1.1. Valstybės informacinių išteklių infrastruktūros naudojimo ir veiklos tęstinumo laikinosios tvarkos aprašą;

1.2. Bendrųjų veiklos ir organizacinių reikalavimų valstybės debesijos paslaugų teikėjams aprašą;

1.3. Valstybės informacinėms sistemoms ir registrams tvarkyti reikalingų valstybės debesijos paslaugų teikėjų teikiamų debesijos paslaugų nustatymo principų ir sąlygų aprašą.

2.1. Lietuvos Respublikos Vyriausybei atskaitingos valstybės institucijos, valstybės įstaigos, valstybės įmonės, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, viešosios įstaigos, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, steigiančios, kuriančios ir (arba) tvarkančios valstybės registrus, kadastrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamas iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų, ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą, tvarkančios ypatingos svarbos ir svarbius valstybės informacinius išteklius (toliau – valstybės institucijos ir įstaigos), kurdamos, plėsdamos ar modernizuodamos turimą valstybės informacinių išteklių infrastruktūrą (toliau – VII infrastruktūra), naudojasi valstybės debesijos paslaugų teikėjų teikiamomis debesijos paslaugomis, išskyrus:

2.2. Valstybės debesijos paslaugų teikėjų teikiamas debesijos paslaugas valstybės institucijos ir įstaigos užsako, kai valstybės institucijoms ir įstaigoms prireikia atnaujinti, išplėsti ar modernizuoti valstybės institucijos ir įstaigos VII infrastruktūrą, savarankiškai įsigytą iki šio nutarimo įsigaliojimo.

2.3. Valstybės debesijos paslaugų teikėjų teikiamos debesijos paslaugos užsakomos, jų teikimo sąlygos nustatomos, jų teikimo stebėsena vykdoma ir jų teikimas nutraukiamas tik per debesijos paslaugų katalogą.

2.4. Valstybės debesijos paslaugų teikėjo teisė teikti konkrečias debesijos paslaugas institucijoms gali būti apribota tokia tvarka:

4.1. Susisiekimo ministerijai – iki 2016 m. gruodžio 1 d. patvirtinti debesijos paslaugų teikimo laikinuoju laikotarpiu sutarties standartines sąlygas;

4.2. valstybės institucijoms ir įstaigoms – rengiant 2018-2020 metų ir vėlesnius strateginius veiklos planus asignavimų valdytojų programose kaip atskirą priemonę planuoti su valstybės informacinių išteklių tvarkymu susijusius asignavimus;

4.3. valstybės institucijoms ir įstaigoms, kurios yra asignavimų valdytojos, – kasmet per 30 dienų nuo atitinkamų metų strateginio veiklos plano patvirtinimo pagal Susisiekimo ministerijos įgaliotos institucijos nustatytą formą teikti Susisiekimo ministerijos įgaliotai institucijai informaciją apie suplanuotus su valstybės informacinių išteklių tvarkymu susijusius asignavimus;

4.4. institucijoms, kurios yra asignavimų valdytojos, – kasmet per 60 dienų nuo atitinkamų kalendorinių metų pabaigos pagal Susisiekimo ministerijos įgaliotos institucijos nustatytą formą teikti Susisiekimo ministerijos įgaliotai institucijai informaciją apie faktiškai panaudotas su valstybės informacinių išteklių tvarkymu susijusias lėšas;

4.5. Susisiekimo ministerijos įgaliotai institucijai – iki 2017 m. balandžio 1 d. patvirtinti šio nutarimo 4.3 ir 4.4 papunkčiuose nurodytas formas.

1.  Valstybės informacinių išteklių infrastruktūros naudojimo ir veiklos tęstinumo laikinosios tvarkos aprašas (toliau – Aprašas) nustato galimybę Lietuvos Respublikos Vyriausybei atskaitingoms valstybės institucijoms, valstybės įstaigoms, valstybės įmonėms, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, viešosioms įstaigoms, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, steigiančioms, kuriančioms ir (arba) tvarkančioms valstybės registrus, kadastrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamas iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų, ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotoms atlikti viešąjį administravimą (toliau – institucijos), laikinai naudotis kitų institucijų turima valstybės informacinių išteklių infrastruktūra Aprašo galiojimo laikotarpiu (toliau – laikinasis laikotarpis).

2.  Jeigu institucijoms reikia užtikrinti turimos valstybės informacinių išteklių veiklos tęstinumą, tai yra jeigu turimos ir valstybės informaciniams ištekliams tvarkyti skirtos valstybės informacinių išteklių infrastruktūros (toliau – VII infrastruktūra) pajėgumų nepakanka sutrikusiai valstybės informacinės sistemos ar registro veiklai atkurti arba VII infrastruktūros pajėgumų nepakanka valstybės informacinei sistemai ar registrui plėtoti, arba papildomų informacinių technologijų infrastruktūros pajėgumų reikia kuriamų naujų valstybės informacinės sistemos ar registro funkcijoms diegti ir testuoti, institucija šiuos pajėgumus įsigyja kaip paslaugą iš Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto valstybės informacinės sistemos ar registro kūrimo ar modernizavimo darbus atliksiančio tiekėjo ar kito tiekėjo, o jeigu galimybės šiuos pajėgumus įsigyti kaip paslaugą nėra, kreipiasi į Lietuvos Respublikos susisiekimo ministerijos (toliau – Susisiekimo ministerija) įgaliotą instituciją (toliau – įgaliota institucija) ir jais naudojasi Aprašo II skyriuje nustatyta tvarka, išskyrus Aprašo 10 punkte nustatytą atvejį arba išskyrus tuos atvejus, kai institucijos, kurdamos, plėsdamos ar modernizuodamos atitinkamą turimą VII infrastruktūrą, neprivalės naudotis valstybės debesijos paslaugų teikėjų teikiamomis debesijos paslaugomis.

