 reikalavimų, kai tvarkomi asmens duomenys. Tokia informacija apima:
    • a) domeno vardą;
    • b) domeno registracijos datą;
    • c) domeno vardo turėtojo juridinio asmens pavadinimą ar fizinio asmens vardą ir pavardę, kontaktinius duomenis (elektroninio pašto adresas, ryšio numeris);
    • d) domeno vardą administruojančio kontaktinio asmens elektroninio pašto adresą ir ryšio numerį, jeigu jie skiriasi nuo domeno vardo turėtojo duomenų;
  2. taikyti politiką ir procedūras, įskaitant tikrinimo procedūras, kuriomis užtikrinama, kad domenų vardų registracijos duomenų bazėje būtų pateikiama tiksli ir išsami informacija;
  3. nuolat skelbti šio straipsnio 2 ir 5 punktuose nurodytą politiką ir procedūras viešai savo interneto svetainėse ar, jeigu jos neturi, kitomis visuomenės informavimo priemonėmis;
  4. ne vėliau kaip per 72 valandas po domeno vardo užregistravimo momento paskelbti viešai savo interneto svetainėse ar, jeigu jos neturi, kitomis visuomenės informavimo priemonėmis domeno vardo registracijos duomenis, kurie nėra asmens duomenys;
  5. gavę teisėtus ir pagrįstus teisėtos prieigos prie domenų vardų registracijos duomenų, kurie yra asmens duomenys, prašančių subjektų prašymus, pagal taikomą duomenų atskleidimo politiką ir procedūras suteikti prieigą prie konkrečių domenų vardų registracijos duomenų, laikydamiesi Reglamento (ES) 2016/679 nustatytos tvarkos. Atsakymai prašančiam subjektui pateikiami ne vėliau kaip per 72 valandas nuo tada, kai gaunamas prašymas suteikti prieigą;
  6. siekdami nedubliuoti domenų vardų registracijos duomenų rinkimo, bendradarbiauti tarpusavyje.
18 straipsnis. Pranešimai apie kibernetinius incidentus
1. Kibernetinio saugumo subjektai privalo pranešti Nacionaliniam kibernetinio saugumo centrui apie:
  1. didelį kibernetinį incidentą, darantį poveikį jų šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms;
  2. šio straipsnio 2 dalyje nurodytų didelio kibernetinio incidento kriterijų neatitinkančius kibernetinius incidentus, darančius poveikį jų šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms, nacionalinio kibernetinių incidentų valdymo plano nustatytais terminais ir pateikti šiame plane nustatytą informaciją.
2. Kibernetinis incidentas laikomas dideliu bent vienu iš šių atvejų:
  1. kai dėl kibernetinio incidento kibernetinio saugumo subjektas patyrė arba gali patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių;
  2. kai kibernetinis incidentas paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą.
3. Atvejai, kai kibernetinis incidentas laikomas dideliu, išsamiau apibrėžiami Europos Komisijos priimamuose įgyvendinamuosiuose teisės aktuose.
4. Pranešant apie didelį kibernetinį incidentą pateikiama:
  1. nedelsiant, bet ne vėliau kaip per 24 valandas nuo sužinojimo apie didelį kibernetinį incidentą momento – ankstyvasis perspėjimas, kuriame pagal galimybes nurodoma, ar didelį kibernetinį incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai ir ar jis galėtų daryti tarpvalstybinį poveikį;
  2. nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie didelį kibernetinį incidentą momento – pranešimas apie kibernetinį incidentą, kuriame pagal galimybes atnaujinama šios dalies 1 punkte nurodyta informacija ir nurodomas didelio kibernetinio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi įsilaužimo įrodymai, jeigu tokių yra;
  3. Nacionalinio kibernetinio saugumo centro prašymu – tarpinė atitinkamų atnaujintų padėties duomenų ataskaita per Nacionalinio kibernetinio saugumo centro nurodytą pateikimo terminą;
  4. ne vėliau kaip per vieną mėnesį nuo šios dalies 1 punkte nurodyto pranešimo apie kibernetinį incidentą pateikimo dienos – galutinė ataskaita, kurioje pateikiama ši informacija:
    • a) išsamus kibernetinio incidento, įskaitant jo sunkumą ir poveikį, aprašymas;
    • b) grėsmės arba pagrindinės priežasties, dėl kurios kibernetinis incidentas galėjo įvykti, rūšis;
    • c) taikomos ir įgyvendinamos kibernetinio incidento poveikio mažinimo priemonės;
    • d) tarpvalstybinis kibernetinio incidento poveikis, jeigu toks buvo;
  5. jeigu šios dalies 4 punkte nurodytos galutinės ataskaitos pateikimo metu kibernetinis incidentas tebevyksta, pateikiama pažangos ataskaita, o galutinė ataskaita – per vieną mėnesį nuo dienos, kai kibernetinis incidentas buvo suvaldytas.
5. Nacionaliniame kibernetinių incidentų valdymo plane nustatoma:
  1. terminai, per kuriuos turi būti pranešama apie šio straipsnio 1 dalies 1 punkte nenurodytus kibernetinius incidentus;
  2. informacija, kuri turi būti perduodama pranešant apie šio straipsnio 1 dalies 1 punkte nenurodytus kibernetinius incidentus;
  3. informacijos apie kibernetinius incidentus pateikimo būdai ir priemonės;
  4. institucijų veiksmai, gavus informacijos apie kibernetinius incidentus;
  5. išsamesni atvejai, kada kibernetinis incidentas laikomas dideliu, jeigu išsamesni atvejai nenustatomi Europos Komisijos įgyvendinamuosiuose teisės aktuose.
Nuoroda į originalą

