Lietuvos Respublikos Vyriausybė

 

nutarimas

DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2018 M. RUGPJŪČIO 13 D. NUTARIMO NR. 818 „DĖL LIETUVOS RESPUBLIKOS KIBERNETINIO SAUGUMO ĮSTATYMO ĮGYVENDINIMO“ PAKEITIMO

 

2023 m. liepos 19 d. Nr. 574

Vilnius

 

 

Lietuvos Respublikos Vyriausybė nutaria:

1.         Pakeisti Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimą Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“:

1.1Pakeisti nurodytu nutarimu patvirtintos Ypatingos svarbos informacinės infrastruktūros identifikavimo metodikos 1 priedą ir 13 punktą išdėstyti taip:

13. Valstybės valdymo sektorius

13.1. Valstybės valdžios funkcijų vykdymo subsektorius

13.1.1. Valstybės valdžios funkcijų vykdymo paslauga

Lietuvos Respublikos Prezidento kanceliarija,  Lietuvos Respublikos Seimo kanceliarija,  Lietuvos Respublikos Vyriausybės kanceliarija, Nacionalinė teismų administracija

13.1.2. Ypatingos svarbos valstybės informacinių išteklių valdymo ar tvarkymo paslauga

Lietuvos Respublikos ekonomikos ir inovacijų ministerija“

 

1.2Pakeisti nurodytu nutarimu patvirtintą Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašą:

1.2.1.   Pakeisti 2 punktą ir jį išdėstyti taip:

2. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos viešųjų pirkimų įstatyme, Lietuvos Respublikos elektroninių ryšių įstatyme, Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrieji elektroninės informacijos saugos reikalavimai).“

1.2.2.   Pakeisti 3 punkto pirmąją pastraipą ir ją išdėstyti taip:

3. Kibernetinio saugumo subjektų ryšių ir informacinių sistemų kibernetinio saugumo organizacinių ir techninių priemonių užtikrinimas grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos ryšių ir informacinių sistemų kibernetiniam saugumui, rizikos vertinimu (toliau – rizikos vertinimas), atsižvelgiant į naujausius technikos laimėjimus. Kibernetinio saugumo subjektai, organizuodami ryšių ir informacinių sistemų rizikos vertinimą: “.

1.2.3.   Pakeisti 5.1 papunktį ir jį išdėstyti taip:

5.1. ne rečiau kaip kartą per metus arba po esminių organizacinių ar sisteminių pokyčių Aprašo II skyriuje nustatyta tvarka organizuoja ir atlieka rizikos vertinimą. Šį rizikos vertinimą subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ir ypatingos svarbos informacinės infrastruktūros valdytojai turi teisę atlikti kartu su valstybės informacinių išteklių rizikos ar ypatingos svarbos informacinės infrastruktūros rizikos ir (arba) informacinių technologijų saugos atitikties vertinimu ir ne vėliau kaip per 5 darbo dienas nuo atlikto rizikos vertinimo ataskaitos priėmimo ją turi paskelbti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

1.2.4.   Pakeisti 5.3.2 papunktį ir jį išdėstyti taip:

5.3.2. valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros naudotojų, administratorių, tiekėjų, jų subtiekėjų ir kitų ūkio subjektų (toliau – tiekėjas) grupių sudarymas, teisių ir prieigos prie valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros paslaugų ir išteklių suteikimas ir valdymas;“.

1.2.5.   Pakeisti 5.3.9 papunktį ir jį išdėstyti taip:

5.3.9. mobiliųjų įrenginių, kurie gali veikti savarankiškai ir turėti ryšį su tinklu ar internetu keičiantis jų buvimo vietai (pavyzdžiui, nešiojamasis kompiuteris, delninukas, išmanusis telefonas) ir naudojamų prisijungti prie valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros, saugus naudojimas ir kontrolė;“.

1.2.6.   Papildyti 5.3.29 papunkčiu:

5.3.29. atsarginių duomenų kopijų darymas ir atkūrimas;“.

1.2.7.   Papildyti 5.3.30 papunkčiu:

5.3.30. informacijos saugumo, kibernetinio saugumo užtikrinimas palaikant santykius su tiekėjais, kurie dalyvaus vykdant sutartį.“

1.2.8.   Pakeisti 13 punktą ir jį išdėstyti taip:

13. Subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojai, pirkdami paslaugas, darbus ar įrangą, susijusius su valstybės informaciniais ištekliais ar ypatingos svarbos informacine infrastruktūra, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, turi:

13.1. pirkimo dokumentuose iš anksto nustatyti, kad tiekėjas privalo užtikrinti atitiktį Reikalavimams tokia apimtimi, kiek tai susiję su pirkimo objektu, ir laikytis konkrečių perkančiosios organizacijos nustatytų informacijos saugumo, kibernetinio saugumo reikalavimų;

13.2. į sutartis su tiekėju įtraukti reikalavimus, susijusius su informacijos saugumo, kibernetinio saugumo užtikrinimu, tokia apimtimi, kiek tai susiję su pirkimo objektu ir prieiga prie valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros.“

1.2.9.   Pakeisti 14 punktą ir jį išdėstyti taip:

14. Techniniai kibernetinio saugumo reikalavimai subjektams, valdantiems ir (arba) tvarkantiems valstybės informacinius išteklius, ir ypatingos svarbos informacinės infrastruktūros valdytojams nustatyti Aprašo priede.“

1.2.10. Pripažinti netekusiais galios 15–16 punktus.

1.2.11. Pakeisti 21 punkto pirmąją pastraipą ir ją išdėstyti taip:

21. Kibernetinio saugumo subjektai, išskyrus skaitmeninių paslaugų teikėjus, teikia Nacionaliniam kibernetinio saugumo centrui dokumentus ir techninę informaciją, reikalingą jų valdomų ryšių ir informacinių sistemų kibernetiniam saugumui įvertinti. Informacija teikiama:“.

1.3Pakeisti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo priedą ir jį išdėstyti nauja redakcija (pridedama).

2Nustatyti, kad:

2.1Šio nutarimo 1.2.2–1.2.7 papunkčiai įsigalioja 2024 m. sausio 1 d.

2.2Iki šio nutarimo įsigaliojimo pradėtos pirkimo procedūros baigiamos pagal iki šio nutarimo įsigaliojimo galiojusią tvarką.

 

 

Finansų ministrė,

pavaduojanti Ministrą Pirmininką                                                                Gintarė Skaistė

 

 

 

Krašto apsaugos ministras                                                                           Arvydas Anušauskas