3.  Apraše debesijos paslaugos suprantamos kaip informacinėmis ir ryšių technologijomis grindžiamos paslaugos, kurias teikiant šių paslaugų gavėjai nuotoliniu būdu prireikus naudojasi šių paslaugų teikėjų valdoma informacinių technologijų infrastruktūra. Kitos Apraše vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir Lietuvos Respublikos viešųjų pirkimų įstatyme vartojamas sąvokas.

4.  Laikinuoju laikotarpiu Susisiekimo ministerijos įgaliota institucija iki 2016 metų gruodžio 1 d. ir iki 2017 metų birželio 1 d. atlieka Lietuvos Respublikos finansų ministerijos, Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos, Lietuvos Respublikos teisingumo ministerijos ir Lietuvos Respublikos vidaus reikalų ministerijos apklausą, per kurią surenka informaciją, siekdama nustatyti, kokią debesijos paslaugoms teikti laikinuoju laikotarpiu reikalingą VII infrastruktūrą turi ministerijos, valstybės debesijos paslaugų teikėjai, kiti viešojo administravimo subjektai. Jeigu per apklausą Lietuvos Respublikos finansų ministerija, Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Lietuvos Respublikos teisingumo ministerija ir (ar) Lietuvos Respublikos vidaus reikalų ministerija dar nėra paskyrusios / įsteigusios valstybės debesijos paslaugų teikėjo, informaciją, kokią debesijos paslaugoms teikti laikinuoju laikotarpiu reikalingą VII infrastruktūrą turi institucijos, pateikia atitinkamoms ministerijoms pavaldžios institucijos.

5.  Įgaliota institucija, atsižvelgdama į surinktą per apklausą informaciją apie VII infrastruktūrą, kuria disponuoja valstybės debesijos paslaugų teikėjai ar kitos Lietuvos Respublikos finansų ministerijai, Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai, Lietuvos Respublikos teisingumo ministerijai ir Lietuvos Respublikos vidaus reikalų ministerijai pavaldžios institucijos, ir į tai, kokia debesijos paslaugoms teikti tinkama VII infrastruktūra yra Valstybės informacinių išteklių sąveikumo platformoje, per 30 dienų nuo Aprašo 4 punkte nurodytos apklausos atlikimo savo interneto svetainėje paskelbia (o vėliau atnaujina) debesijos paslaugų, kurios gali būti teikiamos institucijoms laikinuoju laikotarpiu, sąrašą.

6.  Institucijos, norinčios pradėti naudotis debesijos paslaugomis laikinuoju laikotarpiu, surašo, kokių konkrečių debesijos paslaugų joms reikia, ir pateikia šią informaciją įgaliotai institucijai, kuri per 10 darbo dienų nuo institucijos kreipimosi praneša, ar yra galimybė suteikti reikiamas debesijos paslaugas, ir nurodo paslaugą teiksiančią instituciją.

7.  Institucijos pradeda naudotis debesijos paslaugomis laikinuoju laikotarpiu po to, kai pasirašo sutartį su paslaugą teiksiančia institucija. Šios sutarties standartines sąlygas nustato Susisiekimo ministerija.

8.  Institucijos, naudodamosi debesijos paslaugomis, lieka atsakingos už valstybės informacinių išteklių tvarkymą.

9.  Laikinuoju laikotarpiu debesijos paslaugos teikiamos neatlygintinai, o paslaugas teikiančių institucijų veikla finansuojama joms skirtomis Lietuvos Respublikos valstybės biudžeto lėšomis.

10. Jeigu institucijai reikalinga funkcijų atlikimą užtikrinanti VII infrastruktūra laikinuoju laikotarpiu negali būti gauta kaip debesijos paslauga, institucija šią infrastruktūrą Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka įsigyja suderinusi šį klausimą su Susisiekimo ministerija ir bendradarbiaudama su pasirinktu vadovaujantis Lietuvos Respublikos Vyriausybės nustatytais valstybės informacinėms sistemoms ir registrams tvarkyti reikalingų valstybės debesijos paslaugų teikėjų teikiamų debesijos paslaugų nustatymo principais ir sąlygomis valstybės debesijos paslaugų teikėju, su kuriuo iki minėtos infrastruktūros įsigijimo sudaroma preliminari sutartis, kurioje susitariama dėl VII infrastruktūros ir jos talpinimo valstybės debesijos paslaugų teikėjo duomenų centre, jo reikalavimų, terminų ir kitų sąlygų.

11. Laikinuoju laikotarpiu valstybės debesijos paslaugų teikėjai per 15 kalendorinių dienų po kiekvienų metų kiekvieno ketvirčio pabaigos privalo raštu teikti Susisiekimo ministerijai ataskaitas, kuriose būtų pateikiama informacija apie valstybės debesijos paslaugų teikėjo pasirengimo teikti debesijos paslaugas ne laikinuoju laikotarpiu darbų eigą.

12. Jeigu paaiškėja, kad per Valstybės informacinių išteklių infrastruktūros konsolidavimo darbų sąraše, patvirtintame Lietuvos Respublikos Vyriausybės 2015 m. gegužės 13 d. nutarimu Nr. 498 „Dėl valstybės informacinių išteklių infrastruktūros konsolidavimo ir jos valdymo optimizavimo“, nustatytus terminus valstybės debesijos paslaugų teikėjai nespės pradėti teikti debesijos paslaugų, jie nedelsdami apie tai turi raštu informuoti Susisiekimo ministeriją.

