«Կիբեռանվտանգության մասին», «Հանրային տեղեկությունների մասին», «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքների և հարակից օրենքներում փոփոխություններ և լրացումներ կատարելու մասին օրենքների նախագծեր

ՆԱԽԱԳԻԾ

ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ

Օ Ր Ե Ն Ք Ը

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՄԱՍԻՆ

Գ Լ ՈՒ Խ  1

ԸՆԴՀԱՆՈՒՐ ԴՐՈՒՅԹՆԵՐ

 Սույն օրենքի նպատակը Հայաստանի Հանրապետությունում կենսական նշանակության ոլորտների տեղեկատվական համակարգերում (այսուհետ՝ տեղեկատվական համակարգ) և կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգ միջավայրի ապահովումն է: 

 Հոդված 1․ Օրենքի  կարգավորման առարկան և գործողության ոլորտը

1․ Սույն օրենքը կարգավորում է կենսական նշանակության ոլորտներում կրիտիկական տեղեկատվական ենթակառուցվածքների կամ տեղեկատվական համակարգերի կիբեռանվտանգության ապահովման հետ կապված հարաբերությունները, մասնավորապես՝ սույն օրենքի իմաստով ծառայություն մատուցող սուբյեկտների շրջանակը, կենսական նշանակության ոլորտները,  կիբեռմիջադեպերի հայտնաբերման, դրանց մասին ծանուցման, կանխարգելման և լուծման, կիբեռանվտանգության ոլորտի պետական կառավարման համակարգի մարմինների և դրանց լիազորությունների շրջանակի, սույն օրենքի պահանջների պահպանման նկատմամբ մշտադիտարկման, վերահսկողության, պատասխանատվության, կիբեռանվտանգության աուդիտի, ինչպես նաև կիբեռանվտանգության հետ կապված այլ հարաբերությունները։

2.Ցանկացած այլ իրավաբանական անձ, որը սույն օրենքի իմաստով չի համարվում ծառայություն մատուցող, Հայաստանի Հանրապետության կառավարության կողմից սահմանված կարգով կարող է կամավոր ստանձնել սույն օրենքից բխող կիբեռանվտանգության ապահովման պարտավորություններ կամ հրաժարվել դրանցից:

3. Սույն օրենքի գործողությունը տարածվում է․

1) իրավաբանական անձանց և անհատ ձեռնարկատերերի վրա, որոնք գործունեություն են ծավալում սույն օրենքի 16-րդ հոդվածի 2-րդ մասում թվարկված կենսական նշանակության ոլորտներից մեկում կամ մի քանիսում միաժամանակ և շահագործում են տեղեկատվական համակարգ կամ կրիտիկական տեղեկատվական ենթակառուցվածք,

2) պետական կառավարման և տեղական ինքնակառավարման մարմինների վրա։

4․ Սույն օրենքի գործողությունը չի տարածվում «Փոքր և միջին ձեռնարկատիրության աջակցության մասին» օրենքով նախատեսված գերփոքր և փոքր ՓՄՁ սուբյեկտների դասակարգման չափանիշներին բավարարող իրավաբանական անձանց և անհատ ձեռնարկատերերի վրա, բացառությամբ այն դեպքերի, երբ նշված անձինք շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածք։

5.Սույն օրենքի գործողությունը չի տարածվում պաշտպանության, ազգային անվտանգության, արտաքին հարաբերությունների, արտաքին հետախուզական գործունեության իրականացման ոլորտներում պետական լիազոր մարմինների կողմից իրենց գործառույթներն իրականացնելիս օգտագործվող տեղեկատվական համակարգերի կիբեռանվտանգության պահանջների պահպանման նկատմամբ:

6․ Սույն օրենքի գործողությունը չի տարածվում պետական գաղտնիք պարունակող տեղեկությունների մշակման նպատակով կիրառվող տեղեկատվական համակարգերի և կրիտիկական տեղեկատվական ենթակառուցվածքների օգտագործմանն առնչվող կիբեռանվտանգության պահանջների պահպանման նկատմամբ։ 

7․ Սույն օրենքի գործողությունը չի տարածվում այլ օրենքներով կիբեռհանցագործությունների ոլորտը կարգավորող հարաբերությունների վրա:

8. Սույն օրենքով սահմանված կիբեռանվտանգության ապահովմանն ուղղված միջոցառումներ իրականացնելիս ծառայություն մատուցողները անձնական տվյալների հետ կապված ցանկացած գործողություն իրականացնելիս պետք է առաջնորդվեն անձնական տվյալներ մշակելու հետ կապված հարաբերությունները կարգավորող օրենսդրության պահանջներին համապատասխան։

9․ Սույն օրենքով սահմանված կիբեռանվտանգության ապահովմանն ուղղված միջոցառումներ իրականացնելիս ծառայություն մատուցողները պետական գաղտնիք, ինչպես նաև օրենքով պահպանվող այլ գաղտնիք պարունակող տեղեկությունների հետ կապված ցանկացած գործողություն իրականացնելիս առաջնորդվում են օրենքով պահպանվող և տվյալ գաղտնիքի հետ կապված հարաբերությունները կարգավորող օրենսդրության պահանջներին համապատասխան։

 Հոդված 2․  Կիբեռանվտանգության մասին օրենսդրությունը

 1․Կիբեռանվտանգության ապահովման ոլորտում ծագող հարաբերությունները կարգավորվում են Սահմանադրությամբ, սույն օրենքով, «Հանրային տեղեկությունների մասին» օրենքով, «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով, Հայաստանի Հանրապետության  միջազգային պայմանագրերով, այլ իրավական ակտերով։

2․ Եթե Հայաստանի Հանրապետության վավերացրած միջազգային պայմանագրերով սահմանվում են այլ նորմեր, քան նախատեսված են սույն օրենքով, ապա կիրառվում են միջազգային պայմանագրերի նորմերը:

Հոդված 3․ Օրենքում օգտագործվող հիմնական հասկացությունները

 1․ Սույն օրենքում օգտագործվում են հետևյալ հիմնական հասկացությունները.

1) կիբեռանվտանգություն՝ կազմակերպչական, տեխնիկական, ծրագրային միջոցների ամբողջություն, որը պաշտպանում է համակարգչում, համակարգչային սարքավորումում, թվային հիշողության կրիչներում, տեղեկատվական համակարգում, կրիտիկական տեղեկատվական ենթակառուցվածքում, էլեկտրոնային հաղորդակցության ցանցում մշակվող, պահվող և փոխանցվող տեղեկությունը պատահական կորստից, չարտոնված մուտքից, օգտագործումից, բացահայտումից, խափանումից, փոփոխումից, ոչնչացումից, հարձակումից, կրկնօրինակումից, ձայնագրումից, տարածումից և այլ անօրինական ներթափանցումից կամ միջամտությունից, ինչպես նաև ապահովում է այդ տեղեկության հասանելիությունը, ամբողջականությունը, իսկությունը (authenticity), գաղտնիությունը և անհերքելիությունը (non-repudiation).

2) Լիազոր մարմին – «Կառավարության կառուցվածքի և գործունեության մասին» օրենքի հավելվածի 16-րդ կետով թվարկված ոլորտներում քաղաքականություն մշակող և իրականացնող պետական կառավարման համակարգի մարմին (այսուհետ՝ Լիազոր մարմին)։

3) Ինքնավար մարմին – «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով նախատեսված տեղեկատվական համակարգերի կարգավորման հանձնաժողով (այսուհետ՝ Ինքնավար մարմին)․

4) տեղեկատվական համակարգի անվտանգություն՝ տեղեկատվական համակարգի կարողություն՝ դիմակայելու ցանկացած իրադրության, որը վտանգում է այդ համակարգում պահպանված, մշակված, ձեռք բերված կամ փոխանցված տվյալների հասանելիությունը, իսկությունը, ամբողջականությունը, գաղտնիությունը և անհերքելիությունը կամ այդ համակարգով առաջարկվող կամ այդ համակարգի միջոցով հասանելի դարձվող ծառայությունները․

5) կրիտիկական տեղեկատվական ենթակառուցվածք՝ կենսական նշանակության ոլորտներում շահագործվող ավտոմատացված կառավարման համակարգեր, տեղեկատվական համակարգեր, սարքավորումներ կամ դրանց մի մասը, որոնց խափանումը կամ ոչնչացումը կարող է սպառնալիքներ ստեղծել ազգային անվտանգության, պաշտպանության, տնտեսության, սոցիալական  բարեկեցության, բնակչության առողջության, շրջակա միջավայրի համար.

6) կենսական նշանակության ոլորտ՝ ոլորտ, որն ունի առանցքային նշանակություն բնակչության բնականոն գործունեության, տնտեսական ակտիվության, պետական անվտանգության, հանրային առողջության և անվտանգության կամ շրջակա միջավայրի պահպանման, Հայաստանի Հանրապետության կենսական նշանակության այլ շահերի պաշտպանության համար.

7)ծառայություն մատուցող՝ սույն օրենքի 1-ին հոդվածի 3-րդ մասում նշված իրավաբանական անձ կամ անհատ ձեռնարկատեր, պետական կառավարման կամ տեղական ինքնակառավարման մարմին.

8) թվային ենթակառուցվածք՝ սույն օրենքի իմաստով էլեկտրոնային առևտրային հարթակ, առցանց որոնման համակարգ, ամպային հաշվողական համակարգ, էլեկտրոնային թվային ստորագրության ստեղծման կամ ստուգման միջոցներ, էլեկտրոնային թվային ստորագրության հավաստագրերի տրամադրման և էլեկտրոնային թվային ստորագրությունների հետ կապված այլ ծառայություններ, էլեկտրոնային հաղորդակցության ծառայություն, հանրային էլեկտրոնային հաղորդակցության ծառայություն, ինտերնետային հասանելիության ծառայություն, Հայաստանի վերին մակարդակի ազգային դոմեյն հանդիսացող դոմենային տիրույթի ռեգիստր․

9) էլեկտրոնային առևտրային հարթակ՝ սույն օրենքի իմաստով ծառայություն, որը թույլ է տալիս սպառողներին և արտադրողներին «Առևտրի և ծառայությունների մասին» և  «Սպառողների իրավունքների պաշտպանության մասին» օրենքներով սահմանված պահանջների պահպանմամբ ինտերնետային կայքում, էլեկտրոնային հավելվածում կամ համանման այլ միջոցներով կնքել առցանց վաճառքի կամ սպասարկման էլեկտրոնային պայմանագրեր․

10) առցանց որոնման համակարգ՝ թվային ծառայություն, որն օգտատերերին թույլ է տալիս հարցումներ մուտքագրել բոլոր վեբ-կայքերում կամ միայն որոշակի լեզվով վեբ-կայքերում որոնումներ կատարելու նպատակով` հիմնաբառի, ձայնային հարցման, արտահայտության կամ այլ ձևով մուտքագրման տեսքով և ներկայացնում է արդյունքները  ցանկացած ձևաչափով, որում կարելի է գտնել հայցվող բովանդակության հետ կապված տեղեկությունը.

11) ամպային հաշվողական ծառայություն՝ տվյալները և կիրառական ծրագրերը պահպանելու համար կիրառվող տեխնոլոգիա, որն աշխատում է ցանցի (առանձնացված կամ համացանցի) և վիրտուալ սերվերների միջավայրում և որն ամպային տեխնոլոգիայի կիրառմամբ հնարավորություն է տալիս մուտք գործել համօգտագործվող և մասշտաբային հաշվողական ռեսուրսների մի խումբ՝ առանց համակարգը փոփոխելու.

12) կիբեռսպառնալիք՝ ցանկացած հանգամանք, իրադրություն կամ գործողություն կամ անգործություն, այդ թվում՝ տեղեկատվության չարտոնված մուտք, ոչնչացում, բացահայտում, փոփոխում կամ ծառայության մերժում, որը կարող է վնասել, խափանել, վտանգել կամ որևէ այլ կերպ բացասաբար ազդել կրիտիկական տեղեկատվական ենթակառուցվածքի կամ տեղեկատվական համակարգի անխափան աշխատանքի կամ դրանք օգտագործողների կամ այլ անձանց վրա.

13) կիբեռհարձակում՝ կրիտիկական տեղեկատվական ենթակառուցվածքի կամ տեղեկատվական համակարգի աշխատանքը խափանելու, դրանցում մշակվող տվյալներին չարտոնված հասանելիություն ստանալու կամ ամբողջականության վրա բացասաբար ազդելու նպատակով դիտավորությամբ (ուղղորդված) իրականացվող գործողությունների ամբողջություն,

14) կիբեռմիջադեպ՝ կրիտիկական տեղեկատվական ենթակառուցվածքում, տեղեկատվական համակարգում տեղի ունեցող ցանկացած գործողություն կամ միջամտություն, որն անխուսափելիորեն վտանգում կամ բացասաբար է ազդում կրիտիկական տեղեկատվական ենթակառուցվածքի կամ տեղեկատվական համակարգի կիբեռանվտանգության, ինչպես նաև դրանց շարունակական, անխափան և անվտանգ օգտագործման վրա.

15) ազգային համակարգչային արտակարգ իրավիճակների արձագանքման թիմ (CERT)՝ Ինքնավար մարմնի փորձագետների խումբ, որն իրականացնում է կիբեռմիջադեպերի կառավարումը՝ համակարգումը, վերլուծությունը, կանխումը, արձագանքումը, լուծումը, հետևանքների վերացումը.

16) կարգավորող և վերահսկող այլ մարմին` օրենքով նախատեսված դեպքերում և կարգով ծառայություն մատուցողի գործունեության ոլորտը կարգավորող (նշանակող, որակավորում տվող կամ այլ կերպ գործունեության թույլտվություն տրամադրող, լիցենզավորող), վերահսկողություն, հսկողություն իրականացնող  մարմին.

17)կիբեռանվտանգության ապահովման ծառայություն մատուցող՝ իրավաբանական կամ ֆիզիկական անձ, ով մատուցում է կիբեռանվտանգության ապահովման ծառայություններ, ինչպես նաև սույն օրենքով նախատեսված դեպքերում պետական մարմիներ.

18) համակարգիչ` սարք, որը պահպանում, փոխանցում և մշակում է թվային տվյալներ` ծրագրային ապահովման կամ հրահանգների հաջորդականության հիման վրա և թվային տվյալների պահպանման, փոխանցման կամ հաղորդակցության համար կիրառվող ցանկացած այլ սարքավորում, որն օգտագործվում է տվյալ սարքի հետ համակցված.

19) ռիսկ՝ կիբեռմիջադեպի հետևանքով առաջացած կորստի կամ խափանման հավանականություն, որն արտահայտվում է այդպիսի կորստի կամ խափանման մեծության և կիբեռմիջադեպ տեղի ունենալու հավանականության համակցությամբ.

20) խոցելիություն՝ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի թույլ կողմ կամ թերություն, որն հնարավորություն է ստեղծում կիբեռսպառնալիքի համար․

21) կիբեռանվտանգության մասնագետ՝ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության պահանջների պահպանման համար ծառայություն մատուցողի կողմից նշանակված պատասխանատու անձ (կամ անձինք)․

22) կիբեռհիգիենա` կիբեռանվտանգության միջոցառումների ամբողջություն, որն ուղղված է կրիտիկական տեղեկատվական ենթակառուցվածքի, տեղեկատվական համակարգերի տվյալների անվտանգության և ամբողջականության պահպանմանն ու բարելավմանը․

23) տեղեկատվական համակարգ - էլեկտրոնային հաղորդակցության ցանց կամ ցանկացած սարք կամ փոխկապակցված կամ հարակից (կապակցվող) սարքերի խումբ կամ տեխնիկական և ծրագրաապարատային միջոցների ամբողջություն, որոնցից մեկը կամ մի քանիսը միասին կատարում են թվային տվյալների ինքաշխատ մշակում, կամ թվային տվյալներ, որոնք պահվում, մշակվում, ձեռք են բերվում կամ փոխանցվում են սույն ենթակետում նշված միջոցներով` նրանց օգտագործման, պաշտպանության և սպասարկման նպատակով։

Հոդված 4. Կիբեռանվտանգության ապահովման սկզբունքները

 1․ Կիբեռանվտանգության ապահովումն իրականացվում է հետևյալ սկզբունքներով․

1) անհատականության սկզբունք` տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի անվտանգության ապահովումը կազմակերպում է ծառայություն մատուցողը.

2) համապարփակ պաշտպանության սկզբունք՝ ծառայություն մատուցողը պետք է գնահատի իր կողմից օգտագործվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի վրա հնարավոր ռիսկերը, կազմի ռիսկերի գնահատման սանդղակ, որոշի հավանական կիբեռմիջադեպի հետևանքների ծանրությունը, ազդեցության մաշտաբները, տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի անխափան շահագործման կամ հետևանքների վերացման համար անհրաժեշտ ֆինանսական միջոցների չափը և մշակի կիբեռմիջադեպերի կանխարգելման միջոցառումների ծրագիր.

3) բացասական ազդեցությունը նվազագույնի հասցնելու սկզբունք՝ կիբեռմիջադեպի դեպքում ծառայություն մատուցողը պետք է սույն օրենքով և կիբեռանվտանգության ապահովման ներքին կանոնակարգով սահմանված համապատասխան քայլեր և միջոցներ ձեռնարկի կիբեռմիջադեպի արագ սրացումը (ազդեցության մասշտաբների ընդլայնումը), այլ համակարգերում դրա հնարավոր տարածումը կանխելու համար.

4) նվազագույն հասանելիության սկզբունք (least privilege)՝ ծառայություն մատուցողը պետք է ապահովի, որ յուրաքանչյուր ոք կամ որևէ ավտոմատացված գործընթաց տեղեկատվական համակարգին կամ կրիտիկական տեղեկատվական ենթակառուցվածքին կամ դրանում պահպանվող տվյալների ունենա ոչ ավելի հասանելիություն, որքան անհրաժեշտ է իր աշխատանքային պարտականությունների կամ գործառույթների պատշաճ իրականացման համար.

5) Տվյալների գաղտնիության սկզբունք՝ տվյալները պետք է հասանելի լինեն միայն այն անձանց համար, ովքեր ունեն համապատասխան մուտքի թույլտվություն․

6) համագործակցության սկզբունքը` կիբեռանվտանգության ապահովման, կիբեռհարձակումների, կիբեռսպառնալիքների կանխման և խափանման, ինչպես նաև կիբեռմիջադեպերի լուծման, հետևանքների վերացման կամ մեղման ընթացքում ծառայություն մատուցողները պետք է ապահովեն բավարար համագործակցություն պետական իրավասու մարմինների և հասարակության հետ, ինչպես նաև միմյանց միջև՝ հաշվի առնելով նաև տեղեկատվական համակարգերի կամ կրիտիկական տեղեկատվական ենթակառուցվածքների միջև փոխադարձ կապն ու փոխգործելիությունը.

7)ամբողջականության սկզբունք՝ ծառայություն մատուցողները պետք է պաշտպանեն տեղեկությունը չարտոնված փոփոխումից կամ ոչնչացումից՝ ապահովելով դրա անխաթարությունը, իսկությունը, հուսալիությունը, ամբողջականությունը և անհերքելիությունը.

8)հասանելիության սկզբունք՝ ծառայություն մատուցողները պետք է ապահովեն տեղեկության ժամանակին պատշաճ հասանելիությունը և օգտագործումը իրավասու անձանց կողմից:

Գ Լ ՈՒ Խ  2

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ՈԼՈՐՏԻ ՊԵՏԱԿԱՆ ԿԱՌԱՎԱՐՈՒՄԸ ԵՎ ԿԱՐԳԱՎՈՐՈՒՄԸ

Հոդված 6. Լիազոր մարմնի գործառույթները

 1. Լիազոր մարմնի գործառույթներն են՝

1) կիբեռանվտանգության միասնական քաղաքականության և դրան առնչվող ոլորտային կարգավորող իրավական դաշտի, ներառյալ կիբեռանվտանգության ապահովման ոլորտի ռազմավարության և դրանից բխող միջոցառումների ծրագրի մշակում.

2) հասարակության կիբեռհասունությանն ուղղված իրազեկման և կրթական միջոցառումների մշակում և իրականացում.

3) Հայաստանի Հանրապետության միջազգային համաձայնագրերով ստանձնած կիբեռանվտանգության ոլորտի միջազգային հանձնառությունների իրականացում.

4) միջազգային վարկանիշային զեկույցներում կիբեռանվտանգության ցուցանիշների մասնագիտական վերլուծություն, առաջընթացի ապահովում.

5) hամագործակցելով Ինքնավար մարմնի հետ՝ միջազգային ստանդարտների հիման վրա կիբեռանվտանգության ապահովման ազգային ստանդարտների մշակում և ներկայացում ստանդարտացման և չափագիտության ազգային մարմնի հաստատմանը.

6) կիրառելի միջազգային ստանդարտների ցանկի մշակում և ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը.

7) արտակարգ իրավիճակներում, արտակարգ կամ ռազմական դրության ժամանակ դրա տևողության ամբողջ ընթացքում տեղեկատվական համակարգերի և կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման միջոցառումների ձեռնարկում և դրանց իրականացման նկատմամբ հսկողություն ապահովում.

8) Կենսական նշանակության ոլորտներում կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը սահմանելու մասին Հայաստանի Հանրապետության կառավարության որոշման նախագծի մշակում և ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը․

9) կենսական նշանակության ոլորտներում ծառայությունների տեսակները ըստ տնտեսական գործունեության տեսակների դասակարգիչների սահմանելու մասին Հայաստանի Հանրապետության կառավարության որոշման նախագծի մշակում և ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը․

10) ծառայություն մատուցող չհամարվող իրավաբանական անձի կողմից սույն օրենքից բխող կիբեռանվտանգության ապահովման պարտավորություններ կամավոր ստանձնելու և դրանցից հրաժարվելու դեպքերի սահմանման մասին կարգի մշակում և ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը․

11) Կենսական նշանակության ոլորտում շահագործվող կրիտիկական տեղեկատվական ենթակառուցվածքների նույնականացման չափանիշները սահմանելու մասին Հայաստանի Հանրապետության կառավարության որոշման նախագծի մշակում և ներկայացում Հայաստանի Հանրապետության կառավարության հաստատմանը․

12) իրականացնում է օրենքով նախատեսված այլ լիազորություններ:

Հոդված 7. Կիբեռանվտանգության ոլորտում Ինքնավար մարմնի գործառույթները

1. Ինքնավար մարմինը՝ որպես միասնական կոնտակտային կետ, կարգավորում, կառավարում և հսկում է կիբեռմիջադեպերի գրանցման, կանխարգելման և լուծման, հետևանքների վերացմանն ուղղված գործողությունները, իրականացնում սույն օրենքի ու դրա հիման վրա ընդունված իրավական ակտերի պահանջների պահպանման նկատմամբ մշտադիտարկում և վերահսկողություն:
2. Ինքնավար մարմինն իրականացնում է հետևյալ գործառույթները.                                                                                                                                                                                                1) սույն օրենքով սահմանված գործառույթների շրջանակում արձագանքում է կիբեռմիջադեպերին,                                                                                                                                2)սահմանում և դասակարգում է կիբեռմիջադեպերի արձագանքման առաջնահերթությունները.                                                                                                                                                3) գրանցում է կիբեռմիջադեպերը, վարում է կիբեռմիջադեպերի գրանցամատյանի.                                                                                                                                                                    4) վերլուծում է կիբեռմիջադեպեր.                                                                                                                                                                                                                                  5)կազմակերպում է կիբեռմիջադեպերի կանխարգելման միջոցառումները.                                                                                                                                                                6)ծառայություն մատուցողների կողմից ռիսկերի գնահատման մեթոդական աջակցություն է ցուցաբերում.                                                                                                        7)կիբեռանվտանգության ոլորտում վարում է վիճակագրական հաշվետվություններ.                                                                                                                                                      8)բարձրացնում է կիբեռանվտանգության խնդիրների վերաբերյալ հասարակության տարբեր խմբերի շրջանում իրազեկվածությունը՝ այդ թվում կիբեռհիգիենայի պահպանման մասով, մշակում և իրականացնում է իրազեկման և կրթական ծրագրեր՝ համագործակցելով լիազոր մարմնի և կրթության ոլորտում պատասխանատու պետական մարմինների հետ, ինչպես նաև տրամադրում է խորհրդատվություն կիբեռանվտանգության խնդիրների վերաբերյալ իրազեկվածության բարձրացում իրականացնող պետական մարմիններին․                                            9)մշակում և հաստատում է ծառայություն մատուցողների կողմից շահագործվող տեղեկատվական համակարգերի (այդ թվում՝ կիրառվող տեխեկատվական տեխնոլոգիաների, ծառայությունների, գործընթացների և արտադրանքների մասով՝ հաշվի առնելով սույն օրենքի 16-րդ հոդվածի 2-րդ մասով թվարկված ոլորտների, ենթաոլորտների կամ ծառայության տեսակների առանձնահատկությունները) և կրիտիկական տեղեկատվական ենթակառուցվածքների կիբեռանվտանգության ապահովման նվազագույն պահանջները.                          10)մշակում և հաստատում է ծառայություն մատուցողների կողմից կիբեռմիջադեպերի ծանուցման և հաշվետությունների ներկայացման կարգը.                                                        11)մշակում և հաստատում է կիբեռանվտանգության աուդիտի իրականացման կարգը, կիբեռանվտանգության աուդիտի հաշվետվության չափորոշիչները, կիբեռանվտանգության աուդիտորների որակավորման կարգը և կիբեռնավտանգության աուդիտ իրականացնող անձանց ներկայացվող պահանջները.                                                                                  12)մշակում, հաստատում և իրականացնում է կիբեռվարժանքների տարեկան ծրագրեր.                                                                                                                                          13)տեղեկատվական համակարգեր կամ կրիտիկական տեղեկատվական ենթակառուցվածքներ օգտագործող պետական մարմիններում կազմակերպում է կիբեռվարժանքների իրականացման տարեկան ծրագրով նախատեսված միջոցառումների.                                                                                                                                                                                              14)հնարավոր կիբեռմիջադեպերը կանխելու կամ ազդեցությունը նվազեցնելու նպատակով ապահովում է իրազեկում.                                                                                                            15)մշակում և հաստատում է սույն օրենքի և դրա հիման վրա ընդունված ենթաօրենսդրական իրավական ակտերով սահմանված պահանջների պահպանմանն առնչվող ուղեցույցներ.          16) իրականացնում է ծառայություն մատուցողների կողմից սույն օրենքով սահմանված պահանջների պահպանման նկատմամբ մշտադիտարկում օրենքով սահմանված կարգով,  մշակում և հաստատում է կիբեռանվտանգության ոլորտում մշտադիտարկման  ընթացակարգ.                                                                                                                                                          17)սույն օրենքով սահմանված իր իրավասությունների շրջանակում փոխգործակցության երկկողմ համաձայնագրերի կնքմամբ կամ առանց դրա համագործակցում է պետական այլ մարմինների, այդ թվում՝ ազգային անվտանգության հարցերով լիազորվածպետական մարմնի, անձնական տվյալների պաշտպանության բնագավառում և կիբեռհանցագործությունների դեմ պայքարի ոլորտում լիազոր մարմինների, ինչպես նաև օտարերկրյա պետություններում կիբեռանվտանգության ապահովման ոլորտում պատասխանատու մարմինների կամ համապատասխան համակարգչային արտակարգ իրավիճակների արձագանքման թիմերի հետ։ Օտարերկրյա պետություններում կիբեռանվտանգության ապահովման ոլորտում պատասխանատու մարմինների, միջազգային կազմակերպությունների հետ կնքվող  երկկողմ համաձայնագրերը նախապես համաձայնեցնում է լիազոր  մարմնի հետ.                                      18) իր գործունեության ընթացքում կիբեռմիջադեպի քրեաիրավական բնույթի վերաբերյալ կասկածներ ունենալու կամ բավարար հիմքեր ի հայտ գալու դեպքում իրավապահ մարմիններին ներկայացնում է հաղորդում.                                                                                                                                                                                                                                          19)օրենքով սահմանված կարգով ծառայություն մատուցողների նկատմամբ իրականացնում է վերահսկողություն, օժանդակում է օրենքով կարգավորող և վերահսկող այլ մարմինների կողմից իրականացվող վերահսկողությանը, այդ թվում՝ պատասխանատվություն կիրառելու միջնորդություն ներկայացնելով, որի քննությունը և դրա հիման վրա որոշման ընդունումը պարտադիր է. 20) ստեղծում և կառավարում է կիբեռանվտանգության մշտադիտարկման ազգային օպերատիվ կենտրոնը.                                                                                                        21)ներկայացում է առաջարկություններ Հայաստանի Հանրապետության կառավարության որոշմամբ հաստատված կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկում փոփոխություններ կամ լրացումներ կատարելու վերաբերյալ․                                                                                                                                                                                  22)կիբեռանվտանգության վերաբերյալ հարցերով փորձագիտական աջակցության ցուցաբերում Հայաստանի Հանրապետության կառավարությանը.                                                              23)մշակում և հաստատում է կիբեռմիջադեպերը կանխելու կամ ազդեցությունը նվազեցնելու նպատակով Ինքնավար մարմնի կողմից հասցեատերերին իրազեկման կարգ.                      24)մշակում և հաստատում է Ինքնավար մարմնի կողմից կիբեռմիջադեպերի գրանցամատյանի վարման կարգ.                                                                                                          25)մշակում և հաստատում է Ինքնավար մարմնի կողմից ծառայություն մատուցողների գրանցամատյանի վարման կարգ․                                                                                                        26) մշակում և հաստատում է կիբեռմիջադեպերի վերաբերյալ տեղեկության հավաքագրման և պահպանման կարգ.                                                                                                        27)մշակում և հաստատում է ռիսկերի և կիբեռմիջադեպերի գնահատման չափանիշներ, ինչպես նաև ծառայություններ մատուցողների կողմից կիբեռանվտանգության ապահովման ներքին կանոնակարգերին ներկայացվող պահանջներ․                                                                                                                                                                                                                      28)պետական մարմինններում և տեղական ինքնակառավարման մարմիններում իրականացնում է կիբեռանվտանգության գործառնությունների կենտրոնի ծառայություններ. 29)իրականացնում է օրենքով նախատեսված այլ լիազորություններ:

3․ Ինքնավար մարմինը իրավունք ունի օտարերկրյա պետության կիբեռանվտանգության ապահովման ոլորտում պատասխանատու մարմիններին կամ համապատասխան համակարգչային արտակարգ իրավիճակների արձագանքման թիմերին կամ միջազգային կազմակերպություններին փոխանցել կիբեռմիջադեպի կանխմանն ու լուծմանը վերաբերող տեղեկությունը սույն օրենքով նախատեսված գործառույթների կատարման համար, եթե նման տեղեկության փոխանցումը չի վնասում ազգային անվտանգությանը, Հայաստանի Հանրապետության օրինական շահերին կամ քրեական վարույթին: Այն դեպքում, երբ սույն կետի համաձայն փոխանցվող տեղեկությունը որևէ ձևով առնչվում է պաշտպանության, ազգային անվտանգության, կամ արտաքին հարաբերությունների ոլորտին, ապա տեղեկության փոխանցումը նախապես գրավոր համաձայնեցվում է, համապատասխանաբար, պաշտպանության, արտաքին հարաբերությունների լիազոր մարմինների, ինչպես նաև ազգային անվտանգության հարցերով լիազորված պետական մարմնի հետ, իսկ քրեական վարույթին առնչվող տեղեկատվության փոխանցումը համաձայնեցվում է քրեական վարույթն իրականացնող մարմնի հետ։ Այն դեպքում, երբ սույն կետի համաձայն փոխանցվող տեղեկությունը հանդիսանում է անձնական տվյալ, ապա տեղեկության փոխանցումն իրականացվում է բացառապես միջազգային պայմանագրերին համապատասխան։

4․ Ինքնավար մարմինը վարում է ծառայություն մատուցողների գրանցամատյան։ Ըստ անհրաժեշտության, բայց ոչ պակաս քան երկու տարին մեկ անգամ Ինքնավար մարմինը վերանայում և թարմացնում է իր կողմից հաստատված ծառայություն մատուցողների գրանցամատյանի տվյալները:

5․ Սույն օրենքի 16-րդ հոդվածի 2-րդ մասում թվարկված ոլորտներում պետական քաղաքականություն մշակող և իրականացնող մարմինները իրենց իրավասությունների շրջանակում Ինքնավար մարմնին ցուցաբերում են տեղեկատվական և խորհրդատվական աջակցություն՝ սույն հոդվածի 4-րդ մասում նշված ծառայություն մատուցողների գրանցամատյանի վարման համար։

6․ Ինքնավար մարմինը ՀՀ կառավարության որոշմամբ սահմանված կարգով և դեպքերում իրականացնում է պետական և տեղական ինքնակառավարման մարմին հանդիսացող ծառայություն մատուցողների կիբեռանվտանգության ապահովումը։

7. Պետական մարմինններում և տեղական ինքնակառավարման մարմիններում իրականացվող կիբեռանվտանգության գործառնությունների կենտրոնի ծառայությունների շրջանակը սահմանվում է կիբեռանվտանգության ապահովման նվազագույն պահանջներով։

Հոդված 8. Արտակարգ իրավիճակներում, արտակարգ դրության կամ ռազմական դրության ժամանակ տեղեկատվական համակարգերի և կրիտիկական տեղեկատվական ենթակառուցվածքների  կիբեռանվտանգության ապահովման միջոցառումները

1. Արտակարգ իրավիճակներում, արտակարգ կամ ռազմական դրության ժամանակ դրա տևողության ամբողջ ընթացքում տեղեկատվական համակարգերի և կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման միջոցառումներ ձեռնարկում և դրանց կատարման նկատմամբ հսկողություն իրականացնող պատասխանատու պետական մարմին հանդիսանում է լիազոր մարմինը՝ համագործակցելով Ինքնավար մարմնի և ազգային անվտանգության հարցերով լիազորված պետական մարմնի հետ:
2. Արտակարգ իրավիճակներում, արտակարգ կամ ռազմական դրության ժամանակ տեղեկատվական համակարգերի և կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման միջոցառումների ձեռնարկման և դրանց հսկման, ինչպես նաև Ինքնավար մարմնի ու ազգային անվտանգության հարցերով լիազորված պետական մարմնի հետ համագործակցության կարգը հաստատում է Հայաստանի Հանրապետության կառավարությունը:

ԳԼՈՒԽ 3

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ԿԱՆՈՆՆԵՐ

Հոդված 9․ Ծառայություն մատուցողի պարտականությունները

 1․ Ծառայություն մատուցողը պարտավոր է անընդհատ ռեժիմով (շաբաթը յոթ օր, քսանչորս ժամ) ձեռնարկել կազմակերպչական, տեխնիկական  միջոցներ ՝

1) կիբեռսպառնալիքները հայտնաբերելու և կառավարելու.

2)կիբեռմիջադեպը կանխելու, հայտնաբերելու, արգելափակելու, լուծելու.

3) տեղեկատվական համակարգերի և կրիտիկական տեղեկատվական ենթակառուցվածքների անխափան գործունեության ապահովման համար ռիսկերը կառավարելու, կիբեռմիջադեպի հետևանքները նվազագույնի հասցնելու կամ այլ ածանցյալ կամ հնարավոր ազդեցությունները կանխելու և մեղմելու համար:

2.Ծառայություն մատուցողը կիբեռանվտանգության ապահովման համար պարտավոր է ունենալ կիբեռանվտանգության ապահովման ներքին կանոնակարգ, որով սահմանվում է ծառայություն մատուցողի կողմից կիբեռանվտանգության ոլորտում որդեգրած քաղաքականությունը, ինչպես նաև տրվում է ծառայություն մատուցողի կողմից սույն օրենքի և դրա հիման վրա ընդունված ենթաօրենսդրական նորմատիվ իրավական ակտերով սահմանված պահանջների պահպանման մանրամասն  նկարագրությունը:

3․ Ծառայություն մատուցողը՝

1) իրականացնում է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի ռիսկերի գնահատում, կազմում ռիսկերի գնահատման սանդղակ, որոշում հավանական կիբեռմիջադեպի հետևանքների ծանրությունն ու ազդեցության մասշտաբները, հաստատում կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագիր՝ հիմնվելով Ինքնավար մարմնի կողմից հաստատված ռիսկերի և կիբեռմիջադեպերի գնահատման չափանիշների, կիբեռանվտանգության ապահովման ներքին կանոնակարգերին ներկայացվող պահանջների վրա.

2) ռիսկերի կառավարման համար ձեռնարկում է կազմակերպչական և տեխնիկական միջոցներ, այդ թվում` տեղեկատվական համակարգերի ֆիզիկական անվտանգության ապահովման, համակարգիչներին կամ տեղեկատվություն մշակող, պահպանող կամ փոխանցող այլ սարքավորումներին չթույլատրված ֆիզիկական մուտքը, վնասումը կամ միջամտությունը կանխելու համար․

3) ապահովում է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի վրա գնահատված հնարավոր կիբեռսպառնալիքների փաստաթղթավորումը, անվտանգության կանոնների և միջոցների կիրառման նկարագրությունը․

4) ապահովում է կիբեռանվտանգության ապահովման ներքին կանոնակարգով սահմանված պահանջներին համապատասխան ամենօրյա մշտադիտարկում՝ տեղեկատվական համակարգին կամ կրիտիկական տեղեկատվական ենթակառուցվածքին ուղղված կիբեռհարձակումների, կիբեռսպառնալիքների, խոցելիություններ հայտնաբերելու նպատակով (այդ թվում՝ կիրառվող տեղեկատվական տեխնոլոգիաները, ծառայությունները, գործընթացները և արտադրանքները, որոնց վնասումը կամ խափանումը սպառնում է տեղեկատվական համակարգի և կրիտիկական տեղեկատվական ենթակառուցվածքի անվտանգությանը)․

5) կիբեռմիջադեպերի մասին սույն օրենքի 11-րդ հոդվածով սահմանված կարգով և դեպքերում ծանուցում է Ինքնավար մարմնին, ինչպես նաև կիբեռմիջադեպի հետևանքով հնարավոր ազդեցության ենթարկված անձանց․

6) միջոցներ է ձեռնարկում կիբեռմիջադեպի հետևանքները մեղմելու, դրա արագ (ազդեցության մասշտաբների ընդլայնումը) կանխելու համար՝ անհրաժեշտության դեպքում իրականացնելով տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի  օգտագործման, հասանելիության, մուտքի ամբողջական կամ մասնակի սահմանափակում.

7) վերահսկում է կիբեռմիջադեպին արձագանքելու, լուծելու, հետևանքները մեղմելու ուղղությամբ ձեռնարկված գործընթացները, գնահատում է դրանց կիրառման բավարար ու համարժեք լինելը կիբեռմիջադեպի հետևանքների ծանրությանն ու ազդեցության մաշտաբներին, փաստաթղթավորում է արդյունքները և կազմում է հաշվետվություններ, որոնք ենթակա են պահպանման ոչ պակաս, քան երեք տարի ժամկետով․

8) հավաքագրում է կիբեռմիջադեպերի վերաբերյալ տեղեկությունը և պահպանում այն դրա ստեղծման պահից ոչ պակաս, քան երեք տարի ժամկետով․

9) իր անձնակազմի համար կազմակերպում է կիբեռանվտանգության վերաբերյալ ընդհանուր և հատուկ դասընթացներ, իրականացնում է կիբեռվարժանքներ՝ համագործակցելով Լիազոր և Ինքնավար մարմինների հետ, ապահովում է իր մասնակցությունն Ինքնավար մարմնի կողմից կազմակերպվող վերապատրաստումներին և կիբեռանվտանգության ոլորտում կարողությունների զարգացման այլ միջոցառումներին.

10 կիբեռմիջադեպի արդյունքում կամ դրա ընթացքում հանցագործության հատկանիշներ ի հայտ գալու դեպքում օրենքով սահմանված կարգով հաղորդում է ներկայացնում իրավապահ մարմիններին․

11) ապահովում է կիբեռհիգիենայի հիմնական պահանջների կատարումը զրոյական վստահության սկզբունքի (չվստահել ոչ մեկին, ստուգել ամեն ինչ) հիման վրա, ինչպիսիք են՝ ծրագրային ապահովման թարմացումները, տեղեկատվական համակարգ մուտքի կառավարումը, անձնակազմի ուսուցումը և կիբեռսպառնալիքների, ֆիշինգի (phishing) մասին տեղեկացվածության բարձրացումը․

12) կատարում է սույն օրենքով, դրա հիման վրա ընդունված ենթաօրենսդրական նորմատիվ իրավական ակտերով, ծառայություն մատուցողի ներքին կանոնակարգով սահմանված այլ պարտականություններ․

13) ապահովում է կիբեռանվտանգության ապահովման նվազագույն պահանջների կատարումը։

Հոդված 10. Կիբեռանվտանգության համար պատասխանատու անձը (կիբեռանվտանգության մասնագետ)

1. Ծառայություն մատուցողը պարտավոր է նշանակել կիբեռանվտանգության մասնագետ կամ մասնագետներ, բացառությամբ սույն օրենքի 19-րդ հոդվածով նախատեսված դեպքի:
2. Կիբեռանվտանգության մասնագետի մասնագիտական համապատասխանության չափանիշները, որակավորման կարգը և պարտականությունները սահմանվում են Ինքնավար մարմնի կողմից հաստատվող կիբեռանվտանգության ապահովման նվազագույն պահանջներով: Ինքնավար մարմինը կարող է սահմանել կիբեռանվտանգության մասնագետին որակավորման այլ մարմինների, այդ թվում՝ օտարերկրյա, կողմից տրված որակավորման ճանաչման կարգ։
3. Ինքնավար մարմինը որակավորում է կիբեռանվտանգության մասնագետին՝ մասնագիտական համապատասխանության չափանիշներին համապատասխան կամ սահմանված կարգով ճանաչում է որակավորումը: 

Հոդված 11. Կիբեռմիջադեպի մասին ծանուցումը

 1․ Ծառայություն մատուցողը, անկախ այն հանգամանքից, թե տեղեկատվական համակարգը կամ կրիտիկական տեղեկատվական ենթակառուցվածքը շահագործվում է իր, թե այլ անձի կողմից կամ տեղակայված է իր, թե այլ անձի մոտ, պարտավոր է կիբեռմիջադեպի մասին իրեն հայտնի դառնալուց հետո անհապաղ, բայց ոչ ուշ, քան 24 ժամվա ընթացքում Ինքնավար մարմնին ծանուցել այն կիբեռմիջադեպի մասին,

1) որն էական ազդեցություն ունի տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի շարունակական և անխափան գործունեության կամ դրանց անվտանգ օգտագործման  վրա, կամ

2) որի էական ազդեցությունը տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի շարունակական և անխափան գործունեության կամ դրանց անվտանգ օգտագործման վրա թեև տվյալ պահին հնարավոր չէ գնահատել կամ ակնհայտ չէ, բայց ողջամտորեն կարող է ենթադրվել,

2․ Կիբեռմիջադեպը էական ազդեցություն ունի, եթե բավարարում է հետևյալ պայմաններից առնվազն մեկին.

1) կիբեռմիջադեպը սպառնում է մարդու կյանքին և առողջությանը, պաշտպանությանը, ազգային ​​անվտանգությանը, միջազգային հարաբերություններին, տնտեսությանը, շրջակա միջավայրին, հասարակական կարգին.

2) կիբեռմիջադեպի հետևանքների ծանրության աստիճանը սույն օրենքի 9-րդ հոդվածի 3-րդ մասի 1-ին կետի համաձայն ռիսկերի գնահատման սանդղակով համարվում է բարձր.

3) Սույն օրենքի 9-րդ հոդվածի 2-րդ մասով սահմանված կիբեռանվտանգության ապահովման ներքին կանոնակարգով կամ կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագրով կամ ծառայության շարունակականությունը կամ անվտանգությունը նկարագրող մեկ այլ փաստաթղթով կամ իրավական ակտով (եթե այդպիսին առկա է) նախատեսված է նման կիբեռմիջադեպին արձագանքելու արտակարգ միջոցառումների անհապաղ ձեռնարկում․

4) կիբեռմիջադեպի հետևանքով հնարավոր չէ վերականգնել  տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի միջոցով մատուցվող ծառայության շարունակական, անխափան, անվտանգ աշխատանքը՝ օրենսդրությամբ կամ կնքված պայմանագրով նախատեսված առավելագույն թույլատրելի ժամանակահատվածում.

5) կիբեռմիջադեպի պատճառով խաթարվել է այլ ծառայություն մատուցողի ծառայության շարունակականությունը, անխափանությունը կամ անվտանգ օգտագործումը.

6) կիբեռմիջադեպի պատճառով ծառայություն մատուցողը, փոխկապակցված այլ ծառայություն մատուցողը կամ համապատասխան ծառայությունից օգտվողները կրել կամ կարող են կրել զգալի նյութական կամ ոչ նյութական վնաս:

7)ցանկացած այլ անօրինական ներթափանցում կամ միջամտություն, որը ելնելով իր բնույթից, նպատակից, ծագման աղբյուրից, մասշտաբից կամ քանակից կամ դրա կանխարգելման համար պահանջվող ռեսուրսներից և միջոցներից կամ դրանց բավարար համակցությամբ սպառնում է տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի շարունակական և անխափան գործունեությանը կամ անվտանգ օգտագործմանը:

3․ Կիբեռմիջադեպի մասին ծանուցման հետ միասին ծառայություն մատուցողը հնարավորության դեպքում Ինքնավար մարմնին տեղեկություն է տրամադրում կիբեռմիջադեպի առաջացման հավանական պատճառների և հնարավոր հետևանքների մասին։

4. Կիբեռմիջադեպի մասին իրեն հայտնի դառնալուց հետո, բայց ոչ ուշ քան 72 ժամվա ընթացքում ծառայություն մատուցողը Ինքնավար մարմին է ներկայացնում կիբեռմիջադեպի վերաբերյալ թարմացված տեղեկատվություն՝ ներառյալ կիբեռմիջադեպի ծանրության և ունեցած հետևանքների մասով։
5. 5. Ինքնավար մարմինը կարող է սեփական հայեցողությամբ ծառայություն մատուցողից պահանջել ներկայացնել թարմացված տեղեկատվություն կիբեռմիջադեպի ծանրության, ձեռնարկված միջոցառումների և ունեցած հետևանքների մասին։
6. Սույն հոդվածի 1-ին մասի 1-ին կետով նախատեսված պարտավորությունը չի սահմանափակում ծառայություններ մատուցողի իրավունքը՝ ծանուցելու այն կիբեռմիջադեպերի մասին, որոնք տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի վրա չունեն էական ազդեցություն։
7. Ծառայություն մատուցողը պարտավոր է անհապաղ կամ նման հնարավորության բացակայության դեպքում երկու օրվա ընթացքում ծանուցել կիբեռմիջադեպի հնարավոր ազդեցության ենթարկված անձանց։
8. Եթե ծառայություն մատուցողը չի կատարում սույն հոդվածի 7-րդ մասում նշված ժամկետներում ծանուցման պարտավորությունը, Ինքնավար մարմինը կարող է ծանուցել կիբեռմիջադեպի հետևանքով հնարավոր ազդեցության ենթարկված անձանց կամ անմիջապես հանրությանը` այդ մասին տեղեկացնելով նաև ծառայություն մատուցողին:
9. Սույն հոդվածի 4-րդ մասում նշված տեղեկատվության ներկայացման պահից հետո մեկ ամսվա ընթացքում ծառայություն մատուցողը Ինքնավար մարմին է ներկայացնում վերջնական հաշվետվություն, որը ներառում է տեղեկություն կիբեռմիջադեպի առաջացման հնարավոր պատճառների, դրա լուծման համար կիրառված միջոցների, կիբեռմիջադեպի ծանրության, ունեցած հետևանքների, դրանց ազդեցության մասշտաբների, ծախսված ժամանակի, ֆինանսական միջոցների, դրա հետագա կանխարգելման ուղղությամբ ձեռնարկված քայլերի և միջոցառումների մասին:

Հոդված 12․ Կամավոր ծանուցում

1․ Սույն օրենքի իմաստով ծառայություն մատուցող չհանդիսացող անձինք (այդ թվում ֆիզիկական անձինք) Ինքնավար մարմին կարող են ծանուցել կիբեռմիջադեպի, կիբեռհարձակման, կիբեռսպառնալիքի, կամ տեղեկատվական համակարգի և կրիտիկական տեղեկատվական ենթակառուցվածքի խոցելիության մասին։

2․ Սույն հոդվածի 1-ին մասով և 11-րդ հոդվածի 7-րդ մասով նախատեսված ծանուցումները Ինքնավար մարմինը դիտարկում է սույն օրենքի 7-րդ հոդվածի 2-րդ մասի 10-րդ կետի համաձայն հաստատված կարգով, ընդ որում Ինքնավար մարմինը պարտավոր է ապահովել ծանուցող անձի գաղտնիությունը՝ բացառությամբ հանցագործությունների բացահայտման, նախաքննության և կանխարգելման հետ կապված միջոցառումների իրականացմամբ պայմանավորված համապատասխան իրավասու մարմիններին տեղեկատվության բացահայտման դեպքերի: Միևնույն ժամանակ կիբեռմիջադեպերի վերաբերյալ մեկից ավելի ծանուցումներ ներկայացվելու դեպքում Ինքնավար մարմինը առաջնահերթության կարգով դիտարկում է սույն օրենքով պարտադիր ներկայացման ենթակա ծանուցումները։

3․ Կամավոր ծանուցումը սույն հոդվածի 1-ին մասում նշված անձանց համար չի առաջացնում որևէ լրացուցիչ պարտավորություն, որը նրանց համար չէր առաջանա, եթե նրանք  Ինքնավար մարմին կամավոր ծանուցում չներկայացնեին, բացառությամբ այն պարտավորությունների, որոնք կապված են հանցագործությունների բացահայտման, նախաքննության և կանխարգելման հետ կապված միջոցառումների իրականացման հետ:

4. Սույն հոդվածի 1-ին մասում նշված տեղեկատվությունը ստանալուց հետո Ինքնավար մարմինն այդ մասին տեղեկացնում է ծառայություն մատուցողին։

 ԳԼՈՒԽ 4

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՈՒՄԸ

Հոդված 13. Կիբեռմիջադեպերի հայտնաբերումը, կանխարգելումը և լուծումը

1. Հայաստանի Հանրապետությունում (ազգային մակարդակում) կիբեռմիջադեպերի հայտնաբերումը, կանխարգելումն ու լուծումը, ինչպես նաև կիբեռմիջադեպերի լուծման ուղղությամբ ծառայություն մատուցողների գործողություների համակարգումը սույն օրենքով սահմանված կարգով ապահովում է Ինքնավար մարմինը, որի կազմում ձևավորվում է ազգային համակարգչային արտակարգ իրավիճակների արձագանքման թիմը (այսուհետ՝ CERT):
2. Կիբեռանվտանգության ապահովման համար առաջնահերթ են դիտարկվում սույն օրենքի 11-րդ հոդվածի 1-ին և 2-րդ մասերով նկարագրված կիբեռմիջադեպերի լուծումը և դրանց հետևանքների վերացումը:
3. Կիբեռմիջադեպերի հայտնաբերման, կանխարգելման ու լուծման խնդիրները լուծելիս Ինքնավար մարմինը կարող է համագործակցել նաև օտարերկրյա պետությունների համապատասխան համակարգչային արտակարգ իրավիճակների արձագանքման թիմերի կամ միջազգային կազմակերպությունների հետ (այդ թվում կիբեռանվտանգության ապահովմանը աջակցելու նպատակով)՝ Հայաստանի Հանրապետության միջազգային պայմանագրերով և սույն օրենքով սահմանված կարգով։
4. Ինքնավար մարմինը կրիտիկական տեղեկատվական ենթակառուցվածք տիրապետող ծառայություն մատուցողների մոտ, Ինքնավար մարմնի կողմից սահմանած կարգով, նախապես տեղեկացնելով այդ մասին, կարող է իրականացնել խոցելիության գնահատում և ներթափանցման թեստավորում, որն ուղղված է գնահատելու ծառայություն մատուցողների տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի պաշտպանվածությունը արտաքին ռիսկերից և հնարավոր խոցելիության մասին տեղեկացնել համապատասխան ծառայություն մատուցողին:
5. Կիբեռանվտանգության ապահովման նպատակով Ինքնավար մարմինը մշտադիտարկում է էլեկտրոնային կայքի տիրույթները (դոմեյները)՝ հայկական համացանցային հաղորդակարգի հասցեների (Internet Protocol Addresses) տարածքում և կապված Հայաստան երկրի կոդի հետ, վերլուծում է տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում տեղի ունեցած կիբեռմիջադեպերը և դրանց հնարավոր ազդեցությունը երկրի տնտեսության, շրջակա միջավայրի և մարդու կյանքի և առողջության վրա:
6. Կիբեռմիջադեպը կանխելու և լուծելու նպատակով Ինքնավար մարմինը իրազեկում է հասցեատերերին՝ նշելով այն միջոցները, որոնք անհրաժեշտ է ձեռնարկել՝ կիբեռմիջադեպի հետագա սրացումը կանխելու կամ ազդեցությունը նվազեցնելու համար:
7. Կիբեռսպառնալիքի դեպքում, որը Ինքնավար մարմնի դիտարկմամբ կարող է վերածվել էական ազդեցություն ունեցող կիբեռմիջադեպի, Ինքնավար մարմինը կարող է ծառություն մատուցողի մոտ իրականացնել կիբեռմիջադեպի համատեղ ուսումնասիրություն՝ համագործակցելով համապատասխան ծառայություն մատուցողին կարգավորող և վերահսկող այլ մարմնի հետ, ծառայություն մատուցողի համաձայնությամբ ունենալ դեպի տեղեկատվական համակարգեր կամ կրիտիկական տեղեկատվական ենթակառուցվածքներ մուտք գործելու հնարավորություն՝ ապահովելու համար կիբեռմիջադեպին պատշաճ հայտնաբերումը և արձագանքումը:
8. Ինքնավար մարմինը ծառայություն մատուցողների կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողների վերաբերյալ տեղեկություն փոխանցելիս պարտավոր է պահպանել տվյալ ծառայություն մատուցողների կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողների վերաբերյալ առևտրային, ինչպես նաև օրենքով պահպանվող այլ գաղտնիքը (այդպիսիք առկա լինելու դեպքում)։
9. Սույն օրենքով սահմանված՝ մշակվող, պահպանվող և փոխանցվող տվյալների համար պետք է ապահովվի անվտանգ պահպանության օրենսդրությամբ նախատեսված տեխնիկական և ծրագրային պայմաններ: Այդ տվյալները կարող են հասանելի լինել միայն օրենքով սահմանված կարգով իրավասու մարմինների կամ անձանց համար:
10. Ինքնավար մարմնի CERT թիմի անդամ չեն կարող լինել այն անձինք, ովքեր`