III Skyrius

11 straipsnis. Kibernetinio saugumo subjektai
1. Kibernetinio saugumo subjekto statusą įgyja ir Kibernetinio saugumo informacinėje sistemoje registruojami subjektai, atitinkantys bent vieną iš šio straipsnio 3–5 dalyse nurodytų bendrųjų ar specialiųjų kibernetinio saugumo subjektų identifikavimo kriterijų ir šiose dalyse nurodytoms paslaugoms teikti ar veiklai vykdyti valdantys ir (ar) tvarkantys tinklų ir informacines sistemas. Atsižvelgiant į galimą neigiamą poveikį, kurį kibernetinis incidentas gali padaryti kibernetinio saugumo subjektų valdomoms ir (ar) tvarkomoms tinklų ir informacinėms sistemoms, kibernetinio saugumo subjektai skirstomi į esminius kibernetinio saugumo subjektus (toliau – esminiai subjektai) ir svarbius kibernetinio saugumo subjektus (toliau – svarbūs subjektai).
2. Kibernetinio saugumo subjektai įgyja pareigas, nustatytas kibernetinio saugumo subjektams, tik nuo jų įregistravimo Kibernetinio saugumo informacinėje sistemoje.
3. Bendrieji esminių subjektų identifikavimo kriterijai:
  1. subjektas teikia paslaugas ir (ar) vykdo veiklą šio įstatymo 1 priede nurodytuose sektoriuose ir viršija vidutinių įmonių darbuotojų skaičių ir finansinius duomenis apibrėžiančias ribas, nustatytas Smulkiojo ir vidutinio verslo plėtros įstatyme;
  2. subjektas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje teikia kvalifikuotas patikimumo užtikrinimo paslaugas, aukščiausio lygio domeno vardų registravimo paslaugas ar domenų vardų sistemos (toliau – DNS) paslaugas, išskyrus šakninių vardų serverių operatorius;
  3. subjektas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje teikia viešąsias elektroninių ryšių tinklų ar viešąsias elektroninių ryšių paslaugas ir yra laikomas vidutine įmone pagal Smulkiojo ir vidutinio verslo plėtros įstatymą;
  4. subjektas Krizių valdymo ir civilinės saugos įstatymo nustatyta tvarka yra pripažintas ypatingos svarbos subjektu;
  5. subjektas šio įstatymo 1 priede nurodytame viešojo administravimo sektoriuje teikia paslaugas ir (ar) vykdo veiklą ir yra laikomas centriniu valstybinio administravimo subjektu ar regioninio administravimo subjektu, ar savivaldybių administravimo subjektu pagal Viešojo administravimo įstatymą;
  6. subjektas Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka valdo ir (ar) tvarko ypatingos svarbos ir (ar) svarbius valstybės informacinius išteklius;
  7. subjektas yra laikomas nacionaliniam saugumui užtikrinti svarbia įmone arba subjekto valdoma ir (ar) tvarkoma tinklų ir informacinė sistema yra įrašyta į nacionaliniam saugumui užtikrinti svarbių įrenginių ir turto sąrašą.
4. Bendrieji svarbių subjektų identifikavimo kriterijai:
  1. subjektas teikia paslaugas ir (ar) vykdo veiklą šio įstatymo 2 priede nurodytuose sektoriuose, viršija mažų įmonių darbuotojų skaičių ir finansinius duomenis apibrėžiančias ribas, nustatytas Smulkiojo ir vidutinio verslo plėtros įstatyme, ir šio subjekto šiame punkte nurodytų teikiamų paslaugų ir (ar) vykdomos veiklos metinių pajamų suma viršija 50 procentų visų subjekto metinių pajamų;
  2. subjektas teikia paslaugas ir (ar) vykdo veiklą šio įstatymo 1 priede nurodytuose sektoriuose ir viršija mažų įmonių darbuotojų skaičių ir finansinius duomenis apibrėžiančias ribas, tačiau neviršija vidutinių įmonių darbuotojų skaičiaus ir finansinių duomenų ribų, nustatytų Smulkiojo ir vidutinio verslo plėtros įstatyme;
  3. subjektas teikia nekvalifikuotas patikimumo užtikrinimo paslaugas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje ir yra laikomas vidutine, maža ar labai maža įmone pagal Smulkiojo ir vidutinio verslo plėtros įstatymą;
  4. subjektas teikia viešąsias elektroninių ryšių tinklų ar viešąsias elektroninių ryšių paslaugas šio įstatymo 1 priede nurodytame skaitmeninės infrastruktūros sektoriuje ir yra laikomas maža ar labai maža įmone pagal Smulkiojo ir vidutinio verslo plėtros įstatymą;
  5. subjektas valdo ir (ar) tvarko valstybės informacinius išteklius;
  6. subjektas teikia domenų vardų registravimo paslaugas;
  7. subjektas teikia elektroninės informacijos prieglobos paslaugas.
5. Specialieji kibernetinio saugumo subjektų identifikavimo kriterijai:
  1. subjektas yra vienintelis paslaugos, kuri yra būtina siekiant užtikrinti ypatingos svarbos visuomeninės ar ekonominės veiklos vykdymą Lietuvos Respublikoje, teikėjas;
  2. paslaugos, kurią teikia subjektas, sutrikimas galėtų daryti didelį poveikį viešajam saugumui, visuomenės saugumui arba visuomenės sveikatai;
  3. paslaugos, kurią teikia subjektas, sutrikimas galėtų kelti didelę sisteminę riziką sektoriuose, kuriuose toks sutrikimas galėtų daryti tarpvalstybinį poveikį;