1.  Bendrųjų veiklos ir organizacinių reikalavimų valstybės debesijos paslaugų teikėjams aprašo (toliau – Aprašas) tikslas – nustatyti veiklos ir organizacinius reikalavimus valstybės debesijos paslaugų teikėjams, teikiantiems Lietuvos Respublikos Vyriausybei (toliau – Vyriausybė) atskaitingoms valstybės institucijoms, valstybės įstaigoms, valstybės įmonėms, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, viešosioms įstaigoms, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, steigiančioms, kuriančioms ir (arba) tvarkančioms valstybės registrus, kadastrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamas iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų, ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotoms atlikti viešąjį administravimą (toliau – institucijos), debesijos paslaugas, ir užtikrinti vienodas valstybės debesijos paslaugų teikėjų valdymo ir debesijos paslaugų teikimo sąlygas.

2.  Apraše vartojamos sąvokos:

3.  Valstybės debesijos paslaugų teikėjas teikia debesijos paslaugas. Valstybės debesijos paslaugų teikėjai yra biudžetinės įstaigos. Valstybės debesijos paslaugų teikėjus skiria Lietuvos Respublikos finansų ministerija, Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Lietuvos Respublikos teisingumo ministerija ir Lietuvos Respublikos vidaus reikalų ministerija. Valstybės debesijos paslaugų teikėjas gali užsiimti ir kita Lietuvos Respublikos įstatymų nustatyta veikla, neskirta Vyriausybės nustatytoms debesijos paslaugoms teikti, jeigu ši veikla visiškai atskirta nuo debesijos paslaugų teikimo organizacinėmis ir veiklos sąnaudų, apskaitos ir finansavimo atskyrimo priemonėmis, tai yra:

4.  Valstybės debesijos paslaugų teikėjai, prieš pradėdami vykdyti su debesijos paslaugų teikimu susijusią veiklą, atlieka šios veiklos atitikties Apraše nustatytiems veiklos ir organizaciniams ir kituose debesijos paslaugų teikimą reglamentuojančiuose teisės aktuose nustatytiems reikalavimams vertinimą ir vertinimo rezultatus, įformintus atitikties reikalavimams deklaracija, teikia Lietuvos Respublikos susisiekimo ministerijos įgaliotai institucijai (toliau – įgaliota institucija) pagal įgaliotos institucijos patvirtintą formą, informuodami apie savo veiklos pradžią. Įgaliota institucija, kilus abejonių dėl valstybės debesijos paslaugų teikėjų atlikto vertinimo išvadų pagrįstumo ir (arba) pateiktuose dokumentuose nurodytos informacijos, prašo patikslinti ir (arba) pagrįsti vertinimo rezultatus ir inicijuoja papildomą valstybės debesijos paslaugų teikėjų atitikties Apraše ir kituose debesijos paslaugų teikimą reglamentuojančiuose teisės aktuose nustatytiems veiklos ir organizaciniams reikalavimams vertinimą ir (arba) įpareigoja per įgaliotos institucijos nustatytą protingą terminą, kuris negali būti trumpesnis kaip 10 darbo dienų, pašalinti trūkumus. Kol valstybės debesijos paslaugų teikėjas nepatikslina, nepagrindžia savo vertinimo rezultatų ir (arba) nepašalina neatitikties Apraše nustatytiems veiklos ir organizaciniams ir kituose debesijos paslaugų teikimą reglamentuojančiuose teisės aktuose nustatytiems reikalavimams, įgaliota institucija valstybės debesijos paslaugų teikėjo planuojamų teikti debesijos paslaugų neįtraukia į debesijos paslaugų katalogą.

5.  Valstybės debesijos paslaugų teikėjai, prieš pradėdami teikti debesijos paslaugas, patys atlieka kiekvienos iš šių paslaugų atitikties Lietuvos Respublikos susisiekimo ministerijos (toliau – Susisiekimo ministerija) nustatytiems valstybės debesijos paslaugų teikėjų institucijoms teikiamų debesijos paslaugų reikalavimams vertinimą ir atlikto vertinimo rezultatus pateikia įgaliotai institucijai, prašydami įtraukti debesijos paslaugas į debesijos paslaugų katalogą. Įgaliota institucija, kilus abejonių dėl valstybės debesijos paslaugų teikėjų atlikto vertinimo išvadų pagrįstumo ir (arba) pateiktuose dokumentuose nurodytos informacijos, prašo patikslinti ir (arba) pagrįsti vertinimo rezultatus. Jeigu valstybės debesijos paslaugų teikėjas pateikia netikslius ir (ar) neišsamius atlikto vertinimo rezultatus, įgaliota institucija inicijuoja papildomą vertinimą ir (arba) įpareigoja per įgaliotos institucijos nustatytą protingą terminą, kuris negali būti trumpesnis kaip 10 darbo dienų, pašalinti trūkumus. Kol valstybės debesijos paslaugų teikėjas nepatikslina, nepagrindžia savo vertinimo rezultatų ir (arba) nepašalina nustatytų trūkumų, jo planuojamos teikti debesijos paslaugos į debesijos paslaugų katalogą neįtraukiamos.