1) ունեն դատվածություն դիտավորությամբ կատարված հանցագործության համար,

2) ճանաչվել են սնանկ և ունեն չմարված (չներված) պարտավորություններ,

3) քրեական գործով ներգրավված են որպես մեղադրյալ կամ ամբաստանյալ։

Հոդված 14. Ինքնավար մարմնի  կողմից տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը սահմանափակելը

1. Էական ազդեցություն ունեցող կիբեռմիջադեպի դեպքում Ինքնավար մարմինը իրավասու է ձեռնարկել համապատասխան միջոցներ և ամբողջությամբ կամ մասնակիորեն սահմանափակել ծառայություն մատուցողի կողմից կիրառվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի օգտագործումը կամ դրանց հասանելիությունը՝ հետևյալ պայմանների համաժամանակյա առկայության դեպքում.                                                                                                                                                                                        1)կիբեռմիջադեպը վտանգի է ենթարկում կամ վնասում է այլ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգությանը, 2)ծառայություն մատուցողի կիբեռանվտանգության մասնագետը չի կարողանում կամ ժամանակին ի վիճակի չէ դիմակայել էական ազդեցություն ունեցող կիբեռմիջադեպին կամ վերացնել կիբեռմիջադեպի հետևանքով առաջացած այլ կիբեռսպառնալիքները,                                                                                                                                                                        3)Ինքնավար մարմնի պատճառաբանված և հիմնավորված եզրակացությամբ, այլ ճանապարհով հնարավոր չէ հակազդել կիբեռմիջադեպին կամ կանխել դրա հետագա սրացումը կամ առավել նվազ միջամտությամբ չեզոքացնել բացասական ազդեցությունը,                                                                                                                                                                                                4) կիբեռմիջադեպից բխող այլ կիբեռսպառնալիքներին հակազդելու կամ կիբեռմիջադեպի հետևանքները վերացնելու արդյունքում ծառայություն մատուցողին անհամաչափ վնաս չի պատճառվում։
2. Սույն հոդվածի 1-ին մասով նախատեսված միջոցի կիրառության մասին ծառայություն մատուցողն անհապաղ տեղեկացվում է Ինքնավար մարմնի կողմից:
3. Սույն հոդվածի 1-ին մասով նախատեսված միջոցի կիրառումը համաձայնեցնվում է համապատասխան ծառայություն մատուցողին կարգավորող և վերահսկող այլ մարմնի հետ: Այն դեպքում, երբ էական ազդեցություն ունեցող կիբեռմիջադեպի հետևանքները մեղմացնելու, դրա արագ սրացումը (ազդեցության մասշտաբների ընդլայնումը) կանխելու համար պահանջվում է հրատապ միջոցառումների ձեռնարկում և Ինքնավար մարմնի կողմից գնահատվում է, որ հապաղելու արդյունքում ՀՀ քաղաքացիներին կամ պետությանը պատճառվող վնասի չափերը կմեծանան, Ինքնավար մարմինը սույն հոդվածի 1-ին մասում նշված միջոցը կիրառում է՝ նախապես այն չհամաձայնեցնելով համապատասխան ծառայություն մատուցողին կարգավորող և վերահսկող այլ մարմնի հետ։ Սույն մասում նշված դեպքում կիրառված միջոցի մասին Ինքնավար մարմինը, առաջին իսկ հնարավորության դեպքում, սակայն ոչ ուշ քան էական ազդեցություն ունեցող կիբեռմիջադեպից հետո 1 (մեկ) օրվա ընթացքում տեղեկացնում է համապատասխան ծառայություն մատուցողին կարգավորող և վերահսկող այլ մարմնին՝ ներկայացնելով մանրամասն տեղեկատվություն կիբեռմիջադեպի բնույթի, ձեռնարկված քայլերի, դրանց անհրաժեշտության և անհետաձգելիության մասին։
4. Սույն հոդվածի 1-ին մասով նախատեսված միջոցի կիրառության դեպքում կազմվում է արձանագրություն:

Հոդված 15. Կիբեռմիջադեպերի գրանցամատյան

1. Կիբեռմիջադեպերի գրանցամատյանը Ինքնավար մարմնի կողմից վարվող տվյալների շտեմարան է, որտեղ մուտքագրվում են կիբեռմիջադեպերը նկարագրող տվյալներ՝ կիբեռմիջադեպերի վերաբերյալ տվյալները գրանցելու, դրանք կանխարգելելու, լուծելու, ծանուցումներ ուղարկելու, վերահսկողական և մշտադիտարկման, ինչպես նաև սույն օրենքից բխող այլ գործառույթների իրականացման նպատակով վերլուծելու համար։
2. Կիբեռմիջադեպերի գրանցամատյանում ստացվող, վերլուծվող և տրամադրվող տվյալները դասակարգվում են և դրանց գաղտնիության աստիճանը որոշվում է օրենքով սահմանված կարգով: Գրանցամատյանի մուտքը սահմանափակված է, և դրանում պահվող տվյալները նախատեսված են ներքին օգտագործման համար, եթե այլ բան նախատեսված չէ օրենքով: Կիբեռմիջադեպերի գրանցամատյանի  տեղեկությունները կարող են օգտագործվել միայն սույն օրենքով սահմանված  նպատակներով:
3. Ինքնավար մարմնի աշխատակիցները, որոնց հասանելի են կիբեռմիջադեպերի գրանցամատյանում ստացվող, վերլուծվող և տրամադրվող տվյալները, պահպանում են այդ տվյալների գաղտնիությունը իրենց պարտականությունների կատարման ընթացքում և դրանց դադարումից հետո, ինչպես նաև օրենքով սահմանված կարգով պատասխանատվություն են կրում դրա անօրինական հրապարակման կամ երրորդ անձի փոխանցելու համար:

ԳԼՈՒԽ 5

ԿԵՆՍԱԿԱՆ ՆՇԱՆԱԿՈՒԹՅԱՆ ՈԼՈՐՏՆԵՐԻ ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ԱՌԱՆՁՆԱՀԱՏԿՈՒԹՅՈՒՆՆԵՐԸ

Հոդված 16. Կենսական նշանակության ոլորտները և դրանցում շահագորշվող կրիտիկական տեղեկատվական ենթակառուցվածքները

1. Կենսական նշանակության ոլորտում շահագործվող կրիտիկական տեղեկատվական ենթակառուցվածքների նույնականացման չափանիշները հաստատում է Հայաստանի Հանրապետության կառավարությունը, որոնց մշակման համար Լիազոր մարմինը հիմք է ընդունում հետևյալ հանգամանքները՝                                                                                                                               1) կիբեռմիջադեպի հնարավոր ազդեցությունը մեկ կամ մի քանի կենսական նշանակության ծառայությունների մատուցման վրա.                                                                   2)կիբեռմիջադեպի տևողությունը և վտանգավորության աստիճանը տնտեսական ակտիվության, շրջակա միջավայրի, բնակչության բնականոն կենսագործունեության ապահովման համար, ազգային անվտանգության կամ բնակչության առողջության վրա.                                                                                                                                                                               3)անսարքության կամ խափանման հետևանքով հնարավոր հետևանքների մաշտաբները (համակարգային էֆեկտ).                                                                                             4)օգտվողների թիվը.5)կրիտիկական տեղեկատվական ենթակառուցվածքի վերականգման կամ նորի ստեղծման համար անհրաժեշտ ֆինանսական ծախսերի գնահատականը և տվյալ պահի հաշվեկշռային արժեքը:

2․ Կենսական նշանակության ոլորտներում շահագործվող կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը հաստատում է ՀՀ կառավարությունը, ըստ կիբեռանվտանգության ապահովման համար պատասխանատու պետական մարմինների։

3․ Սույն օրենքի իմաստով կենսական նշանակության ոլորտներ են՝                                                                                                                                                                                         1)Էներգետիկայի ոլորտ.                                                                                                                                                                                                                                                         2)Արտադրության ոլորտ (քիմիական, սննդամթերքի, զենքի և զինամթերքի, բժշկական, էլեկտրական, համակարգչային, էլեկտրոնային և օպտիկական սարքերի արտադրության)․     3)Տրանսպորտային ոլորտ.                                                                                                                                                                                                                                                                4)Ջրի մատակարարման և կեղտաջրերի հեռացման ոլորտ.                                                                                                                                                                                                              5)Կապի, այդ թվում՝ հեռահաղորդակցության ոլորտ․                                                                                                                                                                                                                          6)Փոստային կապի գործունեության ոլորտ․                                                                                                                                                                                                                                            7) Ֆինանսական ծառայությունների ոլորտ.                                                                                                                                                                                                                              8)Առողջապահության ոլորտ.                                                                                                                                                                                                                                                      9)Տեղեկատվական տեխնոլոգիաների ոլորտ, այդ թվում՝ թվային ենթակառուցվածքներ․                                                                                                                                                      10)Ռադիոակտիվ, ընդերքօգտագործման և վտանգավոր թափոնների կառավարման ոլորտ․                                                                                                                                                  11)Տիեզերական գործունեության ոլորտ․                                                                                                                                                                                                                                          12)Տվյալների շտեմարանների կառավարման և շահագործման ոլորտ․                                                                                                                                                                                          13)Արտակարգ իրավիճակներում անվտանգության ապահովման ոլորտ․                                                                                                                                                                                    14)Պետական կառավարման ոլորտ, այդ թվում՝ պետական մարմինների կողմից շահագործվող թվային ենթակառուցվածքներ։

4. Կենսական նշանակության ոլորտներում ծառայությունների տեսակները, ըստ տնտեսական գործունեության տեսակների դասակարգիչների, սահմանում է Կառավարությունը՝ ծառայություններ մատուցողներին նույնականացնելու համար:
5. Ինքնավար մարմինը, սույն հոդվածի 1-ին մասում նշված նույնականացման չափանիշների հիման վրա, կարող է առանձին տեղեկատվական համակարգեր ժամանակավորապես ճանաչել որպես կենսական նշանակության ոլորտում կրիտիկական տեղեկատվական ենթակառուցվածք, այդ մասին ծանուցել Ծառայություն մատուցողին և սահմանել միջոցառումներ, որոնք պետք է իրականացվեն։ Ծանուցման մեջ սահմանվում է ողջամիտ ժամկետ, դրանց իրականացման համար։ Ժամանակավորապես կրիտիկական տեղեկատվական ենթակառուցվածք ճանաչված տեղեկատվական համակարգի համար սահմանվող միջոցառումները պետք է համապատասխանեն խոցելիության գնահատման արդյունքում բացահայտված ռիսկերը նվազեցնելու նպատակին։

6․ Սույն հոդվածի 5-րդ մասում նշված ծանուցումից հետո չորս ամսվա ընթացքում Ինքնավար մարմինը միջոցներ է ձեռնարկում ժամանակավորապես կրիտիկական տեղեկատվական ենթակառուցվածք ճանաչված տեղեկատվական համակարգը սույն հոդվածի 2-րդ մասում նշված ցանկում ներառելու համար։ Սույն մասում նշված ժամկետի ավարտից հետո տեղեկատվական համակարգը չի հանդիսանում կրիտիկական տեղեկատվական ենթակառուցվածք։

Հոդված 17. Տեղեկատվական համակարգում և Կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման հիմնական պայմանները

1. Տեղեկատվական համակարգերում կիբեռանվտանգության ապահովման համար սույն օրենքով, այլ օրենքներով դրա հիման վրա ընդունված իրավական ակտերով և Ինքնավար մարմնի օրենքով նախատեսված կարգավորման գործառույթներից բխող պահանջների, այդ թվում՝ կիբեռանվտանգության ապահովման նվազագույն պահանջների, կատարումը պարտադիր է:
2. Կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովման համար, բացի սույն հոդվածի 1-ին մասով սահմանված պահանջների կատարումից, ծառայություն մատուցողները պարտավոր են սույն օրենքով սահմանված կարգով և ժամկետներում անցնել կիբեռանվտանգության աուդիտ՝ կիրառելի միջազգային ստանդարտի (ինչպիսին է օրինակ՝ ստանդարտացման միջազգային կազմակերպության (ISO) ստանդարտը) կամ ազգային ստանդարտի հիման վրա։ Կիրառելի միջազգային ստանդարտների ցանկը սահմանում է Հայաստանի Հանրապետության կառավարությունը։
3. Տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կառավարումը կամ շահագործումը (host of the system) կամ փոխգործելիությունը այլ անձի պատվիրակելու դեպքում, կիրառված կիբեռանվտանգության ապահովման միջոցների համար պատասխանատվություն կրում և Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանում է ծառայություն մատուցողը:
4. Տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովումը կիբեռանվտանգության ապահովման ծառայություն մատուցողի պատվիրակելու դեպքում, կիրառված կիբեռանվտանգության ապահովման միջոցների համար պատասխանատվություն կրում և Ինքնավար մարմնի հետ կոնտակտային կետ հանդիսանում է ծառայություն մատուցողը:

5․ Ծառայություն մատուցողը մինչև պատվիրակման համապատասխան պայմանագրի կնքումը և դրանից հետո.

1)    պարտավոր է գնահատել և կառավարել այն ռիսկերը, որոնք կարող են ազդել տեղեկատվական համակարգում կամ կրիտիկական տեղեկատվական ենթակառուցվածքում պահվող տվյալների գաղտնիության, հասանելիության կամ ամբողջականության վրա,

2)   պարտավոր է գնահատել և հավաստիանալ, որ կիբեռանվտանգության ապահովման ծառայություն մատուցողն ունի կիբեռանվտանգության ոլորտի օրենսդրությամբ սահմանված պահանջների վերաբերյալ բավարար գիտելիքներ և կիրառման փորձ, գործնական գիտելիքներ և փորձ, աշխատողների համար ստեղծված են բավարար պայմաններ՝ սույն օրենքի 4-րդ հոդվածով սահմանված սկզբունքների պահպանմամբ ծառայություններ մատուցելու համար։

6․ Ծառայություն մատուցողը տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության ապահովման պատվիրակումը նախապես համաձայնեցնում է Ինքնավար մարմնի հետ: Սույն մասով նախատեսված պատվիրակման համաձայնեցման կարգը և ներկայացվող տեղեկությունների ցանկը հաստատում է Ինքնավար մարմինը։

Հոդված 18. Կրիտիկական տեղեկատվական ենթակառուցվածքներում կիբեռանվտանգության ապահովման առանձնահատկությունները

1. Կրիտիկական տեղեկատվական ենթակառուցվածքում կիբեռանվտանգության պետական կառավարումը և կարգավորումն իրականացվում է հաշվի առնելով սույն օրենքի 16-րդ հոդվածի 2-րդ մասով սահմանված կրիտիկական տեղեկատվական ենթակառուցվածքների ցանկը:
2. Ծառայություն մատուցողը պարտավոր է սույն օրենքից բխող կազմակերպչական, տեխնիկական, ծրագրային միջոցներ ձեռնարկել կրիտիկական տեղեկատվական ենթակառուցվածքի կիբեռանվտանգության պատշաճ ապահովման համար, համագործակցել իրավասու պետական ​​մարմինների հետ, ստանալ տեղեկատվություն և խորհրդատվություն կիբեռմիջադեպերից պաշտպանության միջոցների, ինչպես նաև դրանց հայտնաբերման,  կանխարգելման, հետևանքների վերացման մեթոդների վերաբերյալ:

ԳԼՈՒԽ 6

 ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՊԱՀՈՎՄԱՆ ԾԱՌԱՅՈՒԹՅՈՒՆ ՄԱՏՈՒՑՈՂՆԵՐԻՆ ՆԵՐԿԱՅԱՑՎՈՂ ՊԱՀԱՆՋՆԵՐԸ

Հոդված 19. Կիբեռանվտանգության ապահովման ծառայություն մատուցողներին ներկայացվող պահանջները

1. Կիբեռանվտանգության ապահովումը կարող է պատվիրակվել կիբեռանվտանգության ապահովման ծառայություն մատուցողի, որը ունի կիբեռանվտանգության ոլորտում կիրառելի միջազգային ստանդարտով կամ ազգային ստանդարտով սահմանված չափանիշներին և պահանջներին համապատասխանությունը հավաստող փաստաթուղթ:
2. Կիբեռանվտանգության ապահովումն այլ պետություններում գրանցված և/կամ գործունեություն իրականացնող կիբեռանվտանգության ապահովման ծառայություն մատուցողի պատվիրակելու դեպքում, միջազգային ստանդարտով կամ ազգային ստանդարտով սահմանված չափանիշներին և պահանջներին համապատասխանությունը հավաստող փաստաթուղթ ճանաչում է Ինքնավար մարմինը, Հայաստանի Հանրապետությունում կիրառելի՝ միջազգային համագործակցության մասին համաձայնագրերի (պայմանագրերի) հիման վրա:
3. Կիբեռանվտանգության ապահովման ծառայություն մատուցողը պարտավոր է սույն օրենքի 20-րդ հոդվածով սահմանված կարգով և ժամկետներում անցնել կիբեռանվտանգության աուդիտ: Աուդիտի արդյունքներով կազմված հաշվետվությունն այն ստանալուց հետո տասնհինգ օրվա ընթացքում ներկայացվում է Ինքնավար մարմին և ծառայություն մատուցողին։
4. Կիրառելի միջազգային ստանդարտների ցանկը սահմանում է Հայաստանի Հանրապետության կառավարությունը։

ԳԼՈՒԽ 7

ԿԻԲԵՌԱՆՎՏԱՆԳՈՒԹՅԱՆ ԱՈՒԴԻՏ

Հոդված 20. Կիբեռանվտանգության աուդիտ

1. Կիբեռանվտանգության աուդիտի արդյունքում գնահատվում է ծառայության մատուցողի կիբեռանվտանգության ապահովման ներքին կանոնակարգի և դրա կիրարկման համապատասխանությունը սույն օրենքի պահանջներին:
2. Ծառայություն մատուցողը պարտավոր է երեք տարին մեկ անցնել կիբեռանվտանգության աուդիտ, եթե կիրառելի միջազգային ստանդարտով կամ ազգային ստանդարտով այլ ժամկետ սահմանված չէ։ Աուդիտի արդյունքներով կազմված հաշվետվությունը այն ստանալուց հետո մեկ ամսվա ընթացքում ներկայացվում է Ինքնավար մարմին։ Կիրառելի միջազգային ստանդարտների ցանկը սահմանում է Հայաստանի Հանրապետության կառավարությունը։
3. Ինքնավար մարմինը կիբեռանվտանգության աուդիտորների որակավորմանը ներկայացվող պահանջներին համապատասխան որակավորում է անհատների և կազմակերպությունների, ինչպես նաև իրականացնում Հայաստանի Հանրապետությունում ընդունելի` միջազգայնորեն ճանաչված աուդիտորի որակավորում ունեցող անձանց հաշվառում և վերջիններիս ցանկի հրապարակումը Ինքնավար մարմնի պաշտոնական կայքէջում։
4. Շահագործվող տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի առանձնահատկություններով պայմանավորված Ծառայություն մատուցողը կարող է իր ինքնուրույն որոշմամբ սույն հոդվածի 2-րդ մասում նշված ժամկետից շուտ անցնել կիբեռանվտանգության աուդիտ:
5. Այն դեպքում, երբ Ինքնավար մարմինն ուսումնասիրության արդյունքում պարզում է, որ ծառայություն մատուցողի մոտ կիբեռանվտանգության աուդիտը չի իրականացվել սույն օրենքի և/կամ կիբեռանվտանգության աուդիտի իրականացման կարգի պահանջներին համապատասխան, կարող է ծառայություն մատուցողից պահանջել անցնել կիբեռանվտանգության նոր աուդիտ:
6. Կիբեռանվտանգության աուդիտ իրականացնող անձը վճարվում է Ծառայություն մատուցողի կողմից։

ԳԼՈՒԽ 8

ՕՐԵՆՔԻ ԵՎ ԴՐԱ ՀԻՄԱՆ ՎՐԱ ԸՆԴՈՒՆՎԱԾ ԻՐԱՎԱԿԱՆ ԱԿՏԵՐԻ ՊԱՀԱՆՋՆԵՐԻ ԿԱՏԱՐՄԱՆ ՆԿԱՏՄԱՄԲ ՎԵՐԱՀՍԿՈՂՈՒԹՅՈՒՆԸ, ՄՇՏԱԴԻՏԱՐԿՈՒՄԸ, ՊԱՏԱՍԽԱՆԱՏՎՈՒԹՅՈՒՆԸ

Հոդված 21․ Օրենքի և դրա հիման վրա ընդունված իրավական ակտերի պահանջների պահպանման նկատմամբ վերահսկողությունը

1․ Ինքնավար մարմինը Օրենքի և դրա հիման վրա ընդունված իրավական ակտերի նկատմամբ վերահսկողություն իրականացնում է «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով սահմանված կարգով և դեպքերում։

Հոդված 22․ Ինքնավար մարմնի կողմից իրականացվող մշտադիտարկումը

1. Ինքնավար մարմինը սույն օրենքով սահմանված դեպքերում և կարգով իրականացնում է ծառայություն մատուցողների գործունեության մշտադիտարկում՝ (այսուհետ՝ մշտադիտարկում) ծառայություն մատուցողների տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում կիրառվող կիբեռանվտանգության ապահովման միջոցների համապատասխանությունը սույն օրենքի և դրա հիման վրա ընդունված ենթաօրենսդրական իրավական ակտերով սահմանված պահանջներին գնահատելու նպատակով:
2. Մշտադիտարկումը կարող է իրականացվել ինչպես Ինքնավար մարմնում, այնպես էլ ծառայություն մատուցողի տարածքում՝ ծառայություն մատուցողի գտնվելու կամ գործունեության իրականացման վայրում։
3. Մշտադիտարկում իրականացնելիս կարող են կիրառվել համակարգչային տեխնոլոգիաներ և այլ տեխնիկական կամ ծրագրային միջոցներ, էլեկտրոնային և այլ սարքավորումներ, կրիչներ, կատարվել այլ գործողություններ՝ ուղղված մշտադիտարկման իրականացմանն ու արդյունքների ամփոփմանը։
4. Ինքնավար մարմնի կողմից ծառայություն մատուցողի մոտ մշտադիտարկումն իրականացվում է հետևյալ եղանակներով.                                                                        1)կիբեռանվտանգության ապահովման նվազագույն պահանջներին համապատասխանության գնահատում.                                                                                                                   2)ռիսկերի գնահատման հիման վրա կազմված կիբեռմիջադեպերի կանխարգելման միջոցառումների ծրագրով նախատեսված առանձին միջոցառումների կատարման համապատասխանության գնահատում.                                                                                                                                                                                                                      3)որակավորված աուդիտորի կողմից կիբեռանվտանգության աուդիտի արդյունքներով կազմված հաշվետվության պահանջների կատարման համապատասխանության գնահատում.    4)Նախօրոք չպլանավորված համապատասխանության գնահատում՝ պայմանավորված կիբեռմիջադեպով կամ տեղեկատվական համակարգի կամ կրիտիկական տեղեկատվական ենթակառուցվածքի խոցելիության վերաբերյալ երրորդ անձանցից ստացված տեղեկությամբ կամ ծառայություն մատուցողի կողմից սույն օրենքի պահանջները խախտելու հանգամանքով։

4. Նախքան ծառայություն մատուցողի տարածքում մշտադիտարկման իրականացումը Ինքնավար մարմինն այդ մասին տեղեկացնում է ծառայություն մատուցողին, ինչպես նաև համապատասխան ծառայություն մատուցողին կարգավորող և վերահսկող այլ մարմնին՝ նշելով մշտադիտարկման առարկան, նպատակը, ժամանակահատվածը, իրականացման վայրը։
5. Մշտադիտարկման արդյունքներով կազմվում է արձանագրություն, որի վերաբերյալ ծառայություն մատուցողը այն ստանալու օրվանից հետո՝ յոթնօրյա ժամկետում, իրավունք ունի ներկայացնելու առարկություններ կամ առաջարկություններ։
6. Ինքնավար մարմինը կարող է ծառայություն մատուցողին տալ պարտադիր կատարման ենթակա ցուցումներ, սահմանել ժամանակացույց՝ ծառայություն մատուցողի կողմից տրված ցուցումների կատարման կամ թերությունների վերացման նպատակով՝ համաձայնեցնելով համապատասխան ծառայություն մատուցողին կարգավորող և վերահսկող այլ մարմնի հետ: Ծառայություն մատուցողը պարտավոր է սահմանված ժամանակացույցի համաձայն կատարել Ինքնավար մարմնի տրված ցուցումները կամ վերացնել արձանագրված թերությունները և այդ մասին տեղեկացնել Ինքնավար մարմին՝ ներկայացնելով ապացույցներ։
7. Մշտադիտարկման արդյունքների հիման վրա պատասխանատվության միջոցներ չեն կարող կիրառվել:

ՀՈԴՎԱԾ 23. Ինքնավար մարմնի օրինական պահանջները չկատարելու հետևանքները

1․ Եթե ծառայություն մատուցողը կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողը չի կատարում Ինքնավար մարմնի օրինական պահանջները, ապա Ինքնավար մարմինը.