  4. subjektas yra ypatingos svarbos atsižvelgiant į jo svarbą konkrečiam sektoriui ar paslaugos rūšiai arba kitiems tarpusavyje priklausomiems sektoriams nacionaliniu ar regioniniu lygmeniu;
  5. subjektas šio įstatymo 1 priede nurodytame viešojo administravimo sektoriuje teikia paslaugas ir (ar) vykdo veiklą, kuriai sutrikus galėtų kilti didelis poveikis valstybei, institucijoms ar gyventojams, ir yra laikomas teritoriniu valstybinio administravimo subjektu ar regioniniu administravimo subjektu, ar savivaldybių administravimo subjektu pagal Viešojo administravimo įstatymą;
  6. paslaugos, kurią teikia subjektas, sutrikimas galėtų daryti didelį poveikį esminio subjekto teikiamai paslaugai ir (ar) vykdomai veiklai;
  7. subjektas yra paslaugos, kuri yra būtina gyvybiškai svarbioms valstybės funkcijoms atlikti ir valstybinėms mobilizacinėms užduotims vykdyti, teikėjas;
  8. subjektas šio įstatymo 2 priede nurodytame mokslinių tyrimų sektoriuje vykdo ypatingos svarbos mokslinių tyrimų ir eksperimentinės plėtros veiklą.
6. Vyriausybė nustato identifikavimo pagal specialiuosius kriterijus metodiką, pagal kurią subjektas priskiriamas esminiams arba svarbiems subjektams. Pagal šio straipsnio 5 dalies 5 punkte nurodytą kriterijų identifikuojami tik esminiai subjektai, o pagal šio straipsnio 5 dalies 8 punkte nurodytą kriterijų identifikuojami tik svarbūs subjektai.
7. Jeigu subjektas atitinka bent vieną šio straipsnio 3 ar 5 dalyje nurodytą kriterijų, pagal kurį identifikuojamas esminis subjektas, laikoma, kad subjektas yra esminis subjektas nepriklausomai nuo jo atitikties svarbaus subjekto kriterijams.
12 straipsnis. Jurisdikcija ir teritoriškumas
1. Identifikuojant kibernetinio saugumo subjektus laikoma, kad Lietuvos Respublikos jurisdikcijai priklauso:
  1. subjektai, registruoti Lietuvos Respublikoje, išskyrus:
    • a) viešojo administravimo subjektus, kurie yra įsteigti kitos valstybės;
    • b) šios dalies 3 punkte nurodytus subjektus, kurių pagrindinė buveinė yra ne Lietuvos Respublikoje;
  2. viešojo administravimo subjektai, kuriuos Lietuvos Respublika įsteigė kitose valstybėse;
  3. DNS paslaugų teikėjai, aukščiausio lygio domenų vardų registravimo paslaugas teikiantys subjektai, domenų vardų registravimo paslaugas teikiantys subjektai, debesijos paslaugų teikėjai, duomenų centrų paslaugų teikėjai, paskirstytojo turinio teikimo tinklo paslaugų teikėjai, valdomų paslaugų teikėjai, valdomų kibernetinio saugumo paslaugų teikėjai, elektroninių prekyviečių, interneto paieškos sistemų ar socialinio tinklo paslaugų platformų paslaugų teikėjai, kurių pagrindinė buveinė yra Lietuvos Respublikoje;
  4. viešųjų elektroninių ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikėjai, teikiantys šias paslaugas Lietuvos Respublikoje.
2. Laikoma, kad šio straipsnio 1 dalies 3 punkte nurodyta pagrindinė buveinė yra Lietuvos Respublikoje, jeigu šio straipsnio 1 dalies 3 punkte nurodyti subjektai yra registruoti ar įsisteigę Lietuvos Respublikoje. Laikoma, kad šio straipsnio 1 dalies 3 punkte nurodyta pagrindinė buveinė yra Lietuvos Respublikoje, jeigu su kibernetinio saugumo rizikos valdymo priemonėmis susiję sprendimai yra priimami Lietuvos Respublikoje. Jeigu Europos Sąjungos valstybė narė, kurioje priimami tokie sprendimai, nenustatoma arba tokie sprendimai Europos Sąjungoje nepriimami, laikoma, kad pagrindinė buveinė yra Lietuvos Respublikoje, kai Lietuvos Respublikoje įgyvendinamos kibernetinio saugumo rizikos valdymo priemonės. Jeigu nenustatoma Europos Sąjungos valstybė narė, kurioje įgyvendinamos kibernetinio saugumo rizikos valdymo priemonės, laikoma, kad pagrindinė buveinė yra Lietuvos Respublikoje, jeigu subjektas Lietuvos Respublikoje turi padalinį, kuriame dirba daugiausia jo darbuotojų Europos Sąjungoje.
3. Jeigu šio straipsnio 1 dalies 3 punkte nurodytas subjektas nėra įsisteigęs Europos Sąjungoje, bet teikia paslaugas Lietuvos Respublikoje, jis privalo paskirti Europos Sąjungoje įsisteigusį fizinį arba juridinį asmenį veikti tik DNS paslaugų teikėjo, aukščiausio lygio domenų vardų registravimo paslaugas teikiančio subjekto, domenų vardų registravimo paslaugas teikiančio subjekto, debesijos paslaugų teikėjo, duomenų centro paslaugų teikėjo, paskirstytojo turinio teikimo tinklo paslaugų teikėjo, valdomų paslaugų teikėjo, valdomų kibernetinio saugumo paslaugų teikėjo, elektroninės prekyvietės paslaugų teikėjo, interneto paieškos sistemos paslaugų teikėjo arba socialinio tinklo paslaugų platformų paslaugų teikėjo, kuris nėra įsisteigęs Europos Sąjungoje, vardu, į kurį Nacionalinis kibernetinio saugumo centras gali kreiptis vietoj subjekto dėl to subjekto pareigų atlikimo pagal šį įstatymą (toliau – atstovas) Europos Sąjungoje. Šioje dalyje nurodytas atstovas turi būti įsisteigęs vienoje iš tų Europos Sąjungos valstybių narių, kuriose siūlomos paslaugos. Jeigu šio straipsnio 1 dalies 3 punkte nurodytas subjektas skiria atstovą Lietuvos Respublikoje arba jo nepaskiria, bet teikia paslaugas Lietuvos Respublikoje, laikoma, kad toks subjektas priklauso Lietuvos Respublikos jurisdikcijai.