6.  Valstybės debesijos paslaugų teikėjai privalo apskaityti kiekvienos debesijos paslaugos teikimo sąnaudas ir teikti įgaliotai institucijai informaciją apie planuojamas ir faktiškai patirtas debesijos paslaugų teikimo sąnaudas.

7.  Įgaliota institucija turi teisę atlikti valstybės debesijos paslaugų teikėjo pateiktos informacijos apie susijusias su debesijos paslaugų teikimu faktiškai patirtas ir planuojamas sąnaudas patikrinimą, o valstybės debesijos paslaugų teikėjai privalo užtikrinti priemones (taip pat ir pateikti dokumentus, duomenis ir informaciją), suteikiančias galimybę įgaliotai institucijai atlikti tokį patikrinimą. Atlikto su debesijos paslaugų teikimu susijusių išlaidų apskaičiavimo patikrinimo rezultatus įgaliota institucija pateikia Susisiekimo ministerijai ir atitinkamai Lietuvos Respublikos finansų ministerijai, Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai, Lietuvos Respublikos vidaus reikalų ministerijai ar Lietuvos Respublikos teisingumo ministerijai (toliau – atsakinga ministerija).

8.  Valstybės debesijos paslaugų teikėjai užtikrina, kad jų valdomos debesijos infrastruktūros, debesijos techninės ir programinės įrangos, programinės įrangos platformų, naudojamų patalpų, turimų žmogiškųjų išteklių pakaktų paslaugų gavėjų planuotiems poreikiams tenkinti.

9.  Valstybės debesijos paslaugų teikėjai privalo turėti su debesijos paslaugų teikimu susijusius gebėjimus, kurių taikymo apimtį, atsižvelgdami į planuojamas teikti debesijos paslaugas ir jų rūšis, turi nusistatyti ir suderinti su įgaliota institucija. Valstybės debesijos paslaugų teikėjai turi sugebėti užtikrinti:

10. Valstybės debesijos paslaugų teikėjai turi turėti nusistatytą organizacinę struktūrą, kuri apimtų visus struktūrinius padalinius, reikalingus Aprašo 9 punkte nurodytiems gebėjimams užtikrinti.

11. Valstybės debesijos paslaugų teikėjai privalo užtikrinti, kad būtų aiškiai nusistatytos kiekvieno organizacinio vieneto teisės, pareigos ir atskaitomybė, o pavestos pareigos – tinkamai atliekamos.

12. Valstybės debesijos paslaugų teikėjo organizacijos architektūra turi atitikti valstybės debesijos paslaugų teikėjo strateginius veiklos tikslus. Debesijos paslaugų teikimo veiklos strategiją ir debesijos paslaugų teikėjo strateginius veiklos tikslus tvirtina valstybės debesijos paslaugų teikėjo savininko teises ir pareigas įgyvendinanti institucija.

13. Rengiant valstybės debesijos paslaugų teikėjo organizacijos architektūrą ir taikant kitus Aprašo 9 punkte nurodytus gebėjimus, rekomenduojama vadovautis tarptautiniu mastu pripažintais organizacijos architektūros valdymo metodais ir organizacijos veiklos procesų valdymo praktika (pavyzdžiui, TOGAF, FEAF, Zachman framework, COBIT, ITIL, NIST Cloud Computing reference).

14. Organizacijos architektūrai apibrėžti ir palaikyti valstybės debesijos paslaugų teikėjai privalo naudoti bendrą sprendimą, skirtą organizacijos architektūrai valdyti, užtikrinantį galimybę organizacijos architektūros turinį centralizuotoje saugykloje modeliuoti (apibrėžti), atnaujinti, papildyti ir (arba) patikslinti pagal pasikeitusius valstybės debesijos paslaugų teikėjų ir (arba) debesijos paslaugų gavėjų veiklos poreikius, tikslus, naudojamas technologijas ar kitus su valstybės debesijos paslaugų teikėjų veikla susijusius pokyčius.

15. Valstybės debesijos paslaugų teikėjai privalo turėti už organizacijos architektūrą ir jos sudedamąsias dalis atsakingus specialistus:

16. Valstybės debesijos paslaugų teikėjai privalo savo veiklą organizuoti taip, kad būtų užtikrinamas nepertraukiamas debesijos paslaugų teikimas paslaugų gavėjams pagal Susisiekimo ministerijos nustatytus debesijos paslaugų teikimo reikalavimus ir su paslaugų gavėjais užsakant debesijos paslaugą suderintus debesijos paslaugų lygio įsipareigojimus.

17. Valstybės debesijos paslaugų teikėjai užtikrina, kad darbuotojai tobulintų kvalifikaciją, organizuoja jų kompetencijų vertinimus, tvirtina mokymo planus ir užtikrina jų įgyvendinimą.

18. Valstybės debesijos paslaugų teikėjai privalo veiklą planuoti mutatis mutandis pagal Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 9 straipsnyje nustatytus reikalavimus. Parengtus 3 metų trukmės debesijos plėtros plano projektus valstybės debesijos paslaugų teikėjai suderina su įgaliota institucija ir teikia tvirtinti atitinkamai atsakingai ministerijai.

19. Valstybės debesijos paslaugų teikėjai privalo rengti metinius paslaugų teikimo ir joms teikti reikalingų išteklių naudojimo planus. Valstybės debesijos paslaugų teikėjo parengtame metiniame paslaugų teikimo ir joms teikti reikalingų išteklių naudojimo plane turi būti nurodyta:

20. Valstybės debesijos paslaugų teikėjas parengtą ateinančių metų paslaugų teikimo ir joms teikti reikalingų išteklių naudojimo planą iki einamųjų metų II ketvirčio pabaigos teikia derinti įgaliotai institucijai ir po to – svarstyti Valstybės informacinių išteklių valdymo tarybai.