1) դիմում է ծառայություն մատուծողի կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողի վերադաս մարմնին կամ համապատասխան պաշտոնատար անձին՝ պարտականությունների կատարման մեջ թերացած անձի նկատմամբ կարգապահական պատասխանատվության միջոց կիրառելու գործընթաց սկսելու համար, կամ․

2) դիմում է ծառայություն մատուծողի կարգավորող և վերահսկող այլ մարմնին՝ համապատասխան վարույթ հարուցելու և պատասխանատվության միջոց կիրառելու պահանջով, կամ․

3) օրենքով սահմանված կարգով նախաձեռնում է համապատասխանության գնահատում անցկացնելու գործընթաց,

4) ամբողջությամբ կամ մասնակիորեն սահմանափակում է պետական տեղեկատվական համակարգի և/կամ տվյալների փոխանակման շերտի օգտագործման հանարավորությունը՝ մինչև Ինքնավար մարմնի օրինական պահանջների կատարումը, եթե ունի հիմնավոր կասկածներ, որ նշված սահմանափակումը չկիրառելը կարող է խափանել պետական տեղեկատվական համակարգի անվտանգ և անխափան աշխատանքը։

2․ Սույն հոդվածի 1-ին մասի 4-րդ կետով նախատեսված հետևանքը կարող է կիրառվել ինչպես առանձին, այնպես էլ 1-ին կամ 2-րդ կամ 3-րդ կետերի հետ միաժամանակ։

3․ Կարգապահական պատասխանատվության միջոց կիրառելու  իրավունք ունեցող պաշտոնատար անձը պարտավոր է դիմումը ստանալու պահից մեկամսյա ժամկետում ձեռնարկել միջոցներ և արդյունքների մասին տեղեկացնել Ինքնավար մարմնին։

4․ Ծառայություն մատուծողի կարգավորող և վերահսկող այլ մարմինը համապատասխան վարույթ հարուցելու և պատասխանատվության միջոց կիրառելու դիմումի ընթացքի մասին Ինքնավար մարմնին տեղեկացնում է տասնհինգ օրվա ընթացքում։

Հոդված 24. Պատասխանատվությունը սույն օրենքի պահանջների խախտման համար

1. Սույն օրենքի պահանջների խախտումն առաջացնում է օրենքով սահմանված վարչական կամ քրեական պատասխանատվություն:
2. Ծառայություն մատուցողը կամ կիբեռանվտանգության ապահովման ծառայություն մատուցողը կամ նրանց աշխատողները (ղեկավարները) չեն կարող ենթարկվել գույքային, վարչական պատասխանատվության՝ սույն օրենքից բխող իրենց պարտականությունների պատշաճ կատարման համար:

ԳԼՈՒԽ 9

ԵԶՐԱՓԱԿԻՉ ՄԱՍ ԵՎ ԱՆՑՈՒՄԱՅԻՆ ԴՐՈՒՅԹՆԵՐ

Հոդված 25. Եզրափակիչ մաս և անցումային դրույթներ

1. Սույն օրենքն ուժի մեջ է մտնում պաշտոնական հրապարակմանը հաջորդող օրվանից, բացառությամբ.                                                                                                                              1)սույն օրենքի 8-րդ հոդվածի, որն ուժի մեջ է մտնում նշված հոդվածի 2-րդ մասով սահմանված ենթաօրենսդրական նորմատիվ իրավական ակտի ուժի մեջ մտնելուց հետո,                           2)սույն օրենքի 9-րդ հոդվածի 2-րդ մասի, 3-րդ մասի 1-2-րդ, 4-6-րդ և 14-րդ կետերի, որոնք ուժի մեջ են մտնում համապատասխան ենթաօրենսդրական նորմատիվ իրավական ակտերի ուժի մեջ մտնելուց հետո։

2. Ծառայություն մատուցողները, ովքեր շահագործում են կրիտիկական տեղեկատվական ենթակառուցվածքներ և կիբեռանվտանգության ապահովման ծառայություն մատուցողները օրենքի ուժի մեջ մտնելուց հետո քսանչորսամսյա ժամկետում Ինքնավար մարմին են ներկայացնում կիբեռանվտանգության ոլորտում միջազգային ստանդարտով կամ ազգային ստանդարտով սահմանված չափանիշներին և պահանջներին համապատասխանությունը հավաստող փաստաթուղթ:
3. Կիբեռանվտանգության ապահովման ծառայություն մատուցողները կիբեռանվտանգության աուդիտ անցնում են կիբեռանվտանգության ոլորտում միջազգային կամ ազգային ստանդարտներով սահմանված համապատասխանություն հավաստող փաստաթուղթ ստանալուց հետո մեկ տարի անց:
4. Սույն օրենքից բխող ենթաօրենսդրական նորմատիվ իրավական ակտերն, այդ թվում ազգային ստանդարտն ընդունվում են սույն օրենքն ուժի մեջ մտնելուց հետո՝ տասներկուամսյա ժամկետում։
5. Ծառայություն մատուցողներն իրենց կիբեռանվտանգության ապահովման ներքին կանոնակարգերը ընդունում, իրենց կողմից կիրառվող տեղեկատվական համակարգերում կամ կրիտիկական տեղեկատվական ենթակառուցվածքներում ռիսկերի գնահատումը, կիբեռմիջադեպի կանխարգելման միջոցառումների ծրագրի մշակումն իրականացնում են սույն օրենքի ուժի մեջ մտնելուց հետո՝ տասութամսյա ժամկետում:

ՆԱԽԱԳԻԾ

ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ

ՕՐԵՆՔԸ

«ՀԱՆՐԱՅԻՆ ՏԵՂԵԿՈՒԹՅՈՒՆՆԵՐԻ ՄԱՍԻՆ»

ՀՈԴՎԱԾ 1.  Օրենքի կարգավորման առարկան և գործողության ոլորտը

1․ Սույն օրենքը կարգավորում է հանրությանը և յուրաքանչյուր անձի թվային անվտանգ միջավայրում կամ բաց տեղեկությունների քաղաքականության իրականացման միջոցով արդյունավետ ու որակյալ ծառայություններ մատուցելու հետ կապված հարաբերությունները, որն ապահովում է նաև  հանրային հսկողություն պետական և տեղական ինքնակառավարման մարմինների կողմից իրենց պարտականությունների կատարման նկատմամբ, ինչպես նաև սահմանում է հանրային տեղեկություններին  հասանելիության ապահովման, ամպային տիրույթում տեղակայման, այդ տեղեկությունների նկատմամբ հսկողություն, վերահսկողություն իրականացնելու  եղանակները։

2․ Սույն օրենքի գործողությունը տարածվում է պետական և տեղական ինքնակառավարման մարմինների կողմից սույն օրենքով սահմանված տեղեկությունների հավաքագրման, մշակման, օգտագործման, տվյալների շտեմարանների ստեղծման, դրանց  կառավարման, տեղեկությունները հասանելի դարձնելու հետ կապված հարաբերությունների վրա։ Սույն օրենքի գործողությունը տարածվում է «Հանրային ծառայությունները կարգավորող մարմնի մասին» օրենքի իմաստով հանրային ծառայությունների ոլորտների  իրավաբանական անձանց և սույն օրենքում նախատեսված պայմանագրեր կնքած իրավաբանական կամ ֆիզիական անձանց պատկանող շտեմարանների կամ տեղեկատվական համակարգերի վրա, որոնց միջոցով օրենքով նախատեսված լիազորությունների իրականացման կամ ծառայությունների մատուցման ընթացքում կատարվում է ֆիզիկական անձի նույնացում անձը հաստատող տվյալների հետ՝ անկախ այն հանգամանքից այդ տվյալները հավաքագրվում և/կամ մշակվում են օրենքի հիման վրա, թե տվյալների սուբյեկտի համաձայնությամբ։

3․ Սույն օրենքի գործողությունը չի տարածվում Հայաստանի Հանրապետության վավերացված միջազգային պայմանագրերով կամ օրենքով նախատեսված դեպքերում՝ օրենքով պաշտպանվող տեղեկությունների կամ տվյալների շտեմարանների վրա:

ՀՈԴՎԱԾ 2. Հանրային տեղեկությունների մասին օրենսդրությունը

1. Հանրային տեղեկությունների մասին օրենսդրությունը բաղկացած է Հայաստանի Հանրապետության Սահմանադրությունից, սույն օրենքից և իրավական այլ ակտերից:
2. Եթե Հայաստանի Հանրապետության միջազգային պայմանագրերով սահմանված են այլ նորմեր, քան նախատեսված են սույն օրենքով, ապա կիրառվում են վավերացված միջազգային պայմանագրի նորմերը։

3․ Սույն օրենքում նշված տեղեկություններին հասանելիությունը կարող է սահմանափակվել միայն օրենքով։

ՀՈԴՎԱԾ 3. Սույն օրենքում օգտագործվող հիմնական հասկացությունները

        1․ Սույն օրենքում օգտագործվում են հետևյալ հիմնական հասկացությունները.

• հանրային տեղեկություն (այսուհետ՝ տեղեկություն) - պետական տեղեկատվական համակարգի տվյալների շտեմարաններում պետական և տեղական ինքնակառավարման մարմինների և պաշտոնատար անձանց օրենքով նախատեսված գործառույթների (այսուհետև՝ պետական գործառույթ) իրականացման նպատակով և ընթացքում օրենքով սահմանված չափով և կարգով ձեռք բերված, գրանցված և/կամ ցանկացած եղանակով մշակված տվյալների ամբողջություն, անկախ նյութական կրիչից.
• Ինքնավար մարմին – «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքով նախատեսված տեղեկատվական համակարգերի կարգավորման հանձնաժողով (այսուհետ՝ Ինքնավար մարմին)․
• բաց տեղեկությունների քաղաքականություն - թվային տիրույթում հանրային հասանելիության ապահովում այն տեղեկությունների նկատմամբ, որոնք օրենքով պաշտպանվող տեղեկություններ չեն հանդիսանում.
• հիմնարար (սկզբնաղբյուր) տվյալ - պետական տեղեկատվական համակարգում գրանցված տվյալների շտեմարաններում հավաքագրված եզակի, չկրկնվող տվյալներ, որոնք հավաքագրվել են տվյալների շտեմարանում  օրենքով և/կամ պայմանագրով նախատեսված պարտականությունների  կատարման ընթացքում.
• տեղեկության բազմակի օգտագործում - պետական գործառույթների իրականացման նպատակով և ընթացքում ձեռք բերված ու մշակված տեղեկությունների ստացում ու օգտագործում իրավաբանական և ֆիզիկական անձանց կողմից օրենքով չարգելված ցանկացած նպատակի համար.
• տեղեկատվական մուտքի հարթակ – միասնական վեբ-կայք կամ ծրագրային հավելված, որն ապահովում է հասանելիություն տեղեկատվություն տնօրինողների գործունեությանը և նրանց կողմից մատուցվող ծառայություններին առնչվող հանրային տեղեկություններին, բազմակի օգտագործման ենթակա տեղեկություններին, ինչպես նաև էլեկտրոնային ծառայություններին.
• տվյալների փոխանակման շերտ - ծրագրային ապահովում, որը հնարավորություն է տալիս պետական տեղեկատվական համակարգին միացած շտեմարանների, ինչպես նաև այլ տեղեկատվական համակարգերի միջև ապահովել ցանցային կապ և փոխանակել տեղեկություններ թվային անվտանգ միջավայրում:
• բաց տեղեկություն - տեղեկություններ, որոնց կարող է հասանելիություն ստանալ, օգտագործել, փոփոխել և տարածել յուրաքանչյուր ոք.
• տեղեկություններին հասանելիություն- տեղեկություն պահանջող անձի հարցմանը պատշաճ կարգով պատասխանելու կամ թվային անվտանգ միջավայրում ծառայություններ մատուցելու կամ տեղեկության բացահայտմամբ տեղեկատվության ազատության իրականացման եղանակ.
• տեղեկատվական համակարգ – «Կիբեռանվտանգության մասին» օրենքով սահմանված համակարգ.
• ամպային տիրույթ - վիրտուալ միջավայր ամպային ենթակառուցվածքում, որը նախատեսված է տեղեկատվական ռեսուրսների կառավարման և հոսթինգի համար.
• ամպային ծառայություն՝ տվյալները և կիրառական ծրագրերը պահպանելու համար կիրառվող տեխնոլոգիա, որն աշխատում է ցանցի (առանձնացված կամ համացանցի) և վիրտուալ սերվերների միջավայրում և որն ամպային տեխնոլոգիայի կիրառմամբ հնարավորություն է տալիս մուտք գործել համօգտագործվող և մասշտաբային հաշվողական ռեսուրսների մի խումբ՝ առանց համակարգը փոփոխելու.
• ամպային ծառայության մատակարար՝ ցանկացած կազմակերպություն, որն առաջարկում է հաշվողական ծառայություններ (պահուստավորում, մշակում, ցանցային կապ) համացանցի միջոցով.
• հանրային տեղեկությունների գաղտնիություն՝ տեղեկատվական անվտանգության սկզբունք, որի խախտումը կարող է հանգեցնել տվյալների չարտոնված բացահայտման.
• հանրային տեղեկությունների ամբողջականություն՝ տեղեկատվական անվտանգության սկզբունք, որի խախտումը կարող է հանգեցնել տվյալների չարտոնված ձևափոխման, ամբողջականության և իսկության խախտման, ինչպես նաև դրանց մասնակի կամ ամբողջական կորստի.
• Լիազոր մարմին – «Կառավարության կառուցվածքի և գործունեության մասին» օրենքի հավելվածի 16-րդ կետով թվարկված ոլորտներում քաղաքականություն մշակող և իրականացնող պետական կառավարման համակարգի մարմին։

Հոդված 4.  Լիազոր մարմնի իրավասություններ

1․Լիազոր մարմինն ունի հետևյալ իրավասությունները.

1) Լիազոր մարմնի իրավասությունների շրջանակներում միասնական թվայնացված միջավայրի և թվային տնտեսության ձևավորման նպատակով թվային փոխակերպման, միասնական քաղաքականության մշակում և իրականացում․

2) թվային լուծումների ստեղծման և զարգացման շրջանակներում պետություն-մասնավոր համագործակցության խթանում.

3) Լիազոր մարմնի իրավասությունների շրջանակներում տվյալների կառավարման և պահպանման միասնական համապարփակ քաղաքականության մշակում և իրականացում․

4) Լիազոր մարմնի իրավասությունների շրջանակներում թվային փոխակերպման ոլորտում միջպետական համագործակցության ապահովում, օտարերկրյա պետական տեղեկատվական համակարգերի և միջազգային պայմանագրերով նախատեսված Հայաստանի Հանրապետության պարտավորությունների կատարում.

5)  Լիազոր մարմնի իրավասությունների շրջանակներում տվյալագիտության միասնական քաղաքականության ձևավորման ապահովումը.

6) Լիազոր մարմնի իրավասությունների շրջանակներում ամպային ծառայությունների ներդրման միասնական քաղաքականության մշակում և իրականացում․

7) Համագործակցելով Ինքնավար մարմնի հետ՝ միջազգային ստանդարտների հիման վրա պետական ամպային ենթակառուցվածքայի ազգային ստանդարտների մշակում և  ներկայացում ստանդարտացման և չափագիտության ազգային մարմնի հաստատմանը.

8) Հանրային իշխանության մարմինների կողմից թվային փոխակերպման ծրագրերի իրականացման և այդ ծրագրերի ֆինանսավորման գործընթացի համակարգում:

2․ Հանրային իշխանության մարմինների կողմից թվային փոխակերպման ծրագրերի իրականացման և այդ ծրագրերի ֆինանսավորման գործընթացի համակարգման կարգը սահմանում է Հայաստանի Հանրապետության կառավարությունը։

ՀՈԴՎԱԾ 5․ Տեղեկությունների բազմակի օգտագործում

1․ Բազմակի օգտագործման կարող է տրվել միայն այն տեղեկությունը, որը չի պարունակում օրենքով պաշտպանված տեղեկություն։ Եթե օրենքով պաշտպանված է հանդիսանում տեղեկության մի մասը, ապա բազմակի օգտագործման կարող է տրամադրվել տեղեկության այն մասը, որը չի պարունակում օրենքով պաշտպանված տեղեկություն կամ տեղեկության բազմակի օգտագործումը հնարավոր է, եթե այն չի պարունակում օրենքով պաշտպանված տեղեկության բացահայտման վտանգ։ 

2․ Տեղեկությունների փոխանակումը պետական մարմինների միջև իրենց պետական գործառույթների իրականացման նպատակով չի հանդիսանում տեղեկության բազմակի օգտագործում։

3. Արգելվում է կնքել պայմանագրեր, որոնք պայմանագրի մյուս կողմին տալիս են տեղեկության բազմակի օգտագործման բացառիկ իրավունք, բացառությամբ այն դեպքերի, երբ նման պայմանագիր կնքելու թույլտվություն տալիս է ՀՀ կառավարությունը, ելնելով պետական անվտանգության, հանցագործությունների կանխման կամ բացահայտման, ինչպես նաև այլ հանրային շահերի պաշտպանության նպատակներից: Այդ պայմանագրերի կնքման հիմնավորումները և դրանց արդիականությունը տվյալ տեղեկատվությունը տնօրինողի կողմից ենթակա է վերանայման առնվազն երկու տարին մեկ:

4․ Եթե տեղեկության բազմակի օգտագործման տրամադրումը խախտում է անձի մասնավոր և ընտանեկան կյանքի անձեռնմխելիությունը, ապա այդ տեղեկությունն արգելվում է տրամադրել բազմակի օգտագործման։ Այդ դեպքում  կարող է տրամադրվել տեղեկության այն մասը, որը չի խախտում անձի մասնավոր և ընտանեկան կյանքի անձեռնմխելիությունը կամ տեղեկությունը պետք է տրամադրվի օգտագործման այնպես, որպեսզի չխախտի անձի մասնավոր և ընտանեկան կյանքի անձեռնմխելիությունը:

5․ Հեղինակային իրավունքի և հարակից իրավունքների մասին տեղեկությունը բազմակի օգտագործման համար տրամադրվում է «Հեղինակային իրավունքի և հարակից իրավունքների մասին» ՀՀ օրենքով նախատեսված կարգով և չափով,  լիցենզային պայմանագրի հիման վրա։

6․ Տեղեկությունների  օրենքով սահմանված կարգով տրամադրումը ներառում է նաև այդ տեղեկության բազմակի օգտագործման իրավունքը: Եթե տեղեկատվություն տնօրինողը լիցենզային պայմանագրի միջոցով պայմաններ է սահմանել մտավոր սեփականության իրավունքի օբյեկտ հանդիսացող տեղեկության օգտագործման համար, ապա այդ տեղեկությունն օգտագործվում է լիցենզային պայմանագրի պայմաններին համապատասխան:

7․ Պետական տեղեկատվական համակարգի տվյալների շտեմարանի   տեղեկությունների կրկնօրինակումը ցանկացած կրիչի վրա, հետագայում որպես  ճշգրիտ, արդիական տվյալ կամ տեղեկություն տեղեկատվական համակարգերի միջոցով ծառայություններ մատուցելու համար, արգելվում է։

ՀՈԴՎԱԾ 6. Տեղեկություններին հասանելիության ապահովումը թվային անվտանգ միջավայրում

1․ Սույն օրենքով սահմանված դեպքերում տեղեկատվություն տնօրինողը պարտավոր է ապահովել տեղեկություններին հասանելիություն թվային ձևաչափով։ Թվային ձևաչափով հասանելության դեպքում կիրառվում են ծրագրային հավելվածներ, հավելվածների ծրագրավորման միջերեսներ (API), հարթակներ, որոնք պետք է հնարավորություն տան անմիջապես բացահայտել, նույնականացնել և վերծանել կոնկրետ տվյալներ, ներառյալ առանձին փաստեր կամ դրանց ներքին կառուցվածքը (այսուհետ՝ մեքենայաընթեռնելի ձևաչափ)։

2․ Տեղեկատվություն տնօրինողը որպես կանոն տեղեկությունները բացահայտում է թվային ձևաչափով։ Եթե տեղեկության բացահայտման համար տեղեկության փոխակերպումը թվային ձևաչափի անհնար է կամ այդպիսի փոխակերպումն անհամաչափ մեծ ջանք կպահանջի տեղեկատվության տնօրինողից, ապա տրամադրվում է մուտք բաց տեղեկություններին՝ իրենց սկզբնական ձևաչափով կամ ցանկացած այլ ձևաչափով:

3․ Տեղեկությանը թվային ձևաչափով հասանելիություն ապահովելու համար կատարվող ողջամիտ ծախսերը ենթակա են հատուցման։  Նշված գումարի ձևավորման (հաշվարկի) կարգը և առավելագույն չափը սահմանում է կառավարությունը։ Տեղեկության տրամադրման համար «Պետական տուրքի մասին» , «Տեղական տուրքերի և վճարների մասին»  օրենքներով և այլ օրենքներով սահմանված կարգով ու չափով կարող է գանձվել տուրք կամ վճար։

4․ Տեղեկատվություն տնօրինողը պարտավոր է իր պաշտոնական կայքում տեղադրել տեղեկության հասանելիության ապահովման փոխհատուցման և այլ օրենքներով սահմանված կարգով ու չափով գանձվող տուրքերի կամ վճարների չափերը, տեղեկությանը հասանելիություն ստանալու կարգը և պայմանները։

5․ Եթե անձը պահանջում է տեղեկություն, որը պարունակում է իր վերաբերյալ օրենքով պաշտպանված տեղեկություն կամ որպես օրինական ներկայացուցիչ կամ լիազորագրի հիման վրա պահանջում է տեղեկություն երրորդ անձի վերաբերյալ, ապա տեղեկատվություն տնօրինողը պարտավոր է էլեկտրոնային նույնականացման միջոցով նույնականացնել հարցում կատարող անձին:

6․ Սույն հոդվածում նշված տեղեկություններին (այդ թվում՝ բաց) հասանելիություն ապահովվում է տեղեկատվական մուտքի հարթակի միջոցով:

ՀՈԴՎԱԾ 7․ Տեղեկությունների բացահայտումը

1․ Տեղեկության բացահայտումը տեղեկատվություն տնօրինողի կողմից սույն օրենքով սահմանված կարգով հասանելիության տրամադրումն է տեղեկություններին՝ առանց տեղեկություն պահանջող անձի կողմից հարցում կատարելու:

2․ Տեղեկությունների բացահայտումը ներառում է նաև այդ տեղեկությունների օրենքով սահմանված կարգով բազմակի օգտագործման իրավունքը: Եթե տեղեկատվություն տնօրինողը լիցենզային պայմանագրի միջոցով պայմաններ է սահմանել տեղեկության օգտագործման համար, ապա այդ տեղեկությունն օգտագործվում է լիցենզային պայմանագրի պայմաններին համապատասխան:

3․ Տեղեկատվություն տնօրինողները պարտավոր են անհապաղ, բայց ոչ ուշ քան հինգ աշխատանքային օրվա ընթացքում բացահայտել իրենց գործունեությանն առնչվող այն  տեղեկությունները և դրանցում կատարված փոփոխությունները, որոնք օրենքով սահմանված կարգով չեն դասակարգվել պետական գաղտնիքի կամ սահմանափակ տարածման այլ տեղեկությունների շարքին։

4․ Սույն հոդվածի 3-րդ մասում նշված տեղեկություններում կատարված փոփոխությունները բացահայտվում են դրանք կատարվելուց հետո՝ հինգ աշխատանքային օրվա ընթացքում, եթե օրենքով այլ բան նախատեսված չէ։

5․ Տեղեկությունների բացահայտման կարգը և շրջանակը սահմանում է կառավարությունը։

ՀՈԴՎԱԾ 8. Տեղեկատվություն տնօրինողների պաշտոնական կայքէջը

1․ Հանրապետության նախագահի, Ազգային ժողովի և վարչապետի աշխատակազմերը, պետական կառավարման համակարգի մարմինները, անկախ և ինքնավար պետական մարմինները, տարածքային կառավարման մարմինները, օրենքով սահմանված կարգով խոշորացված տեղական ինքնակառավարման մարմինները պարտավոր են իրենց գործունեության լուսաբանման և տեղեկությունների բացահայտման համար ունենալ և սպասարկել պաշտոնական կայքէջեր, ապահովել դրանց անվտանգությունը։ Սույն մասում նշված մարմինների կայքէջերին, դրանց սպասարկմանը և անվտանգությանը ներկայացվող պահանջները սահմանում է կառավարությունը։

2․ Պաշտոնական կայքէջերի սպասարկումը և անվտանգության ապահովումն իրականացվում է համապատասխանաբար պետական կամ համայնքային բյուջեի միջոցների հաշվին։

ՀՈԴՎԱԾ 9. Տեղեկատվական մուտքի հարթակ

1․ Տեղեկատվական մուտքի հարթակը ձևավորում է Ինքնավար մարմինը՝ համագործակցելով պետական և տեղական ինքնակառավարման մարմինների, սույն օրենքով նախատեսված դեպքերում նաև իրավաբանական և ֆիզիկական անձանց հետ (ծառայություն մատուցողներ), որն ապահովում է օգտատերերի հարմարավետությանը միտված աշխատանք՝ թվային ծառայությունների ստեղծմամբ: Տեղեկատվական մուտքի հարթակում թվային ծառայությունների մատուցմանը ներկայացվող չափորոշիչները, անվտանգության ու տեխնիկական ընդհանուր պահանջները, շտեմարանները տեղեկատվական մուտքի հարթակին միացնելու կարգը սահմանում է Ինքնավար մարմինը:

2․ Տեղեկատվական մուտքի հարթակի կառավարումն ու զարգացումն ապահովում է Ինքնավար մարմինը՝ պետական բյուջեի միջոցների հաշվին։

3․ Համապատասխան մարմինները պարտավոր են իրենց կողմից մատուցվող ծառայությունները ինտեգրել ու հասանելի դարձնել  տեղեկատվական մուտքի հարթակում և ապահովել ծառայությունների մատուցման համար անհրաժեշտ տեղեկությունների ու տվյալների ճշգրտությունը, արդիականությունն ու հասանելիությունը։ 

4. Տեղեկատվական մուտքի հարթակի միջոցով մատուցվում են առնվազն հետևյալ ծառայությունները․

• Հասանելիություն է ապահովվում հանրային ծառայությունների կատալոգին․
• Ապահովվում է հանրային ծառայությունների հետադարձ կապը և գնահատումը․
• Ապահովվում է հանրային ծառայությունների վերաբերյալ ծանուցումները․
• Տվյալների սուբյեկտին հասանելիություն է ապահովվում իր անձնական տվյալներին և փաստաթղթերին․
• Ապահովվում է հանրային ծառայությունների հետագծելիությունը, այդ թվում՝ տվյալների սուբյեկտի համար․
• Ապահովվում է պետական մարմինների հետ հաղորդակցությունը։

5. Տեղեկատվական մուտքի հարթակի կառավարման կարգը,, անձնական տվյալները մշակելու, օգտագործելու և հասանելիություն ապահովելու կարգը հաստատում է Ինքնավար մարմինը։

ՀՈԴՎԱԾ 10. Տվյալների հաղորդակցման ցանցին հասանելիությունը

1․ Յուրաքանչյուր անձի պետք է հնարավորություն ընձեռվի «Գրադարանների և գրադարանային գործի մասին» օրենքով նախատեսված պետական կամ համայնքային  գրադարաններում ինտերնետի միջոցով անվճար օգտվելու հանրային տեղեկություններից։