13 straipsnis. Kibernetinio saugumo subjektų registras
1. Kibernetinio saugumo subjektų registro objektas yra kibernetinio saugumo subjektai.
2. Kibernetinio saugumo subjektų registras tvarkomas Kibernetinio saugumo informacinėje sistemoje.
3. Kibernetinio saugumo subjektų registrą sudaro šie pagrindiniai duomenys apie kibernetinio saugumo subjektus:
  1. jeigu kibernetinio saugumo subjektas yra juridinis asmuo – kibernetinio saugumo subjekto pavadinimas, juridinio asmens kodas, teisinė forma, ekonominės veiklos sritis (sritys) ir rūšis (rūšys), pagrindinės buveinės adresas, o jeigu kibernetinio saugumo subjektas nėra įsisteigęs Europos Sąjungoje, – pagal šio įstatymo 12 straipsnio 3 dalį paskirto atstovo pavadinimas, teisinė forma, ekonominės veiklos sritis (sritys) ir rūšis (rūšys), adresas. Jeigu kibernetinio saugumo subjektas yra DNS paslaugų teikėjas, aukščiausio lygio domenų vardų registravimo paslaugas teikiantis subjektas, debesijos paslaugų teikėjas, duomenų centrų paslaugų teikėjas, paskirstytojo turinio teikimo tinklo paslaugų teikėjas, valdomų paslaugų teikėjas, valdomų kibernetinio saugumo paslaugų teikėjas, elektroninės prekyvietės paslaugų teikėjas, interneto paieškos sistemų ir socialinių tinklų paslaugų platformų paslaugų teikėjas (toliau – specialusis subjektas) ar yra domenų vardų registravimo paslaugas teikiantis subjektas – ir kitų juridinių padalinių Europos Sąjungoje adresai;
  2. jeigu kibernetinio saugumo subjektas yra fizinis asmuo – kibernetinio saugumo subjekto vardas, pavardė, asmens kodas, veiklos vykdymo adresas;
  3. kibernetinio saugumo subjekto (jeigu jis nėra įsisteigęs Europos Sąjungoje – taip pat ir pagal šio įstatymo 12 straipsnio 3 dalį paskirto atstovo) kontaktiniai duomenys (elektroninio pašto adresas, ryšio numeris);
  4. kibernetinio saugumo subjekto teikiamos paslaugos ir (ar) vykdomos veiklos, atitinkančios šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus;
  5. kibernetinio saugumo subjekto naudojami interneto protokolo (IP) adresai;
  6. valstybės, kuriose kibernetinio saugumo subjektas teikia paslaugas ir (ar) vykdo veiklą, nurodytą šio įstatymo 1 ir 2 prieduose nurodytuose sektoriuose ir subsektoriuose;
  7. kibernetinio saugumo subjekto paslaugų teikimui ar veiklai reikšmingos tinklų ir informacinės sistemos;
  8. šio įstatymo 1 ir 2 prieduose nurodytas sektorius, kuriame kibernetinio saugumo subjektas veikia ar teikia paslaugas, jo subsektorius.
4. Subjektas, atitinkantis šio įstatymo 11 straipsnio 3–5 dalyse nustatytus kibernetinio saugumo subjektų identifikavimo kriterijus, Kibernetinio saugumo informacinės sistemos duomenų tvarkytojui pateikia duomenis, nurodytus krašto apsaugos ministro tvirtinamuose Kibernetinio saugumo informacinės sistemos nuostatuose. Duomenys teikiami šiuose nuostatuose nustatyta tvarka.
5. Kibernetinio saugumo subjektus registruoja ir išregistruoja Kibernetinio saugumo informacinės sistemos duomenų tvarkytojas Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka. Kibernetinio saugumo subjektai šio įstatymo 1 ir 2 prieduose nurodytiems sektoriams, subsektoriams ir subjekto rūšiai priskiriami pagal Ekonominės veiklos rūšių klasifikatorių Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka.
6. Šio įstatymo 1 ir 2 prieduose nurodytos institucijos, atsakingos už kibernetinio saugumo subjektų identifikavimą, patvirtina šio straipsnio 3 dalyje nurodytus Kibernetinio saugumo informacinės sistemos duomenų tvarkytojo duomenis apie kibernetinio saugumo subjektus, taip pat pagal Vyriausybės nustatytą identifikavimo pagal specialiuosius kriterijus metodiką identifikuotus kibernetinio saugumo subjektus Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka.
7. Kibernetinio saugumo informacinės sistemos nuostatuose nustatytais atvejais ir tvarka identifikuojami ir registruojami subjektai, taip pat kitos valstybės institucijos, valstybės įstaigos, valstybės valdomos įmonės, viešosios įstaigos, savivaldybių valdomos įmonės ir savivaldybių įstaigos neatlygintinai teikia Kibernetinio saugumo informacinės sistemos duomenų tvarkytojui šio straipsnio 3 dalyje nurodytus duomenis ir kitą šiuos duomenis apibūdinančią informaciją, reikalingą kibernetinio saugumo subjektams registruoti.
8. Jeigu kibernetinio saugumo subjektas neatitinka šio įstatymo 11 straipsnio 3–5 dalyse