21. Valstybės debesijos paslaugų teikėjai, teikdami debesijos paslaugas, turi vadovautis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 13 straipsnyje nurodytais informacinių technologijų paslaugų valdymo metodiniais dokumentais.

22. Vadovaudamiesi įgaliotos institucijos nustatytose Valstybės debesijos paslaugų teikėjų debesijos paslaugų valdymo ir teikimo procesų vertinimo taisyklėse nustatytais debesijos paslaugų valdymo ir teikimo procesų vertinimo rodikliais, valstybės debesijos paslaugų teikėjai privalo nuolat vertinti:

23. Valstybės debesijos paslaugų teikėjai privalo įgaliotai institucijai šios institucijos nustatyta tvarka automatizuotomis priemonėmis debesijos paslaugų kataloge nepertraukiamai teikti informaciją apie:

24. Valstybės debesijos paslaugų teikėjai privalo jų teikiamų paslaugų gavėjams automatizuotomis priemonėmis debesijos paslaugų kataloge nepertraukiamai teikti:

25. Valstybės debesijos paslaugų teikėjai privalo turėti įdiegtas jų valdomos debesijos infrastruktūros naudojimo ir jos rezervo stebėsenos priemones. Šios priemonės turi būti suderintos su įgaliota institucija ir jos naudojamomis debesijos paslaugų katalogo priemonėmis, skirtomis valstybės informacinių išteklių infrastruktūros naudojimo ir rezervo apskaitai tvarkyti.

26. Jeigu tam tikro valstybės debesijos paslaugų teikėjo valdomos debesijos infrastruktūros rezervo ima nepakakti jo teikiamų debesijos paslaugų naujiems užsakymams įvykdyti, debesijos paslaugų katalogo priemonėmis stabdomi nauji jo teikiamų debesijos paslaugų užsakymai.

27. Valstybės debesijos paslaugų teikėjai privalo bendradarbiauti su institucijomis, kurios ketina naudotis ir (arba) naudojasi debesijos paslaugomis, siekdami užtikrinti paslaugų atitiktį jų gavėjų veiklos poreikiams ir jų valdomų arba tvarkomų valstybės informacinių išteklių veiklos tęstinumą.

28. Valstybės debesijos paslaugų teikėjai privalo bendradarbiauti su institucijomis, rengiančioms naujų valstybės informacinių išteklių kūrimo, modernizavimo ar plėtros investicinius projektus, ir teikti joms konsultacijas su valstybės informacinių sistemų ar registrų tvarkymu susijusių debesijos paslaugų poreikio ir joms teikti reikalingų pajėgumų klausimais.

29. Institucijos, rengiančios naujų valstybės informacinių sistemų ar registrų kūrimo, esamų modernizavimo arba plėtros investicinius projektus, su šiuo nutarimu patvirtinto Valstybės informacinėms sistemoms ir registrams tvarkyti reikalingų valstybės debesijos paslaugų teikėjų teikiamų debesijos paslaugų nustatymo principų ir sąlygų aprašo nustatyta tvarka pasirinktais valstybės debesijos paslaugų teikėjais sudaro preliminarias debesijos paslaugų, reikalingų šioms informacinėms sistemoms ar registrams tvarkyti, teikimo sutartis.

30. Valstybės debesijos paslaugų teikėjų teikiamos debesijos paslaugos užsakomos, jų teikimo sąlygos, įskaitant jų debesijos paslaugų lygio įsipareigojimus, nustatomos, jų teikimo stebėsena atliekama ir jų teikimas nutraukiamas per debesijos paslaugų katalogą.

31. Valstybės debesijos paslaugų teikėjai privalo įsidiegti ir naudoti visas technines ir organizacines priemones, suteikiančias institucijoms ir įgaliotai institucijai galimybę jų teikiamas debesijos paslaugas valdyti, įskaitant paslaugos užsakymą, teikimo sąlygų nustatymą ir suderinimą su paslaugos gavėjais, jų teikimo stebėseną ir teikimo sustabdymą, bet tuo neapsiribojant, debesijos paslaugų katalogo priemonėmis.

32. Valstybės debesijos paslaugų teikėjai, naudodamiesi debesijos paslaugų katalogo priemonėmis, privalo rengti, dėti į debesijos paslaugų katalogą ir atnaujinti visų jų teikiamų debesijos paslaugų aprašus.

33. Valstybės debesijos paslaugų teikėjai privalo tarpusavyje bendradarbiauti siekdami užtikrinti, kad būtų laikomasi Apraše ir kituose teisės aktuose, reglamentuojančiuose debesijos paslaugų teikimą, nustatytų valstybės debesijos paslaugų teikėjų debesijos paslaugoms teikti skirtos infrastruktūros architektūros ir veiklos tęstinumo užtikrinimo bendrųjų reikalavimų ir reikalavimų debesijos paslaugų teikėjų teikiamoms paslaugoms, ir atlikdami duomenų rezervinį kopijavimą.

34. Valstybės debesijos paslaugų teikėjai, teikdami debesijos paslaugas, privalo tarpusavyje bendradarbiauti siekdami užtikrinti debesijos paslaugoms teikti reikalingus pajėgumus ir jų atitiktį paslaugų gavėjų veiklos poreikiams, taip pat paslaugų gavėjų valdomų arba tvarkomų valstybės informacinių sistemų ar registrų veiklos tęstinumą.