2․ Պետական կամ համայնքային գրադարաններում ինտերնետի միջոցով անվճար հանրային տեղեկություններից օգտվելու ապահովման կարգը սահմանում է Հայաստանի Հանրապետության կառավարությունը։

ՀՈԴՎԱԾ 11. Տվյալների շտեմարան

1․ Տվյալների շտեմարանը տվյալների համակարգված  ամբողջություն է, որը ստեղծվում և/կամ մշակվում է պետական, տեղական ինքնակառավարման մարմինների կամ իրավաբանական կամ ֆիզիկական անձանց տեղեկատվական համակարգերում և որն օգտագործվում է օրենքով, Հայաստանի Հանրապետության միջազգային պայմանագրերով կամ դրանց հիման վրա ընդունված այլ նորմատիվ իրավական ակտերով սահմանված գործառույթների իրականացմամբ ծառայություններ մատուցելու համար։

2․ Տվյալների համակարգված ամբողջությունը, որը մշակվում է տվյալների շտեմարանում, կարող է բաղկացած լինել միայն այլ շտեմարաններում պարունակվող հիմնարար (սկզբնաղբյուր) տվյալներից։

3․ Տվյալների հավաքագրումը տվյալների շտեմարան իրականացվում է միայն մեկ հարցման սկզբունքի հիման վրա: «Մեկ հարցման» սկզբունքը ենթադրում է, որ քաղաքացին իր վերաբերյալ ցանկացած տեղեկություն մեկ անգամ տրամադրելով պետական կամ տեղական ինքնակառավարման մարմնին, ազատվում է նույն տեղեկությունը երկրորդ անգամ տրամադրելու պարտականությունից։ Պետական և տեղական ինքնակառավարման մարմինները, օրենքով նախատեսված դեպքերում նաև իրավաբանական ու ֆիզիկական անձինք, պարտավոր են այդ տեղեկությունները սահմանված կարգով փոխանակել փոխգործելիության շրջանակում՝ տվյալների փոխանակման շերտի միջոցով։

4․ Տվյալների շտեմարանում հիմնարար (սկզբնաղբյուր) տվյալների մշակումից կարող են ձևավորվել սույն հոդվածի առաջին մասում նախատեսված գործառույթների իրականացման համար անհրաժեշտ նոր հիմնարար (սկզբնաղբյուր) տվյալներ և/կամ տեղեկություններ։ Սույն հոդվածի 1-ին մասում նշված ծառայությունների մատուցման համար անհրաժեշտ այն տվյալները կամ տեղեկությունները, որոնք գտնվում են մինչև սույն օրենքի ուժի մեջ մտնելը տրված իրավական ուժ ունեցող թղթային կրիչների (փաստաթղթերի) վրա, մուտք են արվում շտեմարան, որից հետո սույն հոդվածի 1-ին մասում նշված ծառայությունների մատուցման համար իրավական հիմք հանդիսանում է բացառապես շտեմարանում առկա տվյալը կամ տեղեկությունը։ Իրավական ուժ ունեցող փաստաթղթերից տվյալների շտեմարան տվյալներ կամ տեղեկություններ մուտք անելու կարգը սահմանում է ՀՀ կառավարությունը։

5. Սույն հոդվածի 1-3-րդ մասերով նախատեսված դրույթները չեն տարածվում արտաքին գործերի, պաշտպանության, ազգային անվտանգության ոլորտներում լիազորված մարմինների և արտաքին հետախուզության ծառայության՝ օրենքով նախատեսված իրենց գործառույթների իրականացման նպատակով ստեղծված այն տվյալների շտեմարանների վրա, որոնց միջոցով իրավաբանական և ֆիզիկական անձանց ծառայություններ չեն մատուցվում։

ՀՈԴՎԱԾ 12. Պետական ​​տեղեկատվական համակարգ

 1․Պետական ​​տեղեկատվական համակարգը բաղկացած է պետական տեղեկատվական համակարգի կառավարչական համակարգում գրանցված, տվյալների փոխանակման շերտին միացված տվյալների շտեմարաններից, այդ թվում՝ սույն օրենքով նախատեսված աջակցող համակարգերից և ապահովում է պետական, տեղական ինքնակառավարման մարմինների, սույն օրենքով, այլ օրենքներով նախատեսված դեպքերում նաև իրավաբանական և ֆիզիկական անձանց տեղեկատվական համակարգերի փոխգործելիությունը։

2. Պետական տեղեկատվական համակարգի կառավարչական համակարգում գրանցվելու համար շտեմարանը պետք է համապատասխանի սույն օրենքի հիման վրա հաստատված պահանջներին, այդ թվում՝ տվյալների պաշտպանության, փոխգործելիության և տեղեկատվական համակարգերի ավտանգության։ Նշված պահանջներին համապատասխանությունը գնահատվում է սույն մասով նախատեսված աուդիտի իրականացման միջոցով, որը ներառում է նաև խոցելիության գնահատումը և ներթափանցման թեստավորումը։ Տեղեկատվական տեխնոլոգիաների աուդիտ սահմանված կարգով կազմակերպում և իրականացնում է Ինքնավար մարմինը։ Աուդիտի իրականացման և շտեմարանները պետական տեղեկատվական համակարգի կառավարչական համակարգում գրանցման կարգը հաստատում է Ինքնավար մարմինը։
3. Պետական տեղեկատվական համակարգը պետք է ապահովի տեղեկատվական տեխնոլոգիաների կիրառման միջոցով լուծումներ, որոնք հնարավորություն կտան ցանկացած ժամանակ ստույգ պարզել, այդ թվում՝ տվյալների սուբյեկտին, թե ում, ինչ նպատակով, երբ, ինչ ձևով և ինչ տեղեկությունից օգտվելու հնարավորություն է տրվել (հասանելիություն է ապահովվել) կամ փոխանցվել, որը պարունակում է անձնական տվյալներ, բացառությամբ օրենքով նախատեսված դեպքերի։

ՀՈԴՎԱԾ 13․ Տեղական ինքնակառավարման մարմիններին, իրավաբանական և ֆիզիկական անձանց պատկանող տեղեկատվական համակարգերը

1․ Տեղական ինքնակառավարման մարմինները, իրավաբանական կամ ֆիզիկական անձինք տեղեկատվական համակարգեր ձևավորում են (այսուհետ՝ ոչ պետական տեղեկատվական համակարգ) տեղական ինքնակառավարման մարմինների, իրավաբանական կամ ֆիզիկական անձանց օրենքով կամ պայմանագրով նախատեսված պարտականությունների կատարման կամ ծառայությունների մատուցման համար։ Սույն հոդվածում նախատեսված համակարգերը սույն օրենքով սահմանված կարգով միացվում են պետական տեղեկատվական համակարգին, տվյալների շտեմարաններին, տվյալների փոխանակման շերտին, անհրաժեշտության դեպքում այլ տեղեկատվական համակարգերի՝ թվային տիրույթում քաղաքացիներին որակյալ ու անվտանգ ծառայություններ մատուցելու նպատակով։

2․ Պետական տեղեկատվական համակարգի կառավարչական համակարգում գրանցված շտեմարաններին և տվյալների փոխանակման շերտին միանալու համար ոչ պետական տեղեկատվական համակարգը պետք է համապատասխանի սույն օրենքի 12-րդ հոդվածի 2-րդ մասում նշված պահանջներին։ Նշված պահանջներին համապատասխանությունը գնահատում է Ինքնավար մարմինը՝ տեղեկատվական տեխնոլոգիաների աուդիտի միջոցով։

ՀՈԴՎԱԾ 14․  Տվյալների շտեմարանների ստեղծում

1․ Պետական մարմնի օրենքով նախատեսված լիազորության իրականացման կամ օրենքի հիման վրա ընդունված նորմատիվ իրավական ակտի կիրարկումն ապահավելու նպատակով տվյալների շտեմարան ստեղծվում և/կամ ներդրվում է Հայաստանի Հանրապետության կառավարության որոշմամբ:

2․ Ոչ պետական տեղեկատվական համակարգի շտեմարանը ստեղծվում և/կամ ներդրվում է տեղական ինքնակառավարման մարմնի, իրավաբանական անձի օրենքով կամ կանոնադրությամբ համապատասխան լիազորություններ ունեցող մարմնի կամ ֆիզիկական անձի որոշմամբ՝ օրենսդրությամբ նախատեսված ծառայություններ մատուցելու նպատակով:

3․ Արգելվում է նույն տվյալների հավաքագրման և մշակման համար առանձին տվյալների շտեմարանների ստեղծումը, այդ թվում՝  պետական և/կամ տեղական ինքնակառավարման մարմինների օրենքով նախատեսված լիազորությունների իրականացմամբ ծառայությունների մատուցման կամ պայմանագրի հիման վրա իրավաբանական կամ ֆիզիկական անձանց կողմից ծառայությունների մատուցման նպատակով։

4․ Մինչև տվյալների շտեմարանի ստեղծումը կամ տվյալների շտեմարանում հավաքագրված տվյալների կազմում փոփոխություններ կամ լրացումներ կատարելը կամ տվյալների շտեմարանի աշխատանքի դադարեցումը տվյալների շտեմարանի կառավարիչը պարտավոր է հաստատել անհրաժեշտ բոլոր տեխնիկական փաստաթղթերը և ստանալ Ինքնավար մարմնի եզրակացությունը։ Ոչ պետական տեղեկատվական համակարգի շտեմարանների համար սույն մասում նշված անհրաժեշտ բոլոր տեխնիկական փաստաթղթերը հաստատում և Ինքնավար մարմնից եզրակացություն ստանում է տեղական ինքնակառավարման մարմինը, իրավաբանական անձի օրենքով կամ կանոնադրությամբ համապատասխան լիազորություններ ունեցող մարմինը կամ ֆիզիկական անձը։  Մինչև տվյալների շտեմարանի ստեղծումը կամ տվյալների շտեմարանում հավաքագրված տվյալների կազմում փոփոխություններ կամ լրացումներ կատարելը կամ տվյալների շտեմարանի աշխատանքի դադարեցումը  անհրաժեշտ տեխնիկական փաստաթղթերի ցանկը հաստատում է Ինքնավար մարմինը։

5․ Սույն հոդվածի 4-րդ մասով սահմանված փաստաթղթերը չեն հաստատվում պետական ​​տեղեկատվական համակարգում չգրանցված այն տվյալների շտեմարանների համար, որոնք ապահովում են միայն համապատասխան մարմնի կամ իրավաբանական անձի կառավարման ներքին կարիքները կամ փաստաթղթերի շրջանառությունը:

6. Տվյալների շտեմարանը երեք տարին մեկ ենթակա է աուդիտի, որը ներառում է նաև խոցելիության գնահատումը և ներթափանցման թեստավորումը։ Աուդիտի արդյունքում գնահատվում է տվյալների շտեմարանիհամապատասխանությունը սույն օրենքի, այլ օրենքների և դրանց հիման վրա ընդունված իրավական ակտերի և կիրառելի ստանդարտների պահանջներին: Աուդիտ սահմանված կարգով կազմակերպում և իրականացնում է Ինքնավար մարմինը։

7․ Տվյալների շտեմարանների աուդիտի իրականացման կարգը հաստատում է Ինքնավար մարմինը։

ՀՈԴՎԱԾ 15. Տվյալների շտեմարանի կառավարիչը

1․ Տվյալների շտեմարանի կառավարիչը պետական ​​կամ տեղական ինքնակառավարման մարմին է կամ իրավաբանական կամ ֆիզիակական անձ, որը կազմակերպում է տվյալների շտեմարանի ստեղծումը, ներդրումը, տվյալների շտեմարանի կառավարումը ու ծառայությունների մատուցումը՝ օրենքով նախատեսված լիազորության իրականացման կամ օրենքի հիման վրա ընդունված նորմատիվ իրավական ակտի կիրարկումը կամ պայմանագրով նախատեսված պարտականության կատարումն ապահավելու նպատակով։ Տվյալների շտեմարանի կառավարիչը պատասխանատու է տվյալների շտեմարանի կառավարման օրինականության, տվյալների շտեմարանի անվտանգության ապահովման, զարգացման ու կատարելագործման համար:

2․ Տվյալների շտեմարնների կառավարման ոլորտը համակարգում է Ինքնավար  մարմինը։

3․ Տվյալների շտեմարանների կառավարումն իրականացվում է տվյալների շտեմարանի կանոնակարգի հիման վրա, որը հաստատվում է տվյալների շտեմարանի ստեղծման մասին Հայաստանի Հանրապետության կառավարության որոշմամբ, Ինքնավար մարմնի եզրակացության հիման վրա, իսկ ոչ պետական տեղեկատվական համակարգի շտեմարանի դեպքում՝ տեղական ինքնակառավարման մարմնի, իրավաբանական անձի օրենքով կամ կանոնադրությամբ համապատասխան լիազորություններ ունեցող մարմնի կամ ֆիզիկական անձի որոշմամբ։ Տվյալների շտեմարանի կանոնակարգով սահմանվում է նաև շտեմարանի կառավարիչը։

4․ Տվյալների շտեմարանի կառավարիչը, տվյալների շտեմարանի կանոնակարգով սահմանված լիազորությունների շրջանակում, կարող է գնումների մասին օրենսդրությամբ սահմանված կարգով, պայմանագրի հիման վրա լիազորել իրավաբանական անձի կատարել տվյալների շտեմարանի ներդրման, տվյալների մշակման, տվյալների շտեմարանի թարմացման, տեխնիկական սպասարկման և անվտանգության ապահովման աշխատանքներ։ Շտեմարանի կանոնակարգով, հաշվի առնելով տվյալների շտեմարանի առանձնահատկությունները, կարող է սահմանվել սույն մասում նշված բոլոր աշխատանքների կամ դրանց մի մասը փոխանցումը։

5․ Սույն հոդվածի 4-րդ մասում նշված իրավաբանական անձը պարտավոր է հետևել կառավարիչի ցուցումներին տվյալների շտեմարանի ներդրման, տվյալների մշակման և տվյալների շտեմարանի թարմացման ընթացքում, ինչպես նաև օրենքով սահմանված կարգով և սույն հոդվածի 4-րդ մասում նախատեսված պայմանագրի շրջանակներում պարտավոր է ապահովել  տվյալների շտեմարանի անվտանգությունը:

6. Տվյալների շտեմարանի կառավարիչը ապահովում է տվյալների շտեմարանի կենտրոնացված տեխնոլոգիական միջավայրի ստեղծումն ու կառավարումը, օրենքով կամ շտեմարանի կանոնակարգով նախատեսված դեպքերում ապահովելով նաև տեղական ինքնակառավարման մարմինների սեփական կամ պատվիրակված լիազորությունների իրականացման համար շտեմարանի օգտագործումը։

7․ Տվյալների շտեմարանի կառավարիչն ապահովում է տվյալների սուբյեկտների վերաբերյալ ոչ ճիշտ տվյալների ուղղումը (այդ թվում՝ տվյալների սուբյեկտի նախաձեռնությամբ)։ Տվյալների շտեմարանում ոչ ճիշտ տվյալների ուղղում կատարելու կարգը սահմանում է Հայաստանի Հանրապետոըթյան կառավարությունը։

ՀՈԴՎԱԾ 16․ Տվյալների շտեմարանի կանոնակարգը

1․ Տվյալների շտեմարանի կանոնակարգը պետք է նախատեսի տվյալների շտեմարանի կառավարման, շահագործման, օգտագործման, պահպանման, վերակազմավորման և դադարեցման, այլ պետական կամ տեղական ինքնակառավարման մարմինների կամ 15-րդ հոդվածի 4-րդ մասում նշված իրավաբանական անձի կողմից տվյալների մշակման և տվյալների շտեմարանի թարմացման, տվյալների շտեմարան հավաքագրվող տվյալների կազմի, հավաքագրման աղբյուրի, դրանք ներկայացնողների և ներկայացման, անհրաժեշտության դեպքում նաև շտեմարանի կառավարման այլ կազմակերպչական հարցերի վերաբերյալ դրույթներ։

2․ Տվյալների շտեմարան տվյալներ ներկայացնողներ են՝ պետական ​​կամ տեղական ինքնակառավարման մարմինները կամ իրավաբանական կամ ֆիզիկական անձինք, որոնք պարտավոր են տվյալներ ներկայացնել օրենքով կամ իրավական այլ ակտով կամ կնքված պայմանագրով սահմանված կարգով ու չափով կամ տվյալներ ներկայացնում են կամավոր հիմունքներով։

 ՀՈԴՎԱԾ 17. Տվյալների հավաքագրումը և մշակումը

1․ Պետական ​​տեղեկատվական համակարգում գրանցված տվյալների շտեմարանի կողմից տվյալների հավաքագրումը և մշակումը որպես սկզբնաղբյուր տվյալ կարող է իրականացվել միայն օրենքով սահմանված գործառույթների և մյուս տվյալների շտեմարնների սկզբնաղբյուր տվյալների հիման վրա:

2․ Պետական տեղեկատվական համակարգում տվյալների սկզբնաղբյուր լինելը որոշվում է սույն օրենքով նախատեսված տեխնիկական փաստաթղթերի հիման վրա: Տվյալների շտեմարանի ստեղծման նպատակը համարվում է հիմնավորված, եթե մշակվող տվյալները հանդիսանում են սկզբնաղբյուր տվյալներ։

3․ Տվյալներն ունեն  իրավական ուժ, եթե հավաքագրվել, մշակվել  և օգտագործվել են  օրենքով սահմանված կարգով:

ՀՈԴՎԱԾ 18. Տվյալների շտեմարանի գրանցում

1․ Տվյալների շտեմարանը պետական ​​տեղեկատվական համակարգում գրանցվում է Ինքնավար մարմինը, մինչև տվյալների շտեմարանի ներդրումը (շահագործումը): Տվյալների շտեմարանի գրանցման կարգը հաստատում է Ինքնավար մարմինը։

2․ Մինչև պետական տեղեկատվական համակարգում տվյալների շտեմարանի գրանցումը, Ինքնավար մարմինը պարտավոր է գնահատել տվյալների շտեմարանի տեխնիկական համապատասխանությունը և հավաքվող տվյալների ու դրանց աղբյուրների համապատասխանությունը օրենքով կամ դրա հիման վրա ընդունված իրավական ակտերով սահմանված պահանջներին: Սույն մասով նախատեսված գնահատման արդյունքում Ինքնավար մարմինը կազմում և տրամադրում է եզրակացություն, որը պետք է պարունակի նաև ներդաշնակեցման վերաբերյալ առաջարկություններ։

ՀՈԴՎԱԾ 19. Տվյալների շտեմարանների հասանելիություն

1․ Տվյալների շտեմարանում առկա մշակված տեղեկություններին հասանելիություն ապահովվում է, եթե այն սահմանափակված չէ օրենքով։

2․ Տվյալների շտեմարանում մշակվող տեղեկություններին տեղական ինքնակառավարման մարմիններին, իրավաբանական և ֆիզիկական անձանց հասանելիություն կարող է տրամադրվել առևտրային կամ օրենքով նախատեսված նպատակներով օգտագործելու համար՝ տվյալների շտեմարանի կառավարչի հետ կնքվող պայմանագրի հիման վրա։ Սույն մասում նշված պայմանագիրը կարող է կնքվել, եթե տեղական ինքնակառավարման մարմնի, իրավաբանական անձի ոչ պետական տեղեկատվական համակարգը բավարարում է պետական տեղեկատվական համակարգին միանալու սույն օրենքով և իրավական ակտերով նախատեսված պահանջները։ Նշված պայմանագրի օրինակելի ձևը հաստատում է Ինքնավար մարմինը։ Սույն մասում նշված՝ օրենքով և իրավական ակտերով նախատեսված պահանջներին բավարարելու հանգամանքը գնահատում է տվյալների շտեմարանի կառավարչը։ Տվյալների շտեմարանի կառավարչի դիմումի հիման վրա գնահատում կարող է իրականացնել Ինքնավար մարմինը, որի արդյունքում կազմվում և տրամադրվում է եզրակացություն։

3․ Արտաքին գործերի, պաշտպանության, ազգային անվտանգության ոլորտներում լիազորված մարմինների և արտաքին հետախուզության ծառայությանը վերաբերող, տվյալների շտեմարան մուտքագրված տեղեկությունները կարող են օգտագործվել միայն  Հայաստանի Հանրապետության կառավարության կողմից սահմանված կարգով և դեպքերում։

ՀՈԴՎԱԾ 20. Պետական ​​տեղեկատվական համակարգին աջակցող համակարգեր

1․ Տվյալների շտեմարանների անխափան և անվտանգ աշխատանքն ապահովում են պետական տեղեկատվական համակարգին աջակցող հետևյալ համակարգերը.

1) տվյալների դասակարգման համակարգը.

2) ազգային տարածական տվյալների ենթակառուցվածքը.

3) տեղեկատվական համակարգերի անվտանգության միջոցառումների համակարգը.

4) տվյալների փոխանակման շերտը.

5) պետական ​​տեղեկատվական համակարգի կառավարչական համակարգը։

2. Սույն հոդվածի 1-ին մասում նշված աջակցող համակարգերը ստեղծվում (ձևավորվում) են Հայաստանի Հանրապետության կառավարության որոշմամբ։ Կառավարությունը հաստատում է նշված համակարգերի կիրառաման կարգերը (կանոնակարգերը), եթե օրենքով այլ բան նախատեսված չէ։ Աջակցող համակարգերին ներկայացվող տեխնիկական պահանջները սահմանում է Ինքնավար մարմինը։

3․ Պետական տեղեկատվական համակարգի սույն հոդվածի 1-ին մասում նշված աջակցող համակարգերը կարող են ապահովվել մասնավոր հատվածից օրենքով սահմանված կարգով ծառայությունների ձեռքբերման միջոցով՝ կառավարության որոշմամբ։ Աջակցող համակարգերը ծառայությունների ձեռքբերման միջոցով ապահովելու դեպքում դրանց ներկայացվող պահանջները մշակում և Հայաստանի Հանրապետության  կառավարության հաստատմանն է ներկայացնում Ինքնավար մարմինը։ 

4․ Պետական ​​տեղեկատվական համակարգի և դրան միացած տվյալների շտեմարանների շահագործման համար աջակցող համակարգերի հասանելիությունը և օգտագործումը պարտադիր է։ Սույն հոդվածի 1-ին մասում  նշված աջակցող համակարգերը պարտադիր չեն սույն օրենքի 14-րդ հեդվածի 4-րդ մասում նշված տվյալների շտեմարանների շահագործման համար:

5․ Աջակցող համակարգերի շահագործման պարտադիր պահանջից բացառություն կարող է արվել Հայաստանի Հանրապետության միջազգային պայմանագրերից բխող պարտավորությունների կատարման նպատակով ձևավորված տվյալների շտեմարանների համար՝ Հայաստանի Հանրապետության կառավարության որոշմամբ սահմանված կարգով:

6․ Տվյալների փոխանակում պետական ​​տեղեկատվական համակարգին պատկանող տվյալների շտեմարնների հետ և/կամ տվյալների շտեմարանների միջև իրականացվում է պետական տեղեկատվական համակարգի տվյալների փոխանակման շերտի միջոցով։

7․ Տեղական ինքնակառավարման մարմինները, իրավաբանական կամ ֆիզիկական անձինք պետական տեղեկատվական համակարգի տվյալների փոխանակման շերտին կարող են միանալ և անվտանգ թվային միջվայրում տվյալներ փոխանակել Ինքնավար մարմնի հետ կնքվող պայմանագրի հիման վրա, եթե փոխանակման շերտի միջոցով միացվող տվյալների շտեմարանի կառավարչի հետ կնքվել է շտեմարանին միանալու պայմանագիր։ Տվյալների փոխանակման շերտին միանալու պայմանագիրը կարող է կնքվել, եթե ոչ պետական տեղեկատվական համակարգը բավարարում է պետական տեղեկատվական համակարգի տվյալների փոխանակման շերտին միանալու սույն օրենքով և իրավական ակտերով նախատեսված պահանջները։ Սույն մասում նշված՝ օրենքով և իրավական ակտերով նախատեսված պահանջներին բավարարելու հանգամանքը գնահատում է Ինքնավար մարմինը, որի արդյունքում կազմվում և տրամադրվում է եզրակացություն։ Նշված պայմանագրի օրինակելի ձևը հաստատում է Ինքնավար մարմինը։

8․ Սույն հոդվածի 6-րդ մասի դրույթները չեն սահմանափակում իրավաբանական անձանց միջև տվյալների փոխանակումը տվյալների փոխանակման շերտի միջոցով՝ Ինքնավար մարմնի կողմից սահմանված կարգով։

9․ Արգելվում է պետական տեղեկատվական համակարգում առկա տվյալների պատճենահանումը և/կամ փոխանակումը տվյալների փոխանակման սույն օրենքով չնախատեսված շերտերի միջոցով։

Հոդված 21.  Հանրային տեղեկությունների տեղակայումը (միգրացիան) ամպային տիրույթ

1. Ամպային տիրույթում տեղակայվող հանրային տեղեկությունների ամբողջականության, հասանելիության և անվտանգության համար պատասխանատու է տեղեկատվություն տնօրինողը:
2. Մինչև պետական տեղեկատվական համակարգի մաս կազմող տվյալների շտեմարաններում մշակող հանրային տեղեկությունները ամպային տիրույթում տեղակայելու մասին որոշում կայացնելը, տեղեկատվություն տնօրինողը պարտավոր է գնահատել հանրային տեղեկությունների առկա պաշարն ու կառուցվածքը և սահմանված կարգով դասակարգել դրանք:
3. Տեղեկատվություն տնօրինողն ամպային ծառայության մատակարարի ընտրություն կազմակերպում է գնումների մասին օրենսդրությամբ սահմանված կարգով։ Ամպային ծառայությունների գնման գործընթացի մեթոդաբանությունը և կարգը հաստատում է Հայաստանի Հանրապետության  կառավարությունը։
4. Ամպային տիրույթում տեղեկատվական համակարգերի և պաշտոնական կայքէջերի անվտանգության նվազագույն պահանջները սահմանում է Հայաստանի Հանրապետության կառավարությունը։
5. Ամպային տիրույթում հանրային տեղեկությունների և պաշտոնական կայքէջերի տեղակայման կարգը հաստատում է Ինքնավար մարմինը:

6․    Ամպային ծառայությունների մատուցման պայմանագրերում չպետք է նշվեն սահմանափակումներ, որոնք կխոչընդոտեն տեղեկությունների կամ պաշտոնական կայքէջերի միգրացիան դեպի այլ ամպային տիրույթ:

ՀՈԴՎԱԾ 22. Սույն օրենքով սահմանված իրավունքների խախտման դեպքերի բողոքարկումը

1. Սույն օրենքով սահմանված իրավունքների խախտման դեպքերը կարող են օրենքով սահմանված կարգով բողոքարկվել դատարան։

ՀՈԴՎԱԾ 23. Սույն օրենքով սահմանված պահանջների նկատմամբ հսկողությունը և վերահսկողությունը