nurodytų kriterijų, jis išregistruojamas iš Kibernetinio saugumo informacinės sistemos. Kibernetinio saugumo subjektas išregistruojamas iš Kibernetinio saugumo informacinės sistemos per 20 darbo dienų nuo dienos, kai Kibernetinio saugumo informacinės sistemos duomenų tvarkytojas gauna informacijos, kad kibernetinio saugumo subjektas nebeatitinka šio įstatymo 11 straipsnio 3–5 dalyse nurodytų kriterijų.

9. Subjektai turi teisę skųsti sprendimą juos registruoti arba jų neregistruoti Kibernetinio

saugumo informacinėje sistemoje, taip pat sprendimą iš jos išregistruoti Administracinių bylų teisenos įstatymo nustatyta tvarka.

10. Kibernetinio saugumo subjektas netenka šiame įstatyme nurodytų kibernetinio

saugumo subjektams taikomų pareigų nuo jo išregistravimo iš Kibernetinio saugumo informacinės sistemos.

14 straipsnis. Kibernetinio saugumo rizikos valdymo priemonės
1. Kibernetinio saugumo subjektai privalo užtikrinti šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai veiklai vykdyti ar paslaugoms teikti naudojamų tinklų ir informacinių sistemų atitiktį kibernetinio saugumo rizikos valdymo priemonėms:
  1. kibernetinio saugumo reikalavimams, tvirtinamiems Vyriausybės, išskyrus šio straipsnio 4 dalyje nurodytus atvejus;
  2. Europos Komisijos priimtiems įgyvendinamiesiems teisės aktams.
2. Kibernetinio saugumo subjektai privalo šio straipsnio 1 dalies 1 punkte nurodytus

kibernetinio saugumo reikalavimus įgyvendinti per Vyriausybės nustatytą ne trumpesnį kaip 12 mėnesių terminą nuo jų įregistravimo Kibernetinio saugumo informacinėje sistemoje. Nustatydama terminą Vyriausybė privalo atsižvelgti į kibernetinio saugumo reikalavimams įgyvendinti reikalingus kibernetinio saugumo subjekto žmogiškuosius ir finansinius išteklius.