35. Valstybės debesijos paslaugų teikėjai privalo užtikrinti, kad debesijos paslaugos būtų teikiamos nepertraukiamai pagal Susisiekimo ministerijos nustatytus debesijos paslaugų teikimo reikalavimus ir su paslaugų gavėjais sudarytose debesijos paslaugų teikimo sutartyse nustatytus debesijos paslaugų lygio įsipareigojimus.

36. Valstybės debesijos paslaugų teikėjai privalo turėti pagal Nutarimu Nr. 716 patvirtintus Bendrųjų elektroninės informacijos saugos reikalavimų aprašą ir Saugos dokumentų turinio gairių aprašą ir aukščiausią informacinių sistemų, registrų ir (ar) jų grupių, kuriems tvarkyti naudojamos jo teikiamos debesijos paslaugos, svarbos lygį atitinkančius reikalavimus parengtą (-us) veiklos tęstinumo valdymo planą (-us), taip pat įdiegtas ir naudojamas procedūras, procesus ir technines priemones veiklos tęstinumui užtikrinti. Veiklos tęstinumo valdymo planas (-ai) turi užtikrinti valstybės debesijos paslaugų teikėjų ir jų paslaugų gavėjų veiklos tęstinumą ir, be reikalavimų, nustatytų Nutarime Nr. 716, turi apibrėžti:

37. Valstybės debesijos paslaugų teikėjų veiklos tęstinumo užtikrinimo priemonės ir procedūros turi būti išbandomos ir audituojamos ne rečiau kaip kartą per kalendorinius metus, ir apie bandymo rezultatus turi būti informuojama įgaliota institucija ir atitinkamų valstybės debesijos paslaugų teikėjų teikiamų debesijos paslaugų gavėjų atstovai. Auditams atlikti turi būti pasitelkiami informacinių sistemų auditoriai, turintys visuotinai pripažintų tarptautinių organizacijų sertifikatus.

38. Valstybės debesijos paslaugų teikėjai privalo sukurti vidaus kontrolės ir rizikos valdymo sistemą, kuri suteiktų galimybę vertinti ir valdyti su debesijos paslaugų teikimu susijusią riziką, ir užtikrinti, kad būtų laikomasi kitų šiame skyriuje pateiktų rizikos ir informacijos saugos valdymo reikalavimų.

39. Valstybės debesijos paslaugų teikėjai privalo įsidiegti rizikos valdymo sistemą, atsižvelgdami į savo darbo specifiką ir pasaulyje pripažintas gerąsias praktikas, pavyzdžiui, ISO 31000:2009, COSO ERM ar joms lygiavertes, ir stebėti, ar vidaus kontrolės ir rizikos vertinimo sistema padeda įvertinti, ar valstybės debesijos paslaugų teikėjo veikla ir jo teikiamos debesijos paslaugos atitinka teisės aktų nustatytus reikalavimus ir kaip atliekamos tam tikros vidaus kontrolės rizikos vertinimo procedūros.

40. Valstybės debesijos paslaugų teikėjai privalo kasmet atlikti rizikos veiksnių, galinčių daryti poveikį jų veiklos tęstinumui ir debesijos paslaugų teikimui, vertinimą ir atsižvelgdami į jo rezultatus parinkti ir įdiegti rizikos valdymo priemones.

41. Debesijos paslaugų tiekėjai, vertindami riziką, turi:

42. Užtikrindami valstybės debesijos paslaugų teikėjų valdomoje debesijos infrastruktūroje saugomos elektroninės informacijos saugą, valstybės debesijos paslaugų teikėjai turi vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Nutarimu Nr. 716, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, taip pat kitais valstybės informacinių išteklių saugą reglamentuojančiais teisės aktais.

43. Valstybės debesijos paslaugų teikėjai privalo taikyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Nutarimu Nr. 716, nustatytus rizikos valdymo metodus ir užtikrinti, kad būtų naudojamos jame nustatytos rizikos valdymo priemonės.

44. Valstybės debesijos paslaugų teikėjai, teikdami debesijos paslaugas, privalo turėti įsidiegę ir naudoti saugos priemones:

45. Valstybės debesijos paslaugų teikėjai privalo turėti įsidiegę ir naudoti technologines ir organizacines priemones, kurios užtikrintų galimybę atlikti su debesijos paslaugų teikimu susijusius šiuos veiksmus:

46. Valstybės debesijos paslaugų teikėjai privalo užtikrinti, kad, paslaugų gavėjui atsisakius gaunamos debesijos paslaugos, ją teikiant valstybės debesijos paslaugų teikėjo valdomoje debesijos infrastruktūroje sukaupti duomenys, paslaugos gavėjui pareikalavus, fiziškai būtų sunaikinti.

47. Valstybės debesijos paslaugų teikėjai privalo užtikrinti jų valdomos debesijos infrastruktūros ir (arba) ryšių tinklų kibernetinį saugumą, vadovaudamiesi Lietuvos Respublikos kibernetinio saugumo įstatymu.

48. Valstybės debesijos paslaugų teikėjams ir debesijos paslaugų gavėjams rekomenduojama vadovautis Europos tinklų ir informacijos apsaugos agentūros (angl. ENISA) rengiamomis rekomendacijomis, kurios skirtos su debesijos paslaugų teikimu ir naudojimu susijusiai rizikai valdyti ir elektroninės informacijos saugai užtikrinti.

