1.       Nacionalinio kibernetinio saugumo centro reagavimo į kibernetinius incidentus valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėse infrastruktūrose tvarkos aprašas (toliau – Aprašas) nustato Nacionalinio kibernetinio saugumo centro (toliau – NKSC) reagavimo į kibernetinius incidentus procedūras, viešųjų elektroninių ryšių paslaugų teikimo laikinojo, bet ne ilgesnio negu 48 valandos, apribojimo pagrindus ir tokio apribojimo panaikinimo procedūras.

2.      Apraše vartojamos sąvokos:

3.      NKSC, vadovaudamasis Lietuvos Respublikos Vyriausybės nustatyta Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, tvarka, vertina savo turimomis (valdomomis) ADPTSP priemonėmis fiksuotus įvykius ar kitų subjektų, turinčių įtakos VII ir YSII  valdytojų informacinių sistemų veikimui ir saugumui,  pateiktą informaciją apie įvykius, ir nusprendžia, ar priskirti juos atitinkamos kategorijos ir grupės kiberenetiniams incidentams ar ne.

4.      ADPTSP fiksuojami įvykiai priskiriami formalizuotiems kibernetiniams incidentams.

5.      Jei pagal kibernetinių incidentų kategoriją įvykį galima priskirti kelioms kibernetinio incidento kategorijoms arba VII ar YSII valdytojas negali nustatyti kibernetinio incidento grupės ir kategorijos, pirminę kibernetinio incidento grėsmės kategoriją nustato NKSC budėtojas.

6.      NKSC, per laiką, nustatytą Lietuvos Respublikos Vyriausybės patvirtintuose Organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, taikomuose ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, negavęs VII ar YSII valdytojo pranešimo apie priemones, skirtas kibernetiniam incidentui valdyti, kibernetiniam incidentui gali suteikti aukštesnę kategoriją.

7.      Jeigu NKSC nustato, kad kurios nors kategorijos kibernetinio incidento mastas yra didesnis, vėluojama jį suvaldyti ar kelia didesnę grėsmę nei buvo manyta pradėjus reaguoti, kibernetiniam incidentui suteikia aukštesnę kategoriją.

8.      NKSC reaguoja į įvykius, kuriuos aptinka ADPTSP ar fiksuoja kitos automatinio stebėjimo sistemos (saugasienės, el. pašto apsaugos sistemos ir kt.), apie kuriuos, naudodamiesi IVS, praneša VII ar YSII valdytojų asmenys, atsakingi už VII ar YSII organizacinių ir kibernetinių saugumo reikalavimų įgyvendinimo organizavimą (toliau – kontaktiniai asmenys), taip pat apie kuriuos informacija gaunama iš kitų subjektų, turinčių įtakos VII ir YSII valdytojų informacinių sistemų veikimui ir saugumui.

9.      Gavęs informaciją apie įvykį šio Aprašo 8 punkte nurodytu būdu, NKSC budėtojas:

10.     NKSC vadovas, kilus didelės reikšmės incidentui (klasifikacija incidentams suteikiama vadovaujantis Lietuvos Respublikos Vyriausybės nustatyta Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, tvarka), informuoja krašto apsaugos ministrą ir viceministrą, kuruojantį įstaigos, vykdančios NKSC funkcijas, veiklą.

11.     Jei YSII ar VII valdytojas buvo pradėjęs IS techninio gedimo šalinimo darbus, kurie gali pakenkti kibernetinio incidento tyrimui, NKSC gali duoti nurodymus stabdyti pradėtus darbus iki 48 valandų, kad būtų išsaugota su incidentu susijusi informacija.

12.    NKSC, naudodamasis IVS turima informacija, kibernetinių incidento tyrimą atlieka, vadovaudamasis reagavimo į kibernetinius incidentus algoritmu (pridedama).

13.    Pasikartojantys kibernetiniai incidentai formalizuojami, sukuriant automatiškai juos fiksuojančias ir apdorojančias priemones.

14.    Siekdamas suvaldyti didelės reikšmės kibernetinį incidentą, NKSC gali konsultuotis ir (arba) bendradarbiauti su Ryšių reguliavimo tarnybos reagavimo į kibernetinius incidentus padaliniu, Lietuvos kriminalinės policijos biuro Nusikaltimų elektroninėje erdvėje tyrimo valdyba, NATO Reagavimo į kompiuterių incidentus pajėgomis (angl. NATO Computer Incident Response Capability, NCIRC), interneto paslaugų teikėjais ir kitomis kompetentingomis institucijomis.

15.    NKSC didelės svarbos kibernetinį incidentą gali priskirti pavojingo kibernetinio incidento kategorijai, jei didelės svarbos kibernetinis incidentas ir (ar) jo poveikis gali sukelti (sukelia) bent vieną iš padarinių, numatytų Lietuvos Respublikos Vyriausybės patvirtintame Nacionalinio kibernetinių incidentų valdymo plane.

16.    NKSC, suvaldęs kibernetinį incidentą, jį dokumentuoja, suformuluoja techninių sprendimų išvadas, kurias įtraukia į išspręstų kibernetinių incidentų duomenų bazę, atlieka įvykusio kibernetinio incidento analizę, kurioje nurodomi veiksmai, kuriuos vykdant būtų siekiama išvengti analogiškų kibernetinių incidentų ateityje, pateikia pasiūlymus VII ir YSII valdytojams dėl techninių ir organizacinių priemonių tobulinimo.

17.    Suvaldytų kibernetinių incidentų IVS įvykių kortelės saugomos IVS ne mažiau kaip 3 metus.

18.    Kibernetinio incidento valdymo metu arba laikotarpiui, kuris būtinas incidento padariniams ir šalutiniams efektams likviduoti, gali būti laikinai apribotas viešųjų elektroninių ryšių paslaugų teikimas. Paslaugų apribojimas ir atnaujinimas atliekamas vadovaujantis Apašo IV skyriaus nuostatomis.

19.    NKSC turi teisę duoti motyvuotą nurodymą laikinai, bet ne ilgiau negu 48 valandoms, apriboti viešųjų elektroninių ryšių paslaugų teikimą šių paslaugų teikėjui:

20.  NKSC laikinąjį viešųjų elektroninių ryšių paslaugų teikimo apribojimą panaikina, kai kibernetinis incidentas suvaldytas anksčiau nei baigiasi laikinojo apribojimo terminas.

21.  Sprendimas duoti motyvuotą nurodymą laikinai apriboti viešųjų elektroninių ryšių paslaugų teikimą ir panaikinti laikinąjį viešųjų elektroninių ryšių paslaugų teikimo apribojimą, įforminamas įstaigos prie Krašto apsaugos ministerijos, vykdančios NKSC funkcijas, vadovo įsakymu.