3. Kibernetinio saugumo subjektai privalo Nacionaliniam kibernetinio saugumo centrui Kibernetinio saugumo informacinės sistemos nuostatuose nustatyta tvarka pateikti šiuose nuostatuose nurodytus duomenis apie kibernetinio saugumo rizikos valdymo priemonių įgyvendinimą.
4. Specialusis subjektas privalo užtikrinti savo naudojamų tinklų ir informacinių sistemų atitiktį tik šio straipsnio 1 dalies 2 punkte nurodytoms kibernetinio saugumo rizikos valdymo priemonėms.
5. Kibernetinio saugumo reikalavimai apima šiuos elementus:
  1. kibernetinio saugumo rizikos analizės, tinklų ir informacinių sistemų kibernetinio saugumo politiką;
  2. už kibernetinį saugumą atsakingų asmenų, nurodytų šio įstatymo 15 straipsnyje, ir kibernetinio saugumo subjekto vadovo ar jo įgalioto asmens pareigas;
  3. kibernetinių incidentų valdymą;
  4. veiklos tęstinumą;
  5. tiekimo grandinės saugumą, įskaitant aspektus, susijusius su kiekvieno kibernetinio saugumo subjekto ir jo tiesioginių tiekėjų ar paslaugų teikėjų santykiais;
  6. tinklų ir informacinių sistemų įsigijimą, plėtojimą ir priežiūros saugumą, įskaitant spragų valdymą ir atskleidimą;
  7. politiką ir procedūras, skirtas kibernetinio saugumo reikalavimų veiksmingumui įvertinti;
  8. kibernetinės higienos praktiką ir reguliarius kibernetinio saugumo mokymus;
  9. kriptografijos ir šifravimo naudojimo politiką ir procedūras;
  10. žmogiškųjų išteklių saugumą, prieigos prie tinklų ir informacinių sistemų kontrolės politiką ir turto valdymą;
  11. kelių veiksnių tapatumo nustatymo ar nuolatinio tapatumo nustatymo sprendimų, saugių balso, vaizdo ir teksto ryšių bei saugių avarinių ryšių sistemų subjekto viduje naudojimą;
  12. kibernetinio saugumo subjektų valdomų ir (ar) tvarkomų tinklų ir informacinių sistemų naudotojų, administratorių, kibernetinio saugumo subjektų tiekėjų, jų subtiekėjų ir kitų ūkio subjektų teisių ir prieigos prie kibernetinio saugumo subjektų valdomų ir (ar) tvarkomų tinklų ir informacinių sistemų ir (ar) skaitmeninių duomenų suteikimo ir valdymo politiką;
  13. kitus atskiriems sektoriams arba atskiroms kibernetinio saugumo subjektų grupėms taikomus kibernetinio saugumo reikalavimus, nustatytus atsižvelgiant į identifikuotas atskirų sektorių kibernetinio saugumo rizikas.
6. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo privalo užtikrinti, kad kibernetinio saugumo subjektas laikytųsi šiame įstatyme jam nustatytų pareigų, ir prižiūrėti jų laikymąsi. Kibernetinio saugumo subjekto vadovas, įgaliodamas šioje dalyje nurodytą asmenį,užtikrina, kad jis turėtų būtinų priemonių, reikalingų nurodytam įgaliojimui vykdyti.
7. Kibernetinio saugumo subjekto valdymo organų nariai, vadovas ir jo įgaliotas asmuo, jeigu toks yra, ar kibernetinio saugumo subjektas, jeigu jis yra fizinis asmuo, privalo ne rečiau kaip kartą per 2 metus Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka išklausyti kibernetinio saugumo mokymus ir užtikrinti kibernetinio saugumo subjekto darbuotojų, jeigu tokių yra, nuolatinį švietimą kibernetinio saugumo srityje.
8. Kibernetinio saugumo subjektai ne rečiau kaip kartą per 3 metus atlieka kibernetinio saugumo auditą pagal Nacionalinio kibernetinio saugumo centro tvirtinamą kibernetinio saugumo auditų atlikimo metodiką. Kibernetinio saugumo auditą atlieka nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų saugumo atitikties auditoriai, audito įmonės ar kitos institucijos, Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka mokymus išklausę ir kvalifikacinius žinių ir praktinių įgūdžių patikrinimo egzaminą išlaikę asmenys, kurie atitinka Nacionalinio kibernetinio saugumo centro kibernetinio saugumo auditų atlikimo metodikoje nustatytus nepriklausomumo, nešališkumo ir nepriekaištingos reputacijos reikalavimus, (toliau kartu – auditoriai). Auditoriams negali būti pavedama vertinti tinklų ir informacinių sistemų, kurias valdo ir (ar) tvarko subjektas, kuriame dirba auditorius, saugos.
15 straipsnis. Už kibernetinį saugumą atsakingi asmenys
1. Kibernetinio saugumo subjekto vadovas ar jo įgaliotas asmuo privalo paskirti kibernetinio saugumo vadovą, tiesiogiai atskaitingą kibernetinio saugumo subjekto vadovui, atsakingą už kibernetinio saugumo subjekto atitikties šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams įgyvendinimą ir atliekantį kitas kibernetinį saugumą reglamentuojančiuose teisės aktuose nustatytas funkcijas.
2. Kibernetinio saugumo subjekto vadovas ar jo įgaliotas asmuo privalo paskirti saugos įgaliotinį, atsakingą už konkrečios tinklų ir informacinės sistemos atitiktį šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams ir atliekantį kitas kibernetinį saugumą reglamentuojančiuose teisės aktuose nustatytas funkcijas.