49. Valstybės debesijos paslaugų teikėjų ir paslaugų gavėjų atsakomybė už valstybės informacinių išteklių tvarkymą paskirstoma, kai teikiamos ir naudojamos šios debesijos paslaugos:

50. Valstybės debesijos paslaugų teikėjų ir paslaugų gavėjų atsakomybės už valstybės informacinių išteklių tvarkymą teikiant ir naudojant debesijos paslaugas paskirstymas pateiktas Aprašo priede.

1.  Valstybės informacinėms sistemoms ir registrams tvarkyti reikalingų valstybės debesijos paslaugų teikėjų teikiamų debesijos paslaugų nustatymo principų ir sąlygų aprašo (toliau – Aprašas) tikslas – nustatyti Lietuvos Respublikos Vyriausybei (toliau – Vyriausybė) atskaitingų valstybės institucijų, valstybės įstaigų, valstybės įmonių, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, viešųjų įstaigų, kurių savininko teises ir pareigas įgyvendina Vyriausybei atskaitingos valstybės institucijos, steigiančių, kuriančių ir (arba) tvarkančių valstybės registrus, kadastrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamas iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų, ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotų atlikti viešąjį administravimą (toliau – institucijos), valdomoms valstybės informacinėms sistemoms ir registrams tvarkyti reikalingų debesijos paslaugų, kurias teiks tam tikri Vyriausybės įgaliotų institucijų įsteigti ar paskirti valstybės debesijos paslaugų teikėjai, nustatymo ir pasirinkimo principus ir sąlygas, siekiant užtikrinti, kad institucijų pasirinktos debesijos paslaugos atitiktų institucijų poreikius ir šias paslaugas teiktų tam reikalingas technologines galimybes ir kompetenciją turintys valstybės debesijos paslaugų teikėjai.

2.  Apraše debesijos paslaugos suprantamos kaip informacinėmis ir ryšių technologijomis grindžiamos paslaugos, kurias teikiant šių paslaugų gavėjai nuotoliniu būdu prireikus naudojasi šių paslaugų teikėjų valdoma informacinių technologijų infrastruktūra.

3.  Valstybės debesijos paslaugų teikėjai, vadovaudamiesi teisės aktų nustatytais jų veiklos ir teikiamų debesijos paslaugų reikalavimais, debesijos paslaugų katalogo priemonėmis parengia debesijos paslaugų aprašus, suderintus su Lietuvos Respublikos susisiekimo ministerijos (toliau – Susisiekimo ministerija) įgaliota institucija (toliau – įgaliota institucija). Susisiekimo ministerijos nustatytus reikalavimus atitinkančias valstybės debesijos paslaugų teikėjų debesijos paslaugas įgaliota institucija turi būti įtraukusi į debesijos paslaugų katalogą. Debesijos paslaugų katalogą valdo Susisiekimo ministerija, o tvarko – įgaliota institucija ir valstybės debesijos paslaugų teikėjai. Debesijos paslaugų užsakymo per debesijos paslaugų katalogą prieiga yra vieša.

4.  Siekdami užtikrinti institucijoms galimybę tiksliau pasirinkti jų poreikius atitinkančias debesijos paslaugas, valstybės debesijos paslaugų teikėjai debesijos paslaugų katalogo priemonėmis rengiamuose debesijos paslaugų aprašuose, be kitos institucijoms aktualios informacijos, susijusios su debesijos paslaugų užsakymu ir naudojimu, privalo nurodyti konkrečias debesijos paslaugoms teikti naudojamas specifines technologijas (pavyzdžiui, specifinė techninė ar programinė įranga, specifinės programinės įrangos platforma) ir jų turimą specifinę kompetenciją (pavyzdžiui, valstybės debesijos paslaugų teikėjo darbuotojų specifinių technologijų valdymo ir (ar) priežiūros patirtis ir kita).

5.  Institucijos, prieš rengdamosi naudotis debesijos paslaugomis, savo valdomas valstybės informacines sistemas ir (ar) registrus turi suskirstyti į grupes, vadovaudamosi Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

6.  Prieš debesijos paslaugų kataloge pasirinkdama debesijos paslaugą, institucija nustato konkrečiai valstybės informacinei sistemai, registrui ir (ar) jų grupei tvarkyti reikalingų infrastruktūros išteklių poreikį ir (arba) techninius reikalavimus ir debesijos paslaugų katalogo priemonėmis šią informaciją nurodo bendrame institucijai reikalingų debesijos paslaugų sąraše (toliau – debesijos paslaugų sąrašas), kuris turi būti naudojamas institucijai renkantis reikiamas debesijos paslaugas pagal toliau Apraše išdėstytus principus ir sąlygas.

7.  Debesijos paslaugų sąraše, be kitos debesijos paslaugų katalogo priemonėmis nurodomos informacijos, institucijos privalo nurodyti:

8.  Siekiant nustatyti institucijos debesijos paslaugų sąrašą atitinkančią konkrečią debesijos paslaugą, pirmiausia atsižvelgiama į tai, ar tokiai paslaugai teikti reikia specifinės technologijos ir (arba) specifinės kompetencijos.

9.  Jeigu konkrečiai valstybės informacinei sistemai, registrui ir (ar) jų grupei tvarkyti reikia tokios debesijos paslaugos, kuriai teikti reikalinga specifinė technologija ir (arba) specifinė kompetencija, debesijos katalogo priemonėmis institucijai pasiūloma ta debesijos paslauga, kuriai teikti valstybės debesijos paslaugų teikėjas naudoja atitinkamą specifinę technologiją ir (ar) specifinę kompetenciją.

