1.    Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašas (toliau – Aprašas) nustato Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos valdomos techninės ir programinės įrangos, skirtos kibernetiniam saugumui užtikrinti, diegimo planavimo, vykdymo bei valdymo procedūras valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje.

2.    Techninių kibernetinio saugumo priemonių (toliau – techninės KSP) diegimo tikslai – užtikrinti valstybės informacinių išteklių valdytojų ir (ar) tvarkytojų bei ypatingos svarbos informacinės infrastruktūros valdytojų (toliau – techninių KSP gavėjai) didesnį atsparumą kibernetiniams incidentams, techninėmis KSP identifikuojant, surenkant, perduodant duomenis iš ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių, reikalingus kibernetiniams incidentams aptikti.

3.    Techninėmis KSP surenkami duomenys yra kaupiami ir tvarkomi Kibernetinio saugumo informaciniame tinkle, vadovaujantis Kibernetinio saugumo informacinio tinklo nuostatais, patvirtintais krašto apsaugos ministro 2019 m. lapkričio 27 d. įsakymu Nr. V-998 „Dėl Kibernetinio saugumo informacinio tinklo nuostatų patvirtinimo“.

4.    Aprašas taikomas Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – NKSC), atliekančiam techninių KSP diegimą, priežiūrą ir valdymą, ir techninių KSP gavėjams.

5.    Techninių KSP diegimo procesas skirstomas į diegimo planavimą, diegimą ir valdymą (1 priedas).

6.    Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme ir jį įgyvendinančiuose teisės aktuose.

7.    NKSC, su techninių KSP gavėjais suderinęs techninių KSP diegimo terminus, rengia techninių KSP diegimo planą (toliau – Planas) ir iki einamųjų metų pabaigos teikia tvirtinti krašto apsaugos ministrui.

8.    NKSC technines KSP diegia tik pagal patvirtintą Planą, išskyrus Aprašo IV skyriuje nurodytus atvejus.

9.    Ypatingos svarbos informacinės infrastruktūros objektai į Planą įtraukiami prioritetą skiriant pagal suminio svarbos balo dydį, pradedant nuo aukščiausio svarbos balo. Svarbos balas nustatomas vadovaujantis Ypatingos svarbos informacinės infrastruktūros identifikavimo metodikos, patvirtintos Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos Kibernetinio saugumo įstatymo įgyvendinimo“, 2 priedo „Infrastruktūros objektų, užtikrinančių ypatingos svarbos paslaugų teikimą, vertinimo klausimynas“ duomenimis.

10.  Valstybės informaciniai ištekliai į Planą įtraukiami po ypatingos svarbos informacinės infrastruktūros objektų, prioritetą skiriant pagal informacinės sistemos svarbos kategoriją. Valstybės informacinių išteklių svarbos kategorijos nustatomos vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

11.  Plane nurodoma:

12.  Planas atnaujinamas ne vėliau kaip per 30 dienų pasikeitus ypatingos svarbos informacinės infrastruktūros sąrašui, likvidavus instituciją, į kurios infrastruktūrą yra įdiegtos techninės KSP, NKSC ir (arba) Krašto apsaugos ministerijai gavus informaciją apie grėsmes Lietuvoje teikiamoms ypatingos svarbos paslaugoms, kurių stebėjimas ir valdymas būtų užtikrinamas įdiegus technines KSP.

13.  Patvirtinus Planą NKSC apie diegimą raštu informuoja techninių KSP gavėjus. NKSC, informuodamas KSP gavėją, pateikia diegimo projektą, kuriame nurodoma principinė techninių KSP diegimo schema, diegimo etapai ir techniniai reikalavimai techninių KSP gavėjų ryšių ir informacinėms sistemoms.

14.  Techninių reikalavimų, skirtų techninių KSP gavėjų ryšių ir informacinėms sistemoms, sąraše nurodomi šie duomenys:

15. Techninių KSP gavėjai iki Plane nurodyto KSP diegimo termino sudaro sąlygas įdiegti technines KSP pagal NKSC pateiktą diegimo projektą.

16. Techninių KSP fiziniai komponentai turi būti paženklinti NKSC saugumo užklijomis taip, kad būtų galima aiškiai jas atpažinti ir nebūtų galima atidaryti techninių KSP ar pakeisti atskirų jų mazgų nepažeidžiant užklijų.

17. Įdiegus technines KSP pasirašomas atliktų techninių kibernetinio saugumo priemonių (iš)diegimo darbų aktas (2 priedas).

18. Techninių KSP gavėjui pranešus NKSC apie kibernetinį incidentą ir neturint galimybių pašalinti kibernetinio incidento šaltinio, NKSC, siekdamas užtikrinti techninių KSP gavėjų teikiamų paslaugų tęstinumą, diegia technines KSP, gavęs sutikimą dėl kibernetinio saugumo priemonių diegimo (3 priedas).

19.  Techninės KSP kibernetinio incidento metu diegiamos 30 kalendorinių dienų periodui arba kol techninių KSP gavėjas įdiegs kibernetinio incidento rizikos valdymo priemones.

20.  NKSC, įdiegęs ir valdydamas technines KSP, informuoja techninių KSP gavėjus apie techninėmis KSP užfiksuotus kibernetinius incidentus ir pagal kompetenciją teikia pagalbą juos valdant.

21.  Techninių KSP gavėjų, į kurių ryšių ir informacines sistemas yra diegiamos ar yra įdiegtos NKSC valdomos techninės KSP, pareigos:

22. KSP gavėjams pateikus prašymą atidėti techninių KSP diegimo terminą ar pateikus kitą alternatyvų sprendimą, NKSC, vertindamas tokio prašymo pagrįstumą ar siūlomo sprendimo galimybę, turi teisę atvykti į techninių KSP gavėjų patalpas ir vietoje įvertinti siūlomo sprendimo pagrįstumą.

23. Techninės KSP išdiegiamos pagal Planą, techninėms KSP nusidėvėjus, sugedus arba pasikeitus technologinėms aplinkybėms, neleidžiančioms techninėms KSP efektyviai veikti, arba kai techninių KSP gavėjai nebeatitinka ypatingos svarbos informacinės infrastruktūros ar valstybės informacinių išteklių valdytojo ir (ar) tvarkytojo statuso.

24.  Techninės KSP, susidedančios iš fizinės įrangos komponentų, laikomos išdiegtomis, kai techninių KSP gavėjo deleguotas atstovas ir NKSC už technines KSP materialiai atsakingas asmuo pasirašo atliktų techninių kibernetinio saugumo priemonių (iš)diegimo darbų aktą.