3. Kibernetinio saugumo vadovas gali vykdyti saugos įgaliotinio funkcijas. Kibernetinio saugumo vadovas gali būti paskirtas atsakingas už šio įstatymo 14 ir 18 straipsniuose nustatytų reikalavimų, taikomų keliems kibernetinio saugumo subjektams, įgyvendinimą. Saugos įgaliotinis gali būti paskirtas atsakingas už kelių tinklų ir informacinių sistemų atitiktį šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams. Tinklų ir informacinės sistemos valdytojas turi teisę pavesti šios tinklų ir informacinės sistemos tvarkytojui paskirti saugos įgaliotinį.
4. Kibernetinio saugumo subjektui leidžiama iš tiekėjo įsigyti paslaugas, kurias teikiant būtų atliekamos kibernetinio saugumo vadovo ir (ar) saugos įgaliotinio funkcijos. Įsigyjant šioje dalyje nurodytas paslaugas, turi būti užtikrinama atitiktis šio įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams.
5. Kibernetinio saugumo vadovas ir saugos įgaliotinis:
  1. turi atitikti Lietuvos Respublikos valstybės tarnybos įstatyme valstybės tarnautojams nustatytus nepriekaištingos reputacijos reikalavimus;
  2. negali turėti administracinės nuobaudos už teisės aktų pažeidimus tinklų ir informacinių sistemų ir asmens duomenų tvarkymo ir privatumo apsaugos srityse, nuo kurios paskyrimo praėję mažiau kaip vieni metai;
  3. turi turėti ne mažiau kaip 2 metų patirtį informacinių technologijų, kibernetinio saugumo ar tinklų ir informacinių sistemų srityje arba šių sričių kvalifikaciją patvirtinantį aukštojo mokslo diplomą, tarptautiniu lygmeniu pripažįstamą kvalifikacijos sertifikatą arba Nacionalinio kibernetinio saugumo centro vadovo nustatyta tvarka būti išklausę mokymus ir išlaikę kibernetinio saugumo vadovo egzaminą.
  1. Jeigu kibernetinio saugumo subjektas yra fizinis asmuo, jam netaikomi šiame straipsnyje nustatyti reikalavimai.
16 straipsnis. Techninės kibernetinio saugumo priemonės
1. Vykdydamas esminių subjektų valdomų ir (ar) tvarkomų tinklų ir informacinių sistemų stebėseną, siekdamas identifikuoti kibernetines grėsmes ir kibernetinius incidentus, Nacionalinis kibernetinio saugumo centras esminių subjektų tinklų ir informacinėse sistemose diegia ir valdo technines kibernetinio saugumo priemones. Svarbių subjektų valdomose ir (ar) tvarkomose tinklų ir informacinėse sistemose techninės kibernetinio saugumo priemonės gali būti diegiamos jų prašymu, siekiant suvaldyti kibernetinius incidentus. Šioje dalyje nurodytos priemonės diegiamos ir naudojamos taip, kad būtų užtikrinamas kibernetinio saugumo subjektų valdomų ir (ar) tvarkomų tinklų ir informacinės sistemos saugumas, nepertraukiamas veikimas, kibernetinio saugumo subjekto duomenų ir informacijos slaptumas, konfidencialumas, prieinamumas ir atsparumas, tinkama kibernetinio saugumo subjektų, kitų subjektų teisių ir teisėtų interesų apsauga.
2. Krašto apsaugos ministras nustato techninių kibernetinio saugumo priemonių diegimo ir valdymo kibernetinio saugumo subjektų valdomose ir (ar) tvarkomose tinklų ir informacinėse sistemose tvarką, tvirtina techninių kibernetinio saugumo priemonių diegimo planą, kuriame nustato technines kibernetinio saugumo priemones, šiomis priemonėmis tvarkomus duomenis (jeigu jie yra tvarkomi).
3. Techninės kibernetinio saugumo priemonės, įdiegtos Nacionalinio kibernetinio saugumo centro, prižiūrimos, naudojamos ir remontuojamos Nacionalinio kibernetinio saugumo centro lėšomis.
4. Esminiai subjektai privalo sudaryti sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones.
17 straipsnis. Aukščiausio lygio domenų vardų registravimo ir domenų vardų registravimo paslaugų teikimo reikalavimai
Kibernetinio saugumo subjektai, kurie yra aukščiausio lygio domenų vardų registravimo paslaugas teikiantys subjektai ir domenų vardų registravimo paslaugas teikiantys subjektai, privalo:
  1. siekdami prisidėti prie DNS saugumo, stabilumo ir atsparumo, kaupti informaciją, pagal kurią būtų galima nustatyti domenų vardų turėtojus ir kontaktinius asmenis, administruojančius aukščiausio lygio domenų vardais pažymėtus domenų vardus, ir su jais susisiekti, laikydamiesi Reglamento (ES) 2016/679 reikalavimų, kai tvarkomi asmens duomenys. Tokia informacija apima:
    • a) domeno vardą;
    • b) domeno registracijos datą;
    • c) domeno vardo turėtojo juridinio asmens pavadinimą ar fizinio asmens vardą ir pavardę, kontaktinius duomenis (elektroninio pašto adresas, ryšio numeris);
    • d) domeno vardą administruojančio kontaktinio asmens elektroninio pašto adresą ir ryšio numerį, jeigu jie skiriasi nuo domeno vardo turėtojo duomenų;
  2. taikyti politiką ir procedūras, įskaitant tikrinimo procedūras, kuriomis užtikrinama, kad domenų vardų registracijos duomenų bazėje būtų pateikiama tiksli ir išsami informacija;
  3. nuolat skelbti šio straipsnio 2 ir 5 punktuose nurodytą politiką ir procedūras viešai savo interneto svetainėse ar, jeigu jos neturi, kitomis visuomenės informavimo priemonėmis;