10. Jeigu konkrečios institucijos debesijos paslaugų poreikį atitinkančias debesijos paslaugas tokiomis pat sąlygomis gali teikti (teikia) keletas valstybės debesijos paslaugų teikėjų, debesijos katalogo priemonėmis institucijai pasiūloma ta debesijos paslauga, kurią teikiantis valstybės debesijos paslaugų teikėjas atitinka bent vieną iš toliau nurodytų sąlygų (prioriteto mažėjimo tvarka):

11. Jeigu pagal Aprašo 9 ir 10 punktuose nurodytas sąlygas nustatomos kelios konkrečios valstybės informacinei sistemai, registrui ir (ar) jų grupei tvarkyti tinkančios debesijos paslaugos, teikiamos skirtingų valstybės debesijos paslaugų teikėjų, institucija, atsižvelgdama į ekonomiškumo, proporcingumo ir skaidrumo principus, gali debesijos paslaugų katalogo priemonėmis iš Aprašo 9 ir 10 punktuose nurodytų debesijos paslaugų savo nuožiūra pasirinkti, kurią (-ias) konkrečią (-ias) debesijos paslaugą (-as) naudos konkrečiai valstybės informacinei sistemai, registrui ir (ar) jų grupei tvarkyti.

12. Institucijai pagal Aprašo 9 ir 11 punktuose nurodytas sąlygas pasirinkus konkrečias valstybės informacinei sistemai, registrui ir (ar) jų grupei tvarkyti reikalingas debesijos paslaugas, debesijos paslaugų katalogo priemonėmis nustatomas (-i) pasirinktas (-i) debesijos paslaugas teikiantis (-ys) valstybės debesijos paslaugų teikėjas (-ai) ir institucijai suteikiamos debesijos paslaugų katalogo priemonės pasirinktų debesijos paslaugų teikimo sutartims sudaryti, taip pat ir priemonės sutartims sudaryti pagal standartinius debesijos paslaugų teikimo sutarčių projektus, sudarytų sutarčių derinimo tarp debesijos paslaugų gavėjo ir debesijos paslaugų teikėjo automatizuotam procesui valdyti, sutartims pasirašyti ir saugoti debesijos paslaugų kataloge.

13. Institucijos tuo pat metu gali pasirinkti kelių valstybės debesijos paslaugų teikėjų teikiamas debesijos paslaugas kelioms valstybės informacinėms sistemoms ar registrams tvarkyti arba kelioms valstybės informacinėms sistemoms ar registrams tvarkyti gali pasirinkti vieno valstybės debesijos paslaugų teikėjo teikiamą konkrečią debesijos paslaugą, jeigu to reikia šioms valstybės informacinėms sistemoms ir registrams tinkamai tvarkyti.

14. Institucijos, rengiančios naujų valstybės informacinių sistemų ar registrų sukūrimo, esamų modernizavimo arba plėtros investicinius projektus, su atitinkamais valstybės debesijos paslaugų teikėjais gali debesijos katalogo priemonėmis sudaryti preliminariąsias debesijos paslaugų teikimo sutartis – dėl teikiamų debesijos paslaugų pagal Aprašo 9−11 punktuose nurodytas sąlygas arba naujų debesijos paslaugų, kurias valstybės debesijos paslaugų teikėjai planuoja teikti tada, kai institucijoms jų prireiks.

15. Jeigu institucija debesijos paslaugas užsako po to, kai jai teikiamų debesijos paslaugų teikimas apribotas, visos ar tam tikros konkretaus valstybės debesijos paslaugų teikėjo debesijos paslaugos, kurių teikimas apribotas, šiai institucijai debesijos katalogo priemonėmis nebesiūlomos.

16. Kai institucija debesijos paslaugų katalogo priemonėmis užsako debesijos paslaugas ir sudaro preliminariąsias arba standartines paslaugų teikimo sutartis, įgaliota institucija prireikus gali patikrinti konkrečiai valstybės informacinei sistemai ar registrui tvarkyti reikalingų debesijos paslaugų nustatymo pagrįstumą.

17. Kai įgaliota institucija atlieka Aprašo 16 punkte nurodytą patikrinimą ir jai kyla abejonių, ar institucija užtikrino atitiktį Aprašo 9−11 punktuose nurodytoms sąlygoms, įgaliota institucija ne vėliau kaip per 3 darbo dienas nuo debesijos paslaugų katalogo priemonėmis pateikto debesijos paslaugų užsakymo paprašo, kad institucija pateiktų papildomą informaciją, pagrindžiančią reikiamų debesijos paslaugų nustatymą, atsižvelgdama į įgaliotos institucijos atlikto patikrinimo rezultatus. Institucija, gavusi įgaliotos institucijos prašymą, per 5 darbo dienas privalo pateikti prašomą informaciją.

18. Įgaliota institucija, nustačiusi, kad institucija, nustatydama, kokių debesijos paslaugų reikia konkrečiai valstybės informacinei sistemai ar registrui tvarkyti, nesilaikė Aprašo 9−11 punktuose nustatytų sąlygų, per 10 darbo dienų nuo Aprašo 17 punkte nurodytos informacijos gavimo pateikia institucijai informaciją apie nustatytą neatitiktį Aprašo 9−11 punktuose nustatytoms sąlygoms ir pasiūlo jai iš naujo užsakyti debesijos paslaugą, kurios reikia konkrečiai valstybės informacinei sistemai ar registrui tvarkyti ir kurią teiktų konkretus valstybės debesijos paslaugų teikėjas, pagal Apraše nustatytus principus ir sąlygas.