1․ Սույն օրենքով և դրա հիման վրա ընդունված իրավական ակտերով սահմանված պահանջների պահպանման նկատմամբ օրենքով նախատեսված կարգով վերահսկողություն և հսկողություն իրականացնում է Ինքնավար մարմինը։ 

ՀՈԴՎԱԾ 24․ Ինքնավար մարմնի  հաշվետվությունը

1․ Ինքնավար մարմինը մինչև յուրաքանչյուր տարվա ապրիլի 1-ը հրապարակում է հաշվետվություն նախորդ տարվա ընթացքում սույն օրենքի պահանջների պաշտպանության նպատակով իրականացված գործողությունների վերաբերյալ:

2․ Հաշվետվությունը պետք է տեղեկություններ պարունակի սույն օրենքի պահանջների խախտումների, խախտումներ կատարած տեղեկատվություն տնօրինողների, բողոքների, հարուցված վարույթների, կիրառված տույժերի և սույն օրենքի կատարման հետ կապված այլ հանգամանքների վերաբերյալ:

3․ Հաշվետվությունները տեղադրվում են Ինքնավար մարմնի պաշտոնական կայքում:

4․ Ի հավելումն սույն հոդվածի 1-ին մասում նշված հերթական հաշվետվությունների, Ինքնավար մարմինը կարող է հրապարակել հաշվետվություններ սույն օրենքի կիրառման  ընթացքում հայտնի դարձած էական հարցերի վերաբերյալ, որոնք ունեն համընդհանուր ազդեցություն կամ պահանջում են հրատապ կարգավորում։

5․ Ինքնավար մարմինը սույն օրենքի կիրառման վերաբերյալ կարող է հրապարակել խորհրդատվական բնույթի ցուցումներ, ուղեցույցներ:

ՀՈԴՎԱԾ 25. Եզրափակիչ մաս և անցումային դրույթներ

1․ Պետական և տեղական ինքնակառավարման մարմինները սույն օրենքում նախատեսված գրադարաններում ինտերնետ կապի միջոցով հանրային տեղեկություններին հասանելությունն ապահովում են մինչև 2025թ դեկտեմբերի 31-ը։ 

2․ Պետական մարմինները պարտավոր են մինչև 2025 թվականի դեկտեմբերի 31-ը ձեռնարկել համապատասխան միջոցներ իրենց պաշտոնական վեբ-կայքերը սույն օրենքից բխող պահանջներին համապատասխանեցնելու համար։ 

3․ Սույն օրենքով նախատեսված պետական տեղեկատվական համակարգի հետ անհամատեղելի տվյալների շտեմարանների գործունեությունը ենթակա է դադարեցման սույն օրենքն ուժի մեջ մտնելուց հետո մեկ տարվա ընթացքում։

4․Տվյալների շտեմարանները, որոնք կրկնում են տվյալների այլ շտեմարաններ կամ հավաքագրում և/կամ պահպանում են միմյանց փոխլրացնող ու փոխկապակցված տվյալներ պետք է միաձուլվեն կամ համապատասխանեցվեն սույն օրենքի պահանջներին՝ սույն օրենքն ուժի մեջ մտնելուց հետո մեկ տարվա ընթացքում:

5․ Մինչև սույն օրենքի ուժի մեջ մտնելը տվյալների շտեմարանների  պահպանման և/կամ սպասարկման համար կնքված պայմանագրերը շարունակում են իրենց գործողությունը մինչև այդ պայմանագրերով սահմանված ժամկետի ավարտը, բացառությամբ սույն հոդվածի 3-րդ և 4-րդ մասերով նախատեսված տվյալների շտեմարանների համար կնքված պայմանագրերի, որոնք կարող են գործել մինչև այդ մասերում նշված ժամկետի ավարտը։

6․ Մինչև սույն օրենքի ուժի մեջ մտնելը ստեղծված և գործող տվյալների շտեմարանների սույն օրենքի պահանջներին համապատասխանության գնահատման և պետական տեղեկատվական համակարգին միացման կարգը մշակում և Հայաստանի Հանրապետության  կառավարության հաստատմանն է ներկայացնում Ինքնավար մարմինը։ Սույն մասում նշված գնահատումն իրականացվում է Ինքնավար մարմնի կողմից։

ՀՈԴՎԱԾ 26. Սույն օրենքից բխող իրավական ակտերի ընդունումը

1․ Իրենց լիազորությունների շրջանակներում գործող իրավական ակտերի համապատասխանեցումը սույն օրենքին, ինչպես նաև սույն օրենքից բխող իրավական ակտերը, այդ թվում՝ տվյալների շտեմարանների վերաբերյալ,  համապատասխան մարմինները պարտավոր են ընդունել մինչև 2026 թվականի հուլիսի 1-ը:

ՀՈԴՎԱԾ 27․ Օրենքի ուժի մեջ մտնելը

1. Սույն օրենքն ուժի մեջ է մտնում պաշտոնական հրապարակմանը հաջորդող տասներորդ օրը:
2. Սահմանել, որ մինչև սույն օրենքի ուժի մեջ մտնելը ՀՀ կենտրոնական բանկի կողմից նույնականացման ազգային համակարգի, տվյալների անվտանգ փոխգործելիության և կիբերանվտանգության ենթակառուցվածքների ներդրման և զարգացման նպատակով ստեղծված Հայաստանի տեղեկատվական գործակալություն հիմնադրամի ֆինանսավորումը շարունակվելու է իրականացվել ՀՀ կենտրոնական բանկի միջոցների հաշվին սույն օրենքի ուժի մեջ մտնելու պահից մինչև Ինքնավար մարմնի ստեղծումն ու ամբողջական ձևավորումը (սույն օրենքից և այլ օրենքներից բխող բոլոր ենթաօրենսդրական նորմատիվ, ներքին ու անհատական իրավական ակտերի ընդունումը և ուժի մեջ մտնելը), բայց ոչ ավելի քան 2026 թվականը ներառյալ։

ՆԱԽԱԳԻԾ

ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ

ՕՐԵՆՔԸ

ՏԵՂԵԿԱՏՎԱԿԱՆ ՀԱՄԱԿԱՐԳԵՐԻ ԿԱՐԳԱՎՈՐՄԱՆ ՄԱՐՄՆԻ ՄԱՍԻՆ

1. Սույն օրենքը կարգավորում է տեղեկատվական համակարգերի կարգավորման մարմնի (այսուհետ՝ Հանձնաժողով) կազմավորման և գործունեության կարգը, անդամներին ներկայացվող պահանջները, անկախության երաշխիքները, կարգավորման լիազորությունների շրջանակը:

1. Հանձնաժողովն ինքնավար մարմին է, որն ապահովում է ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում օրենսդրությամբ իր իրավասության ներքո գտնվող խնդիրների իրականացումը, կազմակերպում է տեղեկատվական համակարգերի անվտանգության միջոցառումների համակարգի մշակման աշխատանքները և համակարգում է տեղեկատվական համակարգերի անվտանգության միջոցառումների իրականացումը։

2․ Կազմակերպում է Հայաստանի Հանրապետությունում նույնականացման, թվային ստորագրության ու գաղտնագրման ծրագրային ապահովումների համակարգի, տեղեկատվական մուտքի հարթակի (hartak.am), «Ես եմ» ազգային նույնականացման շերտի, կառավարական ցանցի, տվյալների փոխանակման շերտի, պետական ​​տեղեկատվական համակարգի կառավարման համակարգի, էլեկտրոնային փաստաթղթաշրջանառության միջգերատեսչական համակարգի մշակումը, կառավարումը, զարգացումը, հոսթինգը և դրանց օգտագործումը։

          ՀՈԴՎԱԾ 3․ Համագործակցությունը

 Հանձնաժողովն իր լիազորություններն իրականացնելիս համագործակցում է պետական և տեղական ինքնակառավարման մարմինների, օտարերկրյա պետությունների պետական մարմինների, ինչպես նաև միջազգային և այլ կազմակերպությունների հետ, կարող է կնքել հուշագրեր և իրավաբանական պարտադիր ուժ չունեցող միջազգային բնույթի այլ փաստաթղթեր:

1. Հանձնաժողովն օրենսդրությամբ նախատեսված գործառույթները այլ մարմինների կողմից կարգավորվող կամ վերահսկվող անձանց նկատմամբ իրականացնում է կարգավորող մարմինների հետ համագործակցության հիման վրա։ Հանձնաժողովի և կարգավորող մարմինների համագործակցությունը հիմնվում է հետևյալ սկզբունքների վրա.

1) կարգավորող մարմինների կողմից կարգավորվող կամ վերահսկվող անձանց առնչվող ոլորտներում ​​տեղեկատվական համակարգերի և կիբերանվտանգության վերաբերյալ խնդիրների մասին Հանձնաժողովը տեղեկացնում է համապատասխան կարգավորող մարմնին․

2) կարգավորող մարմինները օրենքով նախատեսված դեպքերում ​​տեղեկատվական համակարգերի և կիբերանվտանգության վերաբերյալ իրավական ակտեր ընդունելուց առաջ ներկայացնում են Հանձնաժողով՝ կարծիքի․

3) Հանձնաժողովի նախագահը և կարգավորող մարմինների ղեկավարները ստորագրում են համատեղ հրամաններ, որով կարգավորվում են՝

ա. Հանձնաժողովի ու կարգավորող մարմինների միջև տեղեկատվության փոխանակման դեպքերն ու կարգը.

բ. Համապատասխան ոլորտում ​​տեղեկատվական համակարգերի և կիբերանվտանգության վերաբերյալ համագործակցության ընթացակարգերը կարգավորող, ինչպես նաև օրենքով չարգելված այլ հարցեր.

 ՀՈԴՎԱԾ 4․        Հանձնաժողովի հիմնական խնդիրները

 Հանձնաժողովի հիմնական խնդիրներն են`

• Հայաստանի Հանրապետության միասնական թվայնացված միջավայրի և թվային տնտեսության ձևավորման խթանման և պաշտպանվածության ապահովումը.
• սույն օրենքի, այլ օրենքների և դրանց հիման վրա ընդունված ենթաօրենսդրական իրավական ակտերի կիրառման ապահովումը, դրանց խախտումների կանխարգելումը.
• Հայաստանի Հանրապետությունում պետական տեղեկատվական համակարգի միջոցով ծառայություններ մատուցելու խթանմանը նպաստող պայմանների ստեղծումը.
• օտարերկրյա պետական տեղեկատվական համակարգերի և միջազգային կազմակերպությունների հետ համագործակցության ապահովումը.
• կիբեռանվտանգության, էլեկտրոնային ծառայությունների և էլեկտրոնային կառավարման համակարգի ներդրման և զարգացման, թվայնացման գործընթացների համակարգման, միասնական թվայնացված միջավայրի և թվային տնտեսության ձևավորման նպատակով Կառավարության քաղաքականության մշակմանը մասնակցելը․
• պետական տեղեկատվական համակարգի կառավարման ապահովումը,
• նույնականացման, թվային ստորագրության և գաղտնագրման ծրագրային ապահովումների մշակման կազմակերպման և ղեկավարման աշխատանքները,
• օրենքով նախատեսված այլ խնդիրների իրականացումը:

2. Հանձնաժողովն օրենքով իրեն վերապահված իրավասությունների սահմաններում ընդունում է ենթաօրենսդրական իրավական ակտեր, այդ թվում՝ նորմատիվ բնույթի։

3․ Լիազոր մարմինը սույն օրենքի կիրառման վերաբերյալ կարող է հրապարակել խորհրդատվական բնույթի ցուցումներ, ուղեցույցներ:

 Հանձնաժողովը կազմված է 5 անդամից` նախագահ և 4 անդամ:

1. Հանձնաժողովի անդամների պաշտոններն ինքնավար պաշտոններ են:
2. Հանձնաժողովի անդամ կարող է նշանակվել միայն Հայաստանի Հանրապետության քաղաքացի հանդիսացող, բարձրագույն կրթությամբ և հայերենին տիրապետող անձը, որն ունի․

1) առնվազն 10 տարվա աշխատանքային փորձ, որից առնվազն 5 տարին քաղաքական, վարչական կամ հայեցողական պաշտոններում կամ կազմակերպման, ղեկավարման, վերահսկման կամ համակարգման գործառույթներ ունեցող այլ պաշտոններում (անկախ պետական կամ մասնավոր ոլորտում կատարած աշխատանքից) կամ տեղեկատվական տեխնոլոգիաների կամ հեռահաղորդակցության (էլեկտրոնային հաղորդակցության) բնագավառներում և,

2) իրենց մասնագիտական կարողություններով և գիտելիքներով ի վիճակի են ապահովել սույն օրենքով սահմանված իրավասությունների կատարումը և,

3) ունեն կիբեռանվտանգության, տվյալների մշակման, պաշտպանության, օգտագործման կամ հեռահաղորդակցության (էլեկտրոնային հաղորդակցության) ոլորտների օրենսդրության վերաբերյալ գիտելիքներ։

4. Հանձնաժողովի անդամն իր պաշտոնավարման ընթացքում չի կարող ունենալ կարգավորվող ոլորտում գործող իրավաբանական անձանց արժեթղթեր կամ դրանցում կատարել ներդրումներ:

1. Հանձնաժողովի նախագահին և մյուս անդամներին «Ազգային ժողովի կանոնակարգ» սահմանադրական օրենքով սահմանված կարգով նշանակում է Ազգային ժողովը:
2. Նույն անձը չի կարող ավելի քան երկու անգամ անընդմեջ նշանակվել Հանձնաժողովի նախագահ կամ լիազորությունների ամբողջ ժամկետով՝ Հանձնաժողովի անդամ:
3. Հանձնաժողովի անդամ չի կարող նշանակվել այն անձը, որը՝

1) չի համապատասխանում սույն օրենքի 5-րդ հոդվածով սահմանված պահանջներին.

2) լրացել է նրա 65 տարին.

3) դատարանի` օրինական ուժի մեջ մտած վճռով ճանաչվել է անգործունակ կամ սահմանափակ գործունակ.

4) դատարանի` օրինական ուժի մեջ մտած դատավճռով դատապարտվել է դիտավորությամբ կատարած հանցագործության համար.

5) օրենքով սահմանված կարգով զրկվել է որոշակի պաշտոն զբաղեցնելու իրավունքից.

6) ունի Կառավարության սահմանած ցանկով նախատեսված՝ դատավորի պաշտոնում նշանակմանը խոչընդոտող հիվանդություն:

4. Հանձնաժողովի նախագահի և անդամների պաշտոններում թեկնածու առաջադրելու իրավունք ունի Կառավարությունը: Կառավարությունը Հանձնաժողովի անդամների թեկնածուներ առաջադրելիս պետք է առաջնորդվի առավելագույնս տարբեր մասնագիտական կարողություններով և գիտելիքներով օժտված թեկնածուներ առաջադրելու սկզբունքով՝ սույն օրենքով սահմանված իրավասությունների պատշաճ իրականացումն ապահովելու նպատակով։
5. Հանձնաժողովի նախագահի կամ անդամի պաշտոնում թեկնածուն առաջադրվում է սույն օրենքի 12-րդ հոդվածի 7-րդ մասով սահմանված կարգով տեղեկացվելուց, ինչպես նաև Հանձնաժողովի նախագահ կամ անդամ նշանակելու մասին Ազգային ժողովի որոշումը չընդունվելուց հետո՝ մեկամսյա ժամկետում: Եթե Կառավարությունը սահմանված ժամկետում Հանձնաժողովի անդամի պաշտոնում թեկնածու չի առաջադրվում, ապա կրկին անգամ այդ պաշտոնում թեկնածու առաջադրում է մեկամսյա ժամկետում:
6. Հանձնաժողովի նախագահի կամ անդամի պաշտոնում նշանակումը կատարվում է այդ պաշտոնում թեկնածու առաջադրելու համար սահմանված ժամկետը լրանալուց հետո՝ մեկամսյա ժամկետում: Եթե Հանձնաժողովի նախագահ կամ անդամ նշանակելու մասին Ազգային ժողովի որոշումը չի ընդունվում, ապա նույն թեկնածուին կառավարությունը կարող է առաջադրել ևս մեկ անգամ։ Կրկին անգամ Ազգային ժողովի որոշումը չընդունվելու դեպքում կառավարությունն առաջադրում է նոր թեկնածու սույն օրենքով սահմանված կարգով և ժամկետում։

1. Հանձնաժողովի նախագահը և մյուս անդամները նշանակվում են հինգ տարի ժամկետով, բացառությամբ սույն հոդվածի 3-րդ մասով նախատեսված դեպքի և Հանձնաժողովի առաջին կազմի:
2. Հանձնաժողովի անդամի պաշտոնում նշանակումը մինչև այդ պաշտոնի թափուր դառնալը կատարվելու դեպքում Հանձնաժողովի անդամի պաշտոնավարման ժամկետն սկսվում է այդ պաշտոնը թափուր դառնալու օրվանից:
3. Հանձնաժողովի անդամի լիազորությունների վաղաժամկետ դադարման կամ դադարեցման դեպքում Հանձնաժողովի նոր անդամը նշանակվում է նախորդ անդամի պաշտոնավարման չլրացած ժամկետի մնացած ժամանակահատվածի համար: Եթե պաշտոնավարման մնացած ժամանակը պակաս է մեկ տարուց, ապա Հանձնաժողովի նոր անդամի պաշտոնավարման ժամկետը սահմանվում է հինգ տարի, որին գումարվում է մնացած ժամանակահատվածը: Այն դեպքում, երբ Հանձնաժողովի անդամի թափուր պաշտոնն առաջացել է այդ պաշտոնը զբաղեցրած անդամի՝ Հանձնաժողովի նախագահ նշանակվելու հետևանքով, ապա այդ թափուր պաշտոնում Հանձնաժողովի նոր անդամը նշանակվում է Հանձնաժողովի նախագահի պաշտոնավարման չլրացած ժամկետի մնացած ժամանակահատվածով: Եթե Հանձնաժողովի նախագահի պաշտոնավարման չլրացած ժամկետը պակաս է մեկ տարուց, ապա Հանձնաժողովի անդամի պաշտոնավարման ժամկետը սահմանվում է հինգ տարի, որին գումարվում է մնացած ժամանակահատվածը:
4. Այն դեպքում, երբ Հանձնաժողովի նախագահ է նշանակվում Հանձնաժողովի անդամներից մեկը, ապա նա պաշտոնավարում է մինչև իր՝ որպես Հանձնաժողովի անդամի պաշտոնավարման ժամկետի ավարտը: Եթե պաշտոնավարման մնացած ժամանակը պակաս է մեկ տարուց, ապա Հանձնաժողովի նախագահի պաշտոնավարման ժամկետը սահմանվում է հինգ տարի, որին գումարվում է մնացած ժամանակահատվածը:
5. Հանձնաժողովի անդամը պաշտոնավարում է մինչև նրա 65 տարին լրանալը:

1. Հանձնաժողովի անդամն անկախ է և գործում է Սահմանադրությանը և օրենքներին համապատասխան:
2. Հանձնաժողովի անդամը չի կարող պատասխանատվության ենթարկվել իր լիազորություններն իրականացնելիս հայտնած կարծիքի կամ կայացրած որոշման համար, բացառությամբ այն դեպքերի, երբ նրա արարքում առկա են հանցագործության հատկանիշներ:
3. Հանձնաժողովի անդամն իր լիազորությունների իրականացման ժամանակահատվածում և դրանից հետո չի կարող բացատրություն տալ կամ հարցաքննվել պաշտոնավարման ընթացքում Հանձնաժողովի իրականացրած վարչական վարույթի հետ կապված, բացառությամբ տվյալ վարույթի ընթացքում թույլ տված սխալների և չարաշահումների քննության դեպքի։
4. Իր լիազորությունների իրականացման կապակցությամբ Հանձնաժողովի անդամի նկատմամբ քրեական հետապնդում կարող է հարուցվել, կամ Հանձնաժողովի անդամը կարող է ազատությունից զրկվել Գլխավոր դատախազի միջնորդության հիման վրա միայն Հանձնաժողովի համաձայնությամբ` Հանձնաժողովի անդամների ընդհանուր թվի ձայների առնվազն երկու երրորդով: Հանձնաժողովի անդամն առանց Հանձնաժողովի համաձայնության կարող է զրկվել ազատությունից, երբ նա բռնվել է հանցանք կատարելու պահին կամ անմիջապես դրանից հետո: Այս դեպքում ազատությունից զրկելը չի կարող տևել յոթանասուներկու ժամից ավելի: Հանձնաժողովի անդամին ազատությունից զրկելու մասին անհապաղ տեղեկացվում է Հանձնաժողովի նախագահին:

1. Հանձնաժողովի անդամը չի կարող զբաղվել ձեռնարկատիրական գործունեությամբ, զբաղեցնել իր կարգավիճակով չպայմանավորված պաշտոն պետական մարմիններում, որևէ պաշտոն՝ առևտրային կազմակերպություններում, հանդիսանալ որևէ կուսակցության անդամ կամ կատարել վճարովի այլ աշխատանք, բացառությամբ գիտական, կրթական կամ ստեղծագործական աշխատանքի:
2. Հանձնաժողովի անդամն իր հրապարակային ելույթներում ցուցաբերում է քաղաքական զսպվածություն և չեզոքություն:

1. Հանձնաժողովի նախագահը`

1) իր իրավասության շրջանակում ներկայացնում է Հանձնաժողովը Հայաստանի Հանրապետությունում, այլ պետություններում, միջազգային և այլ կազմակերպություններում, համագործակցում է Հայաստանի Հանրապետության, օտարերկրյա պետությունների պետական մարմինների, ինչպես նաև միջազգային և այլ կազմակերպությունների հետ, կարող է կնքել հուշագրեր և իրավաբանական պարտադիր ուժ չունեցող միջազգային բնույթի այլ փաստաթղթեր.

2) ղեկավարում և համակարգում է Հանձնաժողովի բնականոն գործունեությունը, այդ նպատակով իր կողմից նշանակվող աշխատողներին տալիս է հանձնարարականներ, սահմանում է Հանձնաժողովի անդամների համակարգման ոլորտները, ըստ ոլորտների կատարվում է աշխատանքի բաշխում Հանձնաժողովի անդամների միջև.

3) հրավիրում և նախագահում է Հանձնաժողովի նիստերը, հաստատում է նիստի օրակարգը.

4) ստորագրում է Հանձնաժողովի որոշումները և եզրակացությունները.

5) կոորդինացնում և ապահովում է Հանձնաժողովի, նրա անդամների բնականոն աշխատանքը․

6) Հանձնաժողովի անդամների և իր կողմից նշանակվող աշխատողների համար հանդես է գալիս որպես գործատուի ներկայացուցիչ, իր իրավասությունների սահմաններում աշխատանքի է ընդունում և աշխատանքից ազատում Հանձնաժողովի աշխատողներին, դատարանում հանդես է գալիս Հանձնաժողովի անունից, տալիս է Հանձնաժողովի անունից հանդես գալու լիազորագրեր, ընդունում է հրամաններ, ներառյալ` համապատասխանության գնահատում, մշտադիտարկում իրականացնելու վերաբերյալ, իրականացնում է օրենքով իրեն վերապահված այլ լիազորություններ․

7) կազմակերպում է Հանձնաժողովի որոշումների և եզրակացությունների կատարումը.

8) ներկայացնում է Հանձնաժողովը Հայաստանի Հանրապետությունում, այլ պետություններում և միջազգային կազմակերպություններում.

9) տալիս է լիազորագրեր։

2. Արձակուրդի կամ գործուղման դեպքում Հանձնաժողովի նախագահը Հանձնաժողովի անդամներից մեկին նշանակում է իրեն փոխարինող: Փոխարինող չնշանակվելու, ինչպես նաև Հանձնաժողովի նախագահի ժամանակավոր անաշխատունակության, լիազորությունների դադարման, դադարեցման կամ կասեցման դեպքերում Հանձնաժողովի նախագահին փոխարինում է Հանձնաժողովի՝ տարիքով ավագ անդամը:

1. Հանձնաժողովի անդամը`

1) մասնակցում է Հանձնաժողովի նիստերին և քվեարկում, Հանձնաժողովի նիստի ժամանակ կարող է հանդես գալ ելույթներով, հարցերով և առաջարկություններով.

2) մեծամասնության կարծիքից տարբերվող կարծիք ունենալու դեպքում ներկայացնում է հատուկ կարծիք.

3) իր լիազորությունների սահմաններում համակարգում է կառուցվածքային ստորաբաժանումների կողմից իրականացվող աշխատանքները, տալիս է հանձնարարականներ և դրանց կատարման նկատմամբ իրականացնում է հսկողություն, ապահովում է Հանձնաժողովի նախագահի հանձնարարականների իրականացումը.

4) իր լիազորությունների սահմաններում հրավիրում է խորհրդակցություններ, կազմակերպում է քննարկումներ, համագործակցում է այլ մարմինների և կազմակերպությունների հետ.

5) իր լիազորությունների սահմաններում Հանձնաժողովի անունից ստորագրում է պաշտոնական փաստաթղթեր.

6) Հանձնաժողով և Հանձնաժողովի նախագահին ներկայացնում է առաջարկություններ.

7) իրականացնում է օրենքով նախատեսված այլ լիազորություններ:

1. Հանձնաժողովի անդամի լիազորությունները դադարում են, եթե՝

1) լրացել է նրա պաշտոնավարման տարիքը.

2) ավարտվել է նրա լիազորությունների ժամկետը.

3) նա կորցրել է Հայաստանի Հանրապետության քաղաքացիությունը կամ ձեռք է բերել այլ պետության քաղաքացիություն.

4) նա «Ազգային ժողովի կանոնակարգ» սահմանադրական օրենքով սահմանված կարգով հրաժարական է տվել.

5) նա դատարանի՝ օրինական ուժի մեջ մտած վճռով ճանաչվել է անգործունակ, սահմանափակ գործունակ, անհայտ բացակայող կամ մահացած.

6) նրա նկատմամբ կայացվել է դատարանի՝ օրինական ուժի մեջ մտած մեղադրական դատավճիռ.

7) նա մահացել է.

8) նա օրենքով սահմանված կարգով զրկվել է որոշակի պաշտոն զբաղեցնելու իրավունքից:

2. Հանձնաժողովի անդամի լիազորությունները Հանձնաժողովի եզրակացության հիման վրա «Ազգային ժողովի կանոնակարգ» սահմանադրական օրենքով սահմանված կարգով դադարեցվում են, եթե՝

1) նա պաշտոնավարման ընթացքում ձեռք է բերել Կառավարության սահմանած ցանկով նախատեսված՝ դատավորի պաշտոնում նշանակմանը խոչընդոտող հիվանդություն.

2) նա երկարատև անաշխատունակության կամ այլ հարգելի պատճառով մեկ տարվա ընթացքում բացակայել է Հանձնաժողովի նիստերի առնվազն կեսից.

3) նա մեկ տարվա ընթացքում ավելի քան երկու անգամ անհարգելի բացակայել է Հանձնաժողովի նիստերից.