  4. ne vėliau kaip per 72 valandas po domeno vardo užregistravimo momento paskelbti viešai savo interneto svetainėse ar, jeigu jos neturi, kitomis visuomenės informavimo priemonėmis domeno vardo registracijos duomenis, kurie nėra asmens duomenys;
  5. gavę teisėtus ir pagrįstus teisėtos prieigos prie domenų vardų registracijos duomenų, kurie yra asmens duomenys, prašančių subjektų prašymus, pagal taikomą duomenų atskleidimo politiką ir procedūras suteikti prieigą prie konkrečių domenų vardų registracijos duomenų, laikydamiesi Reglamento (ES) 2016/679 nustatytos tvarkos. Atsakymai prašančiam subjektui pateikiami ne vėliau kaip per 72 valandas nuo tada, kai gaunamas prašymas suteikti prieigą;
  6. siekdami nedubliuoti domenų vardų registracijos duomenų rinkimo, bendradarbiauti tarpusavyje.
18 straipsnis. Pranešimai apie kibernetinius incidentus
1. Kibernetinio saugumo subjektai privalo pranešti Nacionaliniam kibernetinio saugumo centrui apie:
  1. didelį kibernetinį incidentą, darantį poveikį jų šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms;
  2. šio straipsnio 2 dalyje nurodytų didelio kibernetinio incidento kriterijų neatitinkančius kibernetinius incidentus, darančius poveikį jų šio įstatymo 11 straipsnio 3–5 dalyse nurodytus kriterijus atitinkančiai vykdomai veiklai ir (ar) teikiamoms paslaugoms, nacionalinio kibernetinių incidentų valdymo plano nustatytais terminais ir pateikti šiame plane nustatytą informaciją.
2. Kibernetinis incidentas laikomas dideliu bent vienu iš šių atvejų:
  1. kai dėl kibernetinio incidento kibernetinio saugumo subjektas patyrė arba gali patirti didelių paslaugų teikimo sutrikimų arba finansinių nuostolių;
  2. kai kibernetinis incidentas paveikė arba gali paveikti kitus fizinius ar juridinius asmenis, sukeldamas didelę turtinę arba neturtinę žalą.
3. Atvejai, kai kibernetinis incidentas laikomas dideliu, išsamiau apibrėžiami Europos Komisijos priimamuose įgyvendinamuosiuose teisės aktuose.
4. Pranešant apie didelį kibernetinį incidentą pateikiama:
  1. nedelsiant, bet ne vėliau kaip per 24 valandas nuo sužinojimo apie didelį kibernetinį incidentą momento – ankstyvasis perspėjimas, kuriame pagal galimybes nurodoma, ar didelį kibernetinį incidentą, kaip įtariama, sukėlė neteisėti ar piktavališki veiksmai ir ar jis galėtų daryti tarpvalstybinį poveikį;
  2. nedelsiant, bet ne vėliau kaip per 72 valandas nuo sužinojimo apie didelį kibernetinį incidentą momento – pranešimas apie kibernetinį incidentą, kuriame pagal galimybes atnaujinama šios dalies 1 punkte nurodyta informacija ir nurodomas didelio kibernetinio incidento, įskaitant jo sunkumą ir poveikį, pradinis vertinimas, taip pat nurodomi įsilaužimo įrodymai, jeigu tokių yra;
  3. Nacionalinio kibernetinio saugumo centro prašymu – tarpinė atitinkamų atnaujintų padėties duomenų ataskaita per Nacionalinio kibernetinio saugumo centro nurodytą pateikimo terminą;
  4. ne vėliau kaip per vieną mėnesį nuo šios dalies 1 punkte nurodyto pranešimo apie kibernetinį incidentą pateikimo dienos – galutinė ataskaita, kurioje pateikiama ši informacija:
    • a) išsamus kibernetinio incidento, įskaitant jo sunkumą ir poveikį, aprašymas;
    • b) grėsmės arba pagrindinės priežasties, dėl kurios kibernetinis incidentas galėjo įvykti, rūšis;
    • c) taikomos ir įgyvendinamos kibernetinio incidento poveikio mažinimo priemonės;
    • d) tarpvalstybinis kibernetinio incidento poveikis, jeigu toks buvo;
  5. jeigu šios dalies 4 punkte nurodytos galutinės ataskaitos pateikimo metu kibernetinis incidentas tebevyksta, pateikiama pažangos ataskaita, o galutinė ataskaita – per vieną mėnesį nuo dienos, kai kibernetinis incidentas buvo suvaldytas.
5. Nacionaliniame kibernetinių incidentų valdymo plane nustatoma:
  1. terminai, per kuriuos turi būti pranešama apie šio straipsnio 1 dalies 1 punkte nenurodytus kibernetinius incidentus;
  2. informacija, kuri turi būti perduodama pranešant apie šio straipsnio 1 dalies 1 punkte nenurodytus kibernetinius incidentus;
  3. informacijos apie kibernetinius incidentus pateikimo būdai ir priemonės;
  4. institucijų veiksmai, gavus informacijos apie kibernetinius incidentus;
  5. išsamesni atvejai, kada kibernetinis incidentas laikomas dideliu, jeigu išsamesni atvejai nenustatomi Europos Komisijos įgyvendinamuosiuose teisės aktuose.
Nuoroda į originalą

IV Skyrius - Keitimasis informacija ir tarpinstitucinis bendradarbiavimas

V Skyrius - Patikrinimai ir vykdymo užtikrinimo priemonės

VI - Skyrius Nacionalinės kibernetinio saugumo sertifikavimo institucijos įgaliojimai

VII - Skyrius Saugiojo valstybinio duomenų perdavimo tinklo naudojimo pagrindai

Ypatingos svarbos sektoriai

Kiti itin svarbūs sektoriai

Įgyvendinami Europos Sąjungos teisės aktai

1 elementas šiame aplanke.

NIST CSF 2.0 Funkcijos

Grafiko Vaizdas