4) նա խախտել է Հանձնաժողովի անդամի անհամատեղելիության պահանջները.

5) նա պարբերաբար չի կատարել կամ ոչ պատշաճ է կատարել իր պաշտոնեական պարտականությունները.

6) պաշտոնավարման ընթացքում պարզվել է, որ նա նշանակման պահին չի համապատասխանել Հանձնաժողովի անդամին ներկայացվող պահանջներին, կամ առկա են եղել նշանակումը խոչընդոտող հիմքեր:

3. Հանձնաժողովի նախագահի լիազորությունները դադարում են, եթե նրա՝ որպես Հանձնաժողովի անդամի լիազորությունները դադարել կամ դադարեցվել են:
4. Հանձնաժողովի նախագահը կամ սահմանված կարգով նրան փոխարինող Հանձնաժողովի անդամը սույն հոդվածի 2-րդ մասով նախատեսված եզրակացությունը դրա ընդունման օրվան հաջորդող երեք օրվա ընթացքում ուղարկում է Ազգային ժողովի նախագահին:
5. Հանձնաժողովի անդամի լիազորությունները կասեցվում են սույն հոդվածի 2-րդ մասով նախատեսված եզրակացության ընդունման դեպքում:
6. Ազգային ժողով հրաժարական ներկայացնելիս Հանձնաժողովի անդամն անհապաղ տեղեկացնում է Հանձնաժողովի նախագահին, ինչպես նաև այն մարմնին, որի առաջարկությամբ նա նշանակվել է Հանձնաժողովի անդամ:
7. Հանձնաժողովի անդամի պաշտոնավարման ժամկետը լրանալուց ոչ շուտ, քան երեք, և ոչ ուշ, քան երկու ամիս առաջ, իսկ այլ հիմքով Հանձնաժողովի անդամի թափուր տեղ առաջանալու օրվանից հետո՝ եռօրյա ժամկետում, Հանձնաժողովի նախագահը կամ սահմանված կարգով նրան փոխարինող Հանձնաժողովի անդամն այդ մասին գրավոր տեղեկացնում է վարչապետին և Ազգային ժողովի նախագահին՝ նշելով սույն օրենքի 5-րդ հոդվածի 3-րդ և 4-րդ մասերով սահմանված պահանջները, որին պետք է համապատասխանի Հանձնաժողովի տվյալ անդամը:

Հոդված 13. Հանձնաժողովի անդամների և ծառայողների վարձատրությունը։ Հանձնաժողովում ծառայության առանձնահատկությունները

1. Հանձնաժողովի անդամի համար սահմանվում է նրա բարձր կարգավիճակին և պատասխանատվությանը համապատասխանող վարձատրություն: Հանձնաժողովում վարձատրության չափի հաշվարկում ընդգրկվում է ինչպես աշխատավարձը, այնպես էլ լրացուցիչ վարձատրությունը: Լրացուցիչ վարձատրության չափը սահմանում է Հանձնաժողովը՝ յուրաքանչյուր աշխատակցի կոմպետենցիաների (գիտելիքների, ունակությունների, հմտությունների և վարքագծի պարտադիր պահանջների ամբողջություն) շրջանակը և մասնավոր հատվածում համարժեք կոմպետենցիաների համար վարձատրության միջին չափերը հաշվի առնելով։

 Հանձնաժողովի նախագահի, խորհրդի անդամների և քաղաքացիական ծառայողների վարձատրության չափը և կարգը սահմանվում է օրենքով:

2. Հանձնաժողովի մասնագիտական ստորաբաժանումների ծառայողները քաղաքացիական ծառայողներ չեն և նրանց հետ աշխատանքային հարաբերությունները կարգավորվում են աշխատանքային օրենսդրությամբ սահմանված կարգով։ Նշված աշխատակիցների աշխատանքի ընդունման կարգը և վարձատրության մեթոդաբանությունը հաստատում է Հանձնաժողովը՝ մասնավոր հատվածում համարժեք աշխատանքների վարձատրության չափերը հաշվի առնելով։
3. Հանձնաժողովի աջակցող կառուցվածքային ստորաբաժանումներում մասնագիտական գործունեությունը, բացառությամբ տեխնիկական սպասարկման գործառույթների հետ կապված աշխատանքային գործունեության, քաղաքացիական ծառայություն է։ Հանձնաժողովի գլխավոր քարտուղարը քաղաքացիական ծառայող է:
4. Հանձնաժողովի աջակցող կառուցվածքային ստորաբաժանումներում ծառայության հետ կապված հարաբերությունները կարգավորվում են «Քաղաքացիական ծառայության մասին» Հայաստանի Հանրապետության օրենքով:
5. Հանձնաժողովի աշխատակիցները իրենց լիազորությունների իրականացման ժամանակահատվածում և դրանից հետո չեն կարող բացատրություն տալ կամ հարցաքննվել իրականացրած վարչական վարույթի հետ կապված, բացառությամբ տվյալ վարույթի ընթացքում թույլ տված չարաշահումների քննության դեպքի։ Հանձնաժողովի աշխատակիցները չեն կարող ենթարկվել գույքային, վարչական պատասխանատվության սույն օրենքով նախատեսված իրենց պարտականությունների պատշաճ կատարման համար:

6․ Հանձնաժողովում պարգևատրման կարգը հաստատում է Հանձնաժողովը։ 

1. Հանձնաժողովն իր գործունեությունն իրականացնում է Սահմանադրությանը, օրենքին և այլ իրավական ակտերին համապատասխան և իր գործառույթներն ու լիազորություններն իրականացնելիս ինքնուրույն է:
2. Հանձնաժողովի գործառույթների և լիազորությունների իրականացման ընթացակարգերի մանրամասները սահմանվում են Հանձնաժողովի աշխատակարգով:

3․ՀՀ կառավարության որոշմամբ Հանձնաժողովի կառավարմանը կարող են հանձնվել պետական մասնակցությամբ ընկերությունների բաժնետոմսեր կամ Հանձնաժողովը կարող է իրականացնել պետական ոչ առևտրային կազմակերպության կառավարումն իրականացնող լիազորված մարմնի գործառույթներ։

1. Հանձնաժողովը՝

1) իրականացնում է վերահսկողություն ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում օրենսդրության պահպանման նկատմամբ.

2) տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում ընդունում է կարգավորող ակտեր և իրականացնում է​​ օրենսդրության խախտումները կանխող միջոցառումներ, այդ թվում՝

ա. հաստատում է խորհրդատվական բնույթ կրող ուղեցույցներ, այլ փաստաթղթեր․

բ. իրազեկում է հանրությանը ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառին առնչվող հարցերի մասին.

գ. տալիս է պարզաբանումներ ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում օրենսդրության կիրառման հետ կապված հարցերի վերաբերյալ.

դ. օրենքով նախատեսված դեպքերում տալիս է եզրակացություն․

ե. պետական և տեղական ինքնակառավարման մարմիններին, իրավաբանական անձանց կամ դրանց պաշտոնատար անձանց տալիս է զգուշացում այն գործողությունների և (կամ) վարքագծի վերաբերյալ, որոնք կարող են հանգեցնել ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում օրենսդրությամբ սահմանված պահանջների խախտմանը կամ այդ բնագավառներում մեծացնել անվտանգային ռիսկերը, այդ ուղղությամբ ընդունում է կարգավորող ակտեր.

3) հարուցում է ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում իրավախախտման վերաբերյալ վարույթ, օրենքով սահմանված դեպքերում և կարգով կիրառում է պատասխանատվության միջոցներ՝ հանձնարարելով իր սահմանած ժամկետում շտկել խախտումը և հետագայում բացառել այն.

4) իրականացնում է վերահսկողություն` Հանձնաժողովի որոշումների կատարման (պահպանման) նկատմամբ.

5) կազմակերպում է կիբերանվտանգությանը սպառնացող ռիսկերի մոնիտորինգ, վերլուծություն.

6) կազմակերպում է պետական ​​տեղեկատվական համակարգին պատկանող կենտրոնական հարթակների մշակումը, կառավարումը և հոսթինգը.

7) սույն օրենքին հակասող գործողությունները կամ վարքագիծը դադարեցնելու միջնորդությամբ դիմում է պետական, տեղական ինքնակառավարման մարմնի, իրավաբանական անձի կամ դրանց պաշտոնատար անձի վերադասին, իսկ վերադաս չունենալու դեպքում` պետական, տեղական ինքնակառավարման մարմին, իրավաբանական անձին կամ դրանց պաշտոնատար անձանց․

8) դիմում է դատարան՝ պետական, տեղական ինքնակառավարման մարմինների, իրավաբանական անձանց և դրանց պաշտոնատար անձանց ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում օրենսդրությունը խախտող ակտերը, գործողությունները և անգործությունը ոչ իրավաչափ կամ անվավեր ճանաչելու, դադարեցնելու կամ դրանցից ձեռնպահ մնալու պահանջով, եթե այդ վեճը հնարավոր չէ լուծել վարչական կարգով կամ բանակցությունների արդյունքում.

9) օրենքով սահմանված դեպքում դիմում է օպերատիվ-հետախուզական գործունեություն իրականացնող մարմիններ ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում իրավախախտումների կանխման կամ բացահայտման գործում աջակցություն ստանալու նպատակով.

10) ամփոփում է ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում օրենսդրության կիրառման փորձը և առաջարկություններ է մշակում դրա կատարելագործման ուղղությամբ․

11) մասնակցում է ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում պետական քաղաքականության մշակմանը․

12) հաստատում է իր աշխատակարգը․

13) սահմանում է Հանձնաժողովի վարչական վարույթի վերաբերյալ գործերի և վարչական ակտերի հաշվառման գրանցամատյանների վարման կարգն ու պայմանները, ինչպես նաև Հանձնաժողովի գործավարության կարգը.

14) սահմանում է ​​տեղեկատվական համակարգերի և կիբերանվտանգության բնագավառում խախտումների վերաբերյալ արձանագրությունների ձևը․

15) գնահատում է անձը հաստատող փաստաթղթի տվյալների կրիչի տեխնիկական բնութագրերի համապատասխանությունը օրենքով և դրա հիման վրա ընդունված ակտերով սահմանված պահանջներին․

16) սահմանում է Հանձնաժողովում լրագրողների հավատարմագրման կարգը

17) սահմանում է Հանձնաժողովում տեղեկությունների դասակարգման կարգը․

18) օրենքով նախատեսված դեպքերում կազմակերպում և ապահովում է կրիտիկական տեղեկատվական  ենթակառուցվածքների կիբեռանվտանգությունը.

19) օրենքով նախատեսված դեպքերում կազմակերպում և իրականացնում է կիբեռանվտանգության միջադեպերին արձագանքման գործառույթները, համակարգում է կիբեռմիջադեպերի կանխարգելումը․

20) իրականացնում է օրենքով նախատեսված այլ լիազորություններ:

2. Հանձնաժողովը սույն հոդվածով նախատեսված լիազորությունների իրականացման ժամանակ և օրենքով նախատեսված այլ դեպքերում կարող է ընդունել ենթաօրենսդրական նորմատիվ, ներքին և անհատական բնույթի իրավական ակտեր:

3․Հանձնաժողովի օրենքով նախատեսված լիազորությունների իրականացման ընթացքում քրեորեն հետապնդելի արարքի հատկանիշներ հայտնի դառնալու դեպքում Հանձնաժողովն այդ մասին տեղեկացնում է իրավապահ մարմիններին՝ օրենքով սահմանված կարգով։

4․Հանձնաժողովի նախագահն ընդունում է անհատական և ներքին իրավական ակտեր` որոշումներ ու կարգադրություններ:

 Հոդված 16.Հանձնաժողովի որոշումները և եզրակացությունները

1. Հանձնաժողովն ընդունում է որոշումներ և եզրակացություններ:
2. Հանձնաժողովի որոշումները և եզրակացությունները ընդունվում են գրավոր, բացառությամբ ընթացակարգային հարցերի քննարկման կամ ըստ էության որոշում չկայացնելու (այդ թվում` դռնփակ նիստ գումարելու, հարցը քննարկումից հանելու, քննարկումը հետաձգելու, օրակարգում լրացուցիչ հարց ընդգրկելու, աշխատողներին հանձնարարություն տալու, նիստից հեռացնելու մասին որոշումները և այլն) դեպքերի: Հանձնաժողովի հայեցողությամբ այդ որոշումները ևս կարող են ձևակերպվել գրավոր:
3. Հանձնաժողովը սեփական նախաձեռնությամբ, պետական մարմնի միջնորդությամբ կամ տեղական ինքնակառավարման մարմնի կամ իրավաբանական անձանց դիմումի հիման վրա կարող է պարզաբանել իր որոշումները և եզրակացությունները՝ առանց փոխելու դրանց բովանդակությունը:

1. Հանձնաժողովի որոշումները և եզրակացությունները ընդունվում են նիստում:
2. Հանձնաժողովի նիստերը գումարվում են որոշակի պարբերականությամբ կամ ըստ անհրաժեշտության՝ Հանձնաժողովի անդամներից որևէ մեկի պահանջով, ինչպես նաև Հանձնաժողովի աշխատակարգով նախատեսված այլ դեպքերում:
3. Հանձնաժողովի նիստն անցկացվում է Հանձնաժողովի գտնվելու վայրում կամ Հանձնաժողովի նախագահի նախաձեռնությամբ` այլ վայրում:
4. Հանձնաժողովի նիստը նախագահում է Հանձնաժողովի նախագահը, իսկ նրա բացակայության դեպքում` նրան փոխարինող անդամը:
5. Հանձնաժողովի նիստն իրավազոր է, եթե դրան մասնակցում է առնվազն երեք անդամ:
6. Հանձնաժողովի նիստերը կարող են կազմակերպվել հեռավար։ Հանձնաժողովի նիստը նախագահողի համաձայնությամբ Հանձնաժողովի անդամը նիստին կարող է մասնակցել հեռավար:
7. Հանձնաժողովի նիստին կամ դրա առանձին մասին մասնակցելու իրավունք ունեցող անձանց շրջանակը որոշում է նիստը նախագահողը:
8. Նիստին մասնակցող անձինք իրավունք ունեն կատարելու գրառումներ, սղագրություն և ձայնագրություն: Նիստի ընթացքում լուսանկարահանումը և տեսաձայնագրումը, ինչպես նաև հեռարձակումը ռադիոյով, հեռուստատեսությամբ կամ հեռահաղորդակցության կապի այլ միջոցով կատարվում են նախագահողի թույլտվությամբ:
9. Եթե նիստին ներկա անձանցից որևէ մեկը խախտում է նիստի կարգը կամ անհարգալից վերաբերմունք է դրսևորում Հանձնաժողովի կամ այլ անձանց նկատմամբ, ապա Հանձնաժողովը կարող է որոշում կայացնել նիստի անցկացման վայրից նրան հեռացնելու և նրա բացակայությամբ նիստը շարունակելու վերաբերյալ:
10. Հանձնաժողովի նիստերն արձանագրվում են։ Գրավոր արձանագրությունն ստորագրում են Հանձնաժողովի՝ նիստին մասնակցած բոլոր անդամները:

1. Հանձնաժողովի անդամը չի կարող մասնակցել հարցի քննարկմանը և քվեարկությանը, եթե առկա է «Վարչարարության հիմունքների և վարչական վարույթի մասին» օրենքով սահմանված բացարկ հայտնելու հիմքերից որևէ մեկը:
2. Հանձնաժողովի անդամը պարտավոր է ինքնաբացարկի հիմքն իրեն հայտնի դառնալու պահից անհապաղ գրավոր կամ բանավոր Հանձնաժողով ինքնաբացարկ ներկայացնել՝ շարադրելով ինքնաբացարկի հիմք հանդիսացող հանգամանքները:
3. Հանձնաժողովի անդամը կարող է քննարկման առարկա դարձնել Հանձնաժողովի այլ անդամին բացարկ հայտնելու հարցը:
4. Հանձնաժողովի նիստը նախագահողը քննարկման է ներկայացնում ինքնաբացարկի կամ բացարկի հարցը, որը քննարկվում է Հանձնաժողովի՝ ինքնաբացարկ հայտնած կամ բացարկվող անդամի մասնակցությամբ:
5. Հարցի քննարկումից հետո Հանձնաժողովը կայացնում է որոշում: Հանձնաժողովի՝ ինքնաբացարկ հայտնած կամ բացարկվող անդամը, ինչպես նաև բացարկ հայտնած անդամը չեն մասնակցում ինքնաբացարկի կամ բացարկի հարցով քվեարկությանը:
6. Ինքնաբացարկի կամ բացարկի ընդունման դեպքում այդ անդամը չի մասնակցում այն հարցի քննությանը և քվեարկությանը, որի կապակցությամբ առկա է ինքնաբացարկի կամ բացարկի հիմք:

1. Հանձնաժողովի նիստերում որոշումները և եզրակացություններն ընդունվում են նիստին մասնակցող անդամների ձայների մեծամասնությամբ: Ձայների հավասար բաշխման դեպքում նիստը նախագահողի ձայնը որոշիչ է:
2. Քվեարկությունից ձեռնպահ մնալը կամ ձայնի փոխանցումը մեկ այլ անդամի չի թույլատրվում:
3. Հանձնաժողովի որոշման կամ եզրակացության պատճառաբանական կամ եզրափակիչ մասի վերաբերյալ տարբերվող կարծիք ունենալու դեպքում Հանձնաժողովի անդամը մեկ օրվա ընթացքում ներկայացնում է գրավոր հատուկ կարծիք։ Հանձնաժողովի անդամի հատուկ կարծիքն ստորագրվում և կցվում է համապատասխան որոշմանը կամ եզրակացությանը։
4. Հանձնաժողովի ընդունած որոշումը և եզրակացությունը Հանձնաժողովի նախագահն ստորագրում է մեկ օրվա ընթացքում, բացառությամբ սույն հոդվածի 5-րդ մասով նախատեսված դեպքերի:
5. Հանձնաժողովի ընդունած որոշումը կամ եզրակացությունը, որն ընդունվել է որոշակի դիտողությունների և առաջարկությունների ներկայացմամբ, դրանց համապատասխան լրամշակվում և Հանձնաժողովի նախագահի կողմից ստորագրվում է հինգ օրվա ընթացքում:

6․ Հանձնաժողովի որոշումները կամ եզրակացությունները, մինչև սահմանված կարգով ընդունվելը, կարող են քննարկվել շահագրգիռ կողմերի, այդ թվում՝ իրավաբանական անձանց որոշումներ կայացնելու լիազորությամբ օժտված պաշտոնատար անձանց մասնակացությամբ։ Շահագրգիռ կողմերի հետ Հանձնաժողովի որոշումները կամ եզրակացությունները քննարկելու կարգը հաստատում է Հանձնաժողովը։

1. Հանձնաժողովի որոշումները և եզրակացություններն ստորագրվելուց հետո՝ եռօրյա ժամկետում, ուղարկվում են հասցեատիրոջը։ Հանձնաժողովի որոշումները, եզրակացությունները հրապարակվում են Հանձնաժողովի պաշտոնական կայքում, բացառությամբ պետական կամ օրենքով պահպանվող այլ գաղտնիք պարունակող հատվածների:
2. Հանձնաժողովի որոշումներն ուժի մեջ են մտնում ընդունման պահից, եթե այդ որոշմամբ ուժի մեջ մտնելու ավելի ուշ ժամկետ նախատեսված չէ։ Հանձնաժողովի ընդունած վարչական ակտերը և ենթաօրենսդրական նորմատիվ իրավական ակտերն ուժի մեջ են մտնում օրենքով սահմանված կարգով և ժամկետներում։
3. Հանձնաժողովի եզրակացություններն ուժի մեջ են մտնում ընդունման պահից:

4․ Պետական տեղեկատվական համակարգի և կիբերանվտանգության բնագավառի հարցերի վերաբերյալ Հանձնաժողովի եզրակացության կատարումը պարտադիր է։ Եզրակացությամբ չառաջնորդվելը հիմք է հանդիսանում հանրային տեղեկություններին հասանելիությունը սահմանափակելու կամ հասանելիություն չտրամադրելու կամ օրենքով նախատեսված դեպքերում  իրավախախտման վերաբերյալ վարույթ հարուցելու համար:

1. Հանձնաժողովի նախագահի գրության կամ Հանձնաժողովի որոշման կամ օրենսդրությամբ սահմանված պահանջի հիման վրա պետական և տեղական ինքնակառավարման մարմինները, իրավաբանական անձինք, ինչպես նաև դրանց պաշտոնատար անձինք պարտավոր են սահմանված ժամկետում ներկայացնել Հանձնաժողովի լիազորությունների իրականացման համար անհրաժեշտ տվյալներ, նյութեր և տեղեկություններ:
2. Հանձնաժողովի նախագահի գրությամբ կամ Հանձնաժողովի որոշմամբ անհրաժեշտ տվյալներ, նյութեր և տեղեկություններ պահանջելիս Հանձնաժողովը տեղեկացնում է դրանք ներկայացնելու ժամկետների, ինչպես նաև սահմանված ժամկետում չներկայացնելու կամ ոչ հավաստի կամ ոչ ամբողջական տվյալներ, նյութեր և տեղեկություններ ներկայացնելու իրավական հետևանքների մասին:
3. Հիմնավոր միջնորդության հիման վրա տեղեկատվության ներկայացման ժամկետը համապատասխանաբար կարող է Հանձնաժողովի նախագահի գրությամբ կամ Հանձնաժողովի որոշմամբ երկարաձգվել:
4. Հանձնաժողովը կարող է ստանալ և լիազորություններն իրականացնելիս օգտագործել պետական էլեկտրոնային հարթակներից հատուկ տեխնիկածրագրային ուղիների միջոցով ձեռք բերված տեղեկատվությունը:

1. Առևտրային, բանկային, պետական կամ օրենքով պահպանվող այլ գաղտնիք հանդիսացող տեղեկությունները պահպանվում են օրենքով սահմանված կարգով:

2․ Հանձնաժողովի նախագահը, խորհրդի անդամները և աշխատակիցները չեն կարող հրապարակել կամ այլ կերպ տարածել ծառայողական օգտագործման համար նախատեսված տեղեկությունները, ինչպես նաև օգտագործել նման տեղեկությունները շահադիտական նպատակներով:

3. Սույն օրենքի իմաստով ծառայողական օգտագործման համար նախատեսված տեղեկություններ են համարվում նաև Հանձնաժողովի աշխատակիցներին իրենց ծառայողական (աշխատանքային) պարտականությունները կատարելու ընթացքում հայտնի դարձած տեղեկությունները, այդ թվում` Հանձնաժողովի օրենքով նախատեսված լիազորությունների իրականացման ընթացքում կիբեռանվտանգության, տեղեկատվական համակարգերի անվտանգության գործիքների կիրառման, տեխնոլոգիական և ծրագրային լուծումների, ինչպես նաև վերահսկողության և հսկողության տվյալների վերաբերյալ, բացառությամբ` հրապարակված կամ այլ կերպ տարածված տեղեկությունների։
4. Հանձնաժողովը կարող է սահմանել ծառայողական օգտագործման համար նախատեսված տեղեկությունների ցանկ և պահպանության տարբեր աստիճաններ, ինչպես նաև դրանց օգտագործման և հրապարակման կարգը:
5. Սույն հոդվածում նշված տեղեկությունների հրապարակման հետևանքով հասցված վնասը ենթակա է փոխհատուցման օրենսդրությամբ սահմանված կարգով:

1. Հանձնաժողովի բնականոն գործունեությունն ապահովում են նրա կառուցվածքային ստորաբաժանումները:
2. Հանձնաժողովի կառուցվածքային ստորաբաժանումների աշխատողների քանակը, կանոնադրությունը, կառուցվածքը և հաստիքացուցակը հաստատում է Հանձնաժողովը:
3. Կառուցվածքային ստորաբաժանումների կանոնադրությունը հաստատում է Հանձնաժողովի նախագահըը:

 Հոդված 24.    Վարչական իրավախախտումների վերաբերյալ վարույթը

1. Վարչական իրավախախտումների վերաբերյալ գործերով վարույթի հետ կապված հարաբերությունները կարգավորվում են «Վարչարարության հիմունքների և վարչական վարույթի մասին» Հայաստանի Հանրապետության օրենքով, ինչպես նաև Վարչական իրավախախտումների վերաբերյալ Հայաստանի Հանրապետության օրենսգրքով՝ հաշվի առնելով սույն օրենքով սահմանված կարգավորումները, ։
2. Հանձնաժողովը վարչական իրավախախտումների վերաբերյալ վարույթի արդյունքում ընդունում է որոշումներ, որոնք կարող են բողոքարկվել «Վարչարարության հիմունքների և վարչական վարույթի մասին» Հայաստանի Հանրապետության օրենքին համապատասխան` հաշվի առնելով սույն հոդվածի 3-րդ մասով սահմանված առանձնահատկությունը։

3․ Հանձնաժաղովի վարչական ակտը կարող է բողոքարկվել դատական կարգով միայն վարչական կարգով բողոքարկվելուց հետո:

Հոդված 25. Հանձնաժողովի ֆինանսավորումը

1. Հանձնաժողովի ֆինանսավորումն իրականացվում է պետական բյուջեի միջոցների հաշվին: Հանձնաժողովին հատկացվող պահպանման ծախսերի տարեկան մեծությունը ձևավորվում է նաև օրենքով չարգելված այլ աղբյուրներից:
2. Հանձնաժողովը օրենքով սահմանված կարգով յուրաքանչյուր տարի կազմում և Հայաստանի Հանրապետության կառավարություն (այսուհետ՝ Կառավարություն) է ներկայացնում Հանձնաժողովի բյուջետային ֆինանսավորման հայտը` առաջիկա տարվա պետական բյուջեի նախագծում ներառելու համար:
3. Բյուջետային հայտը Կառավարության կողմից ընդունվելու դեպքում անփոփոխ, իսկ առարկության դեպքում փոփոխված ընդգրկվում է Հայաստանի Հանրապետության պետական բյուջեի նախագծում։ Պետական բյուջեի նախագծի հետ միասին Ազգային ժողով է ներկայացվում նաև Հանձնաժողովի հայտը:

1. Հանձնաժողովի նախագահը յուրաքանչյուր տարի՝ մինչև մայիսի 1-ը, Ազգային ժողով է ներկայացնում հաղորդում Հանձնաժողովի նախորդ տարվա գործունեության մասին: Հաղորդումը ներառում է նախորդ տարվա ընթացքում Հանձնաժողովի իրականացրած գործունեության վերաբերյալ տեղեկություններ, վիճակագրական տվյալներ, համեմատական վերլուծություններ և եզրահանգումներ: Ազգային ժողովի նիստում հաղորդումը քննարկվում է «Ազգային ժողովի կանոնակարգ» սահմանադրական օրենքի 126-րդ հոդվածի 3-րդ մասով սահմանված կարգով՝ Հանձնաժողովի նախագահի ներկայացմամբ:
2. Հաղորդումը Ազգային ժողովում քննարկվելուց հետո 5 աշխատանքային օրվա ընթացքում հրապարակվում է Հանձնաժողովի պաշտոնական կայքում, բացառությամբ օրենքով պահպանվող գաղտնիք հանդիսացող տեղեկությունների։

Հոդված 27.     Հանձնաժողովի կողմից վերահսկողություն և համապատասխանության գնահատում իրականացնելը 

1. Օրենքով նախատեսված դեպքերում, օրենքով և այդ օրենքների հիման վրա ընդունված իրավական ակտերով սահմանված պահանջների պահպանման նկատմամբ վերահսկողություն իրականացնում և պատասխանատվության միջոցներ կիրառում է Հանձնաժողովը՝ սույն օրենքով սահմանված կարգով համապատասխանության գնահատում իրականացնելու միջոցով։
2. Իրավաբանական անձի նկատմամբ կիբեռանվտանգության ոլորտում օրենքով նախատեսված կարգավորող և վերահսկող այլ մարմին առկա չլինելու կամ կարգավորող և վերահսկող այլ մարմնի կիբեռանվտանգության ապահովման ոլորտում գործառույթների իրականացման իրավական հիմքերի բացակայության դեպքում իրավաբանական անձի նկատմամբ վերահսկողությունն իրականացնում է Հանձնաժողովը՝ սույն օրենքով սահմանված կարգով: Սույն մասում նշված կարգավորումից բացառություն է կազմում իրավաբանական անձին կարգավորող և վերահսկող մարմնի նկատմամբ վերահսկողությունը։
3. Հանձնաժողովը իրավաբանական անձանց նկատմամբ օրենքի և դրա հիման վրա ընդունված իրավական ակտերի պահանջների կատարման նկատմամբ վերահսկողության ընթացքում համապատասխան կարգավորող և վերահսկող մարմինների հետ համագործակցությունն ապահովվում է սույն օրենքով սահմանված կարգով:
4. Համապատասխանության գնահատումն իրականացնում է Հանձնաժողովի կողմից ստեղծվող համապատասխանության գնահատում իրականացնելու համար լիազորված խումբը (այսուհետ` գնահատող խումբ):
5. Համապատասխանության գնահատումներն անցկացվում են Հանձնաժողովի որոշմամբ` Հանձնաժողովի տարածքում։ Առանձին դեպքերում, Հանձնաժողովի որոշմամբ, գնահատող խմբի անդամները վերահսկողության ենթակա օբյեկտում կարող են իրականացնել տեղեկատվական համակարգերի տեխնիկական և ֆիզիկական անվտանգության պահանջների համապատասխանության գնահատում։ Սույն կետում նշված որոշման մեջ նշվում են վերահսկողության ենթակա անձի անվանումը, համապատասխանության գնահատման նպատակը, ուղղությունները (ոլորտները), գնահատող խմբի կազմը, այդ թվում` ղեկավարը, համապատասխանության գնահատում  անցկացնելու սկիզբը և ավարտը:

6․ Սույն օրենքի հիման վրա  համապատասխանության գնահատման արդյունքում կազմված հաշվետվություններում և եզրակացություններում (տեղեկանքներում) պարունակվող տեղեկությունները համարվում են ծառայողական օգտագործման համար տեղեկություններ, որոնք կարող են երրորդ անձանց տրամադրվել բացառապես օրենքով նախատեսված հիմքերով և կարգով:

7․ Հանձնաժողովը  համապատասխանության գնահատում իրականացնելիս իրավունք ունի ստանալու այլ պետական մարմինների աջակցությունը։

8․ Հանձնաժողովը կարող է համապատասխանության գնահատման ցանկացած փուլում առանձին հարցերի պարզաբանման նպատակով ներգրավել համապատասխան մասնագետների, փորձագետների:

9․Սույն հոդվածը չի տարածվում Հանձնաժողովի կողմից կնքված պայմանագրերի պայմանների պահպանման նկատմամբ իրականացվող ստուգումների դեպքերի վրա։ Պայմանագրերի պայմանների նկատմամբ իրականացվող ստուգումների կարգը հաստատում է Հանձնաժողովը։

1. Համապատասխանության գնահատումներն անցկացվում են վերահսկվող անձի տեղեկատվական համակարգերին հասանելիություն ապահովելու միջոցով և տեղեկատվական համակարգերի ու կիբեռանվտանգության ապահովման պահանջներին վերաբերող տվյալների, նյութերի և տեղեկությունների, դրանցում կատարված փոփոխությունների, վերաբերող պայմանագրերի (ակտերի, արձանագրությունների և այլն), տեխնիկական առաջադրանքների, անկախ աուդիտորական եզրակացությունների ուսումնասիրության և վերլուծության միջոցով:
2. Համապատասխանության գնահատման ընթացքում, առանց գնահատող խմբի ղեկավարի թույլտվության, կողմնակի անձանց մուտքը գնահատող խմբի աշխատանքային տարածք արգելվում է:
3. Համապատասխանության գնահատում իրականացնելիս կարող են կիրառվել համակարգչային տեխնոլոգիաներ և այլ տեխնիկական կամ ծրագրային միջոցներ, էլեկտրոնային և այլ սարքավորումներ, կրիչներ, թվային տիրույթում կատարվել այլ գործողություններ՝ ուղղված համապատասխանության գնահատման իրականացմանն ու արդյունքների ամփոփմանը։

Հոդված 29․ Վերահսկվող անձի պարտականությունները:

1. Վերահսկվող անձը պարտավոր է `

1) ապահովել տեղեկատվական համակարգերին և կիբեռանվտանգության ապահովման պահանջներին վերաբերող տվյալների, նյութերի և այլ տեղեկությունների, դրանցում կատարված փոփոխությունների, վերաբերող պայմանագրերի (ակտերի, արձանագրությունների և այլն), տեխնիկական առաջադրանքների, անկախ աուդիտորական եզրակացությունների տրամադրումը գնահատող խմբին, ինչպես նաև ապահովել գնահատող խմբի հասանելիությունը տեղեկատվական համակարգերին, էլեկտրոնային ծրագրերին՝ անկախ այն հանգամանքից դրանք պարունակում են առևտրային գաղտնիք կազմող տեղեկություններ կամ անձնական տվյալներ, թե ոչ։

2) պարտավոր է կատարել գնահատող խմբի ղեկավարի օրինական պահանջները, ինչպես նաև գնահատող խմբի ղեկավարին և անդամներին ներկայացնել գրավոր և բանավոր բացատրություններ, տեղեկություններ և պարզաբանումներ համապատասխանության գնահատման ենթակա հարցերի վերաբերյալ:

3. Արգելվում է համապատասխանության գնահատման ընթացքում խոչընդոտել կամ միջամտել գնահատող խմբի անդամների օրինական գործողություններին: Գնահատող խմբի անդամները կարող են մասնակցել վերահսկվող իրավաբանական անձի կոլեգիալ գործադիր մարմնի (տնօրեննների խորհրդի) նիստերին և ներկայացնել և քննարկել համապատասխանության գնահատման արդյունքները, հնարավոր հետևանքները։

1. Գնահատող խումբը համապատասխանության գնահատում իրականացնելու նպատակով իրավասու է`

1) վերահսկվող անձից, նրա ղեկավարներից և իրավասու աշխատակիցներից պահանջել համապատասխանության գնահատման ենթակա տեղեկատվական համակարգերին, էլեկտրոնային ծրագրերին հասանելիություն, տվյալներ, նյութեր և տեղեկություններ․

2) վերահսկվող անձի ղեկավարությանը և իրավասու աշխատակիցներին իրենց իրավասության սահմաններում ներկայացնել հիմնավոր այլ պահանջներ, եթե դրանք բխում են համապատասխանության գնահատման անհրաժեշտությունից և նպատակից:

2. Գնահատող խումբը պարտավոր է համապատասխանության գնահատումն իրականացնել սույն օրենքով և դրան համապատասխան ընդունված իրավական ակտերով սահմանված կարգով: Գնահատող խումբը պարտավոր է աշխատանքների ավարտից հետո 2 աշխատանքային օրվա ընթացքում համապատասխանության գնահատման վերաբերյալ հաշվետվությունը ներկայացնել Հանձնաժողովի նախագահին:
3. Հանձնաժողովը պատասխանատվություն է կրում գնահատող խմբի անդամներին ժամանակավորապես տրամադրված տվյալների, նյութերի և տեղեկությունների պահպանության, ապահովության և վերադարձելիության համար:

1. Հանձնաժողովը կարող է համապատասխանության գնահատում իրականացնել հետևյալ ուղղություններով (ոլորտներով)`

1) օրենքով նախատեսված կարգով տեղեկատվական համակարգերի և պետական տեղեկատվական համակարգի անվտանգության ապահովման գնահատում․

2) օրենքի պահանջներին պաշտոնական կայքերի կամ դրանց բջջային հավելվածների գնահատում.

3) տեղեկությունների և տվյալների օրենքով սահմանված կարգով օգտագործման և պահպանության գնահատում.

4) տեղեկատվական մուտքի հարթակի, տվյալների փոխանակման շերտի օգտագործման, տվյալների շտեմարանների ստեղծման, ներդրման, կառավարման, շահագործման, օգտագործման, պահպանման, վերակազմավորման և դադարեցման գնահատում.

5) տվյալների կառավարման, ամպային տիրույթում տեղակայման, տեղեկատվական համակարգերի անվտանգության միջոցների կիրառման և տեղեկատվական համակարգերի տվյալների փոխանակման շերտի օրենքով և այլ իրավական ակտերով սահմանված պահանջների գնահատում․

6) կիբեռհարձակման կամ կիբեռմիջադեպերի պատճառների ու հետևանքների գնահատում, ձեռնարկաված միջոցառումների օրենքով և այլ իրավական ակտերով սահմանված պահանջների գնահատում․

7)       որակավորված աուդիտորի կողմից կիբեռանվտանգության աուդիտի արդյունքներով կազմված հաշվետվության պահանջների կատարման և/կամ բացահատված թերությունների վերացման գնահատում.

2. Համապատասխանության գնահատման ընթացքում կարող է կատարվել վերլուծություն և գնահատում` սույն հոդվածի 1-ին մասով նախատեսված բոլոր ուղղություններով (ոլորտներով) կամ դրանց մի մասով:
3. Հանձնաժողովի նախագահը իրավասու է, մինչև համապատասխանության գնահատումը սկսելը, վերահսկվող անձից պահանջել Հանձնաժողով ներկայացնել համապատասխանության գնահատման համար անհրաժեշտ տվյալները, նյութերը և տեղեկությունները: Այդ դեպքում վերահսկվող անձը պարտավոր է Հանձնաժողովի նախագահի գրավոր պահանջը կատարել հինգ աշխատանքային օրվա ընթացքում, եթե գրությամբ ավելի երկար ժամկետ սահմանված չէ։
4. Համապատասխանության գնահատման ավարտից հետո` երկշաբաթյա ժամկետում, վերահսկվող անձի ղեկավարների, գնահատող խմբի անդամների և Հանձնաժողովի նախագահի կողմից հրավիրված այլ մասնակիցների մասնակցությամբ անցկացվում է համապատասխանության գնահատման արդյունքների նախնական քննարկում: Նախնական քննարկումը կազմակերպում, մասնակիցների ցանկը Հանձնաժողովի նախագահի հետ համաձայնեցնում և հրավերները փոխանցում է գնահատող խմբի ղեկավարը։
5. Հանձնաժողովի գրավոր պահանջով վերահսկվող անձը պարտավոր է ապահովել համապատասխանության գնահատման արդյունքների ներկայացումը կազմակերպության մասնակիցներին, ինչպես նաև վերջիններիս կամ նրանց ներկայացուցիչների մասնակցությունն համապատասխանության գնահատման արդյունքների նախնական քննարկմանը: Նշված անձանց բացակայությունը հիմք չէ նախնական քննարկումը չիրականացնելու համար: Նախնական քննարկմանը կարող են հրավիրվել նաև տվյալ կազմակերպությունում աուդիտ անցկացրած անկախ աուդիտորական կազմակերպության ներկայացուցիչները: Նախնական քննարկման արդյունքների վերաբերյալ կազմվում է արձանագրություն:
6. Նախնական քննարկման արդյունքների հիման վրա, Հանձնաժողովի նախագահի կողմից սահմանված ժամկետում, գնահատող խումբը կազմում է համապատասխանության գնահատման հաշվետվություն:
7. Հաշվետվությունը կազմվում է երկու օրինակից, որոնք ստորագրում են գնահատող խմբի անդամները։ Հաշվետվության մեկ օրինակը փոխանցվում է վերահսկվող անձի ղեկավարությանը:
8. Վերահսկվող անձի գործադիր մարմինը կամ նրա նշանակալից մասնակցություն ունեցող մասնակիցն իրավունք ունեն հաշվետվության վերաբերյալ ներկայացնել իրենց գրավոր առարկություններն ու բացատրությունները՝ հինգ աշխատանքային օրվա ընթացքում:

1. Սույն օրենքի 31-րդ հոդվածի 8-րդ մասով սահմանված ժամկետի ավարտից հետո հինգ աշխատանքային օրվա ընթացքում գնահատող խումբը Օրենքների, Հանձնաժողովի որոշումների և իրավական այլ ակտերի պահանջների խախտումներն արձանագրում է արձանագրություն (այսուհետ` արձանագրություն) կազմելու միջոցով։ Արձանագրման պահից խախտումը համարվում է արձանագրված: Խախտումն արձանագրելու պահից սկսվում է պատասխանատվության միջոցի կիրառման վարույթը (այսուհետ` վարույթ), որն իրականացվում է սույն օրենքի 24-րդ հոդվածով սահմանված կարգով՝ հաշվի առնելով սույն օրենքով սահմանված կարգավորումները:
2. Արձանագրության մեջ մանրամասնորեն նկարագրվում է խախտումը և նշվում է օրենքի, հանձնաժողովի որոշման կամ իրավական այլ ակտի նորմը, որը խախտվել է, ինչպես նաև պատասխանատվության միջոցը, որը ենթակա է կիրառման։
3. Արձանագրությունը կազմելու պահից երկու աշխատանքային օրվա ընթացքում այն գրությամբ ուղարկվում է խախտումը թույլ տված անձի գործադիր մարմնի ղեկավարին:
4. Արձանագրությունը ստանալու պահից հինգ աշխատանքային օրվա ընթացքում վերահսկվող անձը կարող է Հանձնաժողով ներկայացնել արձանագրության վերաբերյալ գրավոր բացատրություններ, առարկություններ կամ պարզաբանումներ կամ ստորագրել արձանագրությունը և առձեռն հանձնել Հանձնաժողով:

Հանձնաժողովը համապատասխանության գնահատման արդյունքների հիման վրա կարող է կիրառել օրենքով նախատեսված պատասխանատվության միջոցներ, եթե խախտվել են Օրենքների, Հանձնաժողովի որոշումների և իրավական այլ ակտերի պահանջները։ 

1. Հանձնաժողովին վերապահված իրավունքների կամ պարտականությունների կատարման խոչընդոտում է համարվում վերահսկվող անձի կամ անձի ղեկավարի կամ նրան փոխարինող անձի կամ նրա աշխատակցի կամ այլ ներկայացուցչի կողմից սույն օրենքով սահմանված կարգով և ժամկետներում համապատասխանության գնահատման համար անհրաժեշտ տվյալներ, նյութեր կամ տեղեկություններ չներկայացնելը կամ տեղեկատվական համակարգին հասանելիություն չապահովելը կամ համապատասխանության գնահատման արձանագրությունը ստորագրելուց հրաժարվելը կամ այլ կերպ համապատասխանության գնահատմանը խոչընդոտելը, որն առաջացնում է օրենքով սահմանված պատասխանատվություն:

1. Սույն օրենքի, այլ օրենքների, դրանց հիման վրա ընդունված ենթաօրենսդրական իրավական ակտերի և Հանձնաժողովի որոշումների ու եզրակացությունների կիրառման ապահովման, դրանց խախտումների կանխման կամ վերացման կամ ռիսկերի նվազեցման նպատակով կարող է իրականացնել պետական տեղեկատվական համակարգի կամ օրենքով սահմանված կարգով դրան միացած այլ տեղեկատվական համակարգերի մշտադիտարկում` Հանձնաժաղովի տարածքում։ Տեղեկատվական համակարգի կառավարչի համաձայնությամբ մշտադիտարկում կարող է իրականացվել իր տարածքում։ Տարեկան մշտադիտարկումների ծրագիրը հաստատում է Հանձնաժողովը։

2․ Մշտադիտարկում է համարվում օրենքով նախատեսված տեղեկատվական համակարգերի բնագավառում որոշակի պարբերականությամբ իրականացվող դիտարկումը։

3. Մշտադիտարկում իրականացնելիս կարող են կիրառվել համակարգչային տեխնոլոգիաներ և այլ տեխնիկական կամ ծրագրային միջոցներ, էլեկտրոնային և այլ սարքավորումներ, կրիչներ, կատարվել այլ գործողություններ՝ ուղղված մշտադիտարկման իրականացմանն ու արդյունքների ամփոփմանը։
4. Մշտադիտարկումն իրականացվում է Հանձնաժողովի նախագահի հրամանի հիման վրա։ Հրամանում նշվում են մշտադիտարկման ենթակա հարցերը, մշտադիտարկման ժամանակահատվածը, պարբերականությունը, մշտադիտարկում իրականացնող անձի (անձանց) տվյալները (անունը, ազգանունը, պաշտոնը): Մշտադիտարկման ներքին ընթացակարգը, արդյունքների ամփոփման և ներկայացման կարգը հաստատում է Հանձնաժողովը։

5․ Հանձնաժողովը պարտավոր չէ մշտադիտարկում իրականացնելու մասին տեղեկացնել մշտադիտարկման ենթակա տեղեկատվական համակարգի կառավարչին։

6. Մշտադիտարկման արդյունքների հիման վրա պատասխանատվության միջոցներ չեն կարող կիրառվել:

7․ Մշտադիտարկման արդյունքում Հանձնաժողովը՝ եզրակացությամբ կամ Հանձնաժողովի նախագահը՝ գրությամբ, կարող են պահանջել ապահովել սույն օրենքի, այլ օրենքների, դրանց հիման վրա ընդունված ենթաօրենսդրական իրավական ակտերի և Հանձնաժողովի որոշումների ու եզրակացությունների կիրառումը կամ վերացնել կամ կանխել դրանց խախտումները կամ նվազեցնել ռիսկերը, եթե գտնում է, որ.

1) բացահայտման ենթակա տեղեկությունը սահմանված կարգով չի բացահայտվել կամ սահմանված կարգով չի ապահովվել պաշտոնական վեբ-կայքի պահպանումն ու սպասարկումը.

2) օրենքով սահմանված կարգի խախտմամբ հասանելիություն է տրվել կամ բացահայտվել է տեղեկություն.

3) չի ապահովվել սույն օրենքով, այլ իրավական ակտերով կամ պայմանագրերով սահմանված՝ տեղեկատվական հարթակի, տվյալների շտեմարանների ստեղծման, ներդրման, կառավարման, շահագործման, օգտագործման, պահպանման, վերակազմավորման և դադարեցման պահանջները կամ պայմանները․

4) չի ապահովվել տվյալների կառավարման, ամպային տիրույթում տեղակայման, տեղեկատվական համակարգերի անվտանգության միջոցների կիրառման և տեղեկատվական համակարգերի տվյալների փոխանակման շերտի սույն օրենքով, այլ իրավական ակտերով կամ պայմանագրերով սահմանված պահանջները կամ պայմանները․

 8․ Հանձնաժողովն իրավունք ունի սույն հոդվածի 7-րդ մասի 3-րդ և 4-րդ կետերով նախատեսված դեպքերի վերաբերյալ եզրակացություն ներկայացնելուն զուգահեռ սահմանափակել նաև տեղեկատվական համակարգերի և տեղեկատվական համակարգերի տվյալների փոխանակման շերտի օգտագործման հանարավորությունը՝ մինչև Հանձնաժողովի եզրակացության կատարումը, եթե ունի հիմնավոր կասկածներ, որ նշված սահմանափակումը չկիրառելը կարող է խափանել պետական տեղեկատվական համակարգի անվտանգ և անխափան աշխատանքը։

9․Համապատասխան մարմինը կամ իրավաբանական անձը պարտավոր է սույն  հոդվածով նախատեսված եզրակացությունը կամ գրությունը ստանալու պահից 2 աշխատանքային օրվա ընթացքում միջոցներ ձեռնարկել դրանցով ներկայացված օրինական պահանջները կատարելու ուղղությամբ և այդ մասին տեղեկացնել Հանձնաժողովի նախագահին:

10․ Կիբեռանվտանգության ապահովման բնագավառում Հանձնաժողովը մշտադիտարկումներ իրականացնում է «Կիբեռանվտանգության մասին» ՀՀ օրենքով սահմանված կարգով և դեպքերում։

  ՀՈԴՎԱԾ 36. Հանձնաժողովի օրինական պահանջները չկատարելու հետևանքները

1․ Եթե պետական կամ տեղական ինքնակառավարման մարմինը կամ օրենքով նախատեսված դեպքերում նաև իրավաբանական անձը չի կատարում Հանձնաժողովի օրինական պահանջները, ապա Հանձնաժողովը.

1) դիմում է տվյալ մարմնի վերադաս մարմնին կամ համապատասխան պաշտոնատար անձին՝ պարտականությունների կատարման մեջ թերացած անձի նկատմամբ կարգապահական պատասխանատվության միջոց կիրառելու գործընթաց սկսելու համար, կամ

2) սույն օրենքով սահմանված կարգով նախաձեռնում է համապատասխանության գնահատում սկսելու գործընթաց,

3) սահմանափակում է տեղեկատվական համակարգերի և տեղեկատվական համակարգերի տվյալների փոխանակման շերտի օգտագործման հանարավորությունը՝ մինչև Հանձնաժողովի օրինական պահանջների կատարումը, եթե ունի հիմնավոր կասկածներ, որ նշված սահմանափակումը չկիրառելը կարող է խափանել պետական տեղեկատվական համակարգի անվտանգ և անխափան աշխատանքը։

2․ Սույն հոդվածի 1-ին մասի 3-րդ կետով նախատեսված հետևանքը կարող է կիրառվել ինչպես առանձին, այնպես էլ 1-ին կամ 2-րդ կետերի հետ միաժամանակ։

3․ Կարգապահական պատասխանատվության միջոց կիրառելու  իրավունք ունեցող պաշտոնատար անձը պարտավոր է դիմումը ստանալու պահից մեկամսյա ժամկետում ձեռնարկել միջոցներ և արդյունքների մասին տեղեկացնել լիազոր մարմնին։

1. Հանձնաժողովը եզրակացություններ ընդունում է օրենքով նախատեսված դեպքերում և կարգով։

2․ Օրենքով նախատեսված դեպքերում եզրակացություն ստանալու նպատակով Հանձնաժողով դիմելու իրավունք ունեն պետական, տեղական ինքնակառավարման մարմինները և իրավաբանական անձինք:

2․ Եզրակացություն ստանալու նպատակով Հաձնաժողով դիմելու կարգը հաստատում է  Հանձնաժողովը։

1. Պետական տեղեկատվական համակարգի և կիբերանվտանգության բնագավառի հարցերի վերաբերյալ եզրակացություն Հանձնաժողովը տրամադրում է պետական, տեղական ինքնակառավարման մարմնի կամ իրավաբանական անձի դիմումն ստանալու օրվանից հետո՝ տասնհինգ աշխատանքային օրվա ընթացքում:
2. Հանձնաժողովի պատճառաբանված որոշմամբ եզրակացություն տալու ժամկետը կարող է երկարաձգվել մինչև տասնհինգ աշխատանքային օրով:
3. Նախքան եզրակացության ընդունումը Հանձնաժողովն անհրաժեշտության դեպքում սույն օրենքով սահմանված կարգով կարող է դիմել դիմումատուին՝ եզրակացության ընդունման համար անհրաժեշտ տեղեկություններ տրամադրելու պահանջով, ինչպես նաև ստանալ քննարկման ենթակա հարցերի վերաբերյալ լրացուցիչ տեղեկություններ, դիմումատուին կամ նրա պաշտոնատար անձանց հրավիրել Հանձնաժողովի նիստի կամ քննարկման:
4. Սույն հոդվածի 3-րդ մասում նշված տեղեկատվության բացակայության դեպքում Հանձնաժողովը եզրակացություն ընդունում է այդ տեղեկատվության բացակայությամբ՝ նշելով դրա նշանակությունը և ազդեցությունը քննարկվող հարցի վերաբերյալ:

Հոդված 39.     Օրենքի ուժի մեջ մտնելը

1. Սույն օրենքն ուժի մեջ է մտնում պաշտոնական հրապարակման օրվանից երկու ամիս հետո։

Հոդված 40.     Անցումային դրույթներ

կարգավոր

1․ Սույն օրենքի պաշտոնական հրապարակմանը հաջորդող օրվանից սույն օրենքով նախատեսված Հանձնաժողովի անդամների պաշտոնները համարվում են թափուր և սույն օրենքով նախատեսված մարմինները կարող են մեկնարկել Հանձնաժողովի անդամի թեկնածուների առաջադրման և նշանակման գործընթացը։

2․Հանձնաժողովի առաջին կազմի անդամների թեկնածությունների առաջադրումը  կառավարությունն իրականացնում է սույն հոդվածի 1-ին մասում նշված ժամկետի մեկնարկից երկու ամսվա ընթացքում։ Հանձնաժողովի անդամների առաջին կազմի նշանակումն ԱԺ-ն իրականացնում է սույն օրենքով և «Ազգային ժողովի կանոնակարգ» սահմանադրական օրենքով սահմանված կարգով և ժամկետներում։ 

3․ Հանձնաժողովի առաջին կազմի անդամների պաշտոնավարման ժամկետներն են`

1) մեկ անդամի համար` մեկ տարի.

2) մեկ անդամի համար` երկու տարի.

3) մեկ անդամի համար` երեք տարի.

4) մեկ անդամի համար` չորս տարի.

5) մեկ անդամի համար` հինգ տարի:

4․ Հանձնաժողովի առաջին կազմի անդամները երկրորդ անգամ Հանձնաժողովի անդամ կարող են նշանակվել ընդհանուր հիմունքներով, հինգ տարի ժամկետով և համարվում են մեկ ամբողջական ժամկետ պաշտոնավարած։

5․Սույն հոդվածի 3-րդ մասով սահմանված ժամկետները Հանձնաժողովի առաջին կազմի անդամների առաջադրման հետ միաժամանակ առաջարկում է կառավարությունը։

6. Մինչև Հանձնաժողովի քաղաքացիական ծառայության պաշտոններում օրենքով սահմանված կարգով նշանակումներ կատարելը Հանձնաժողովի նախագահը Հայաստանի Հանրապետության օրենսդրությամբ սահմանված կարգով կնքում է աշխատանքային պայմանագրեր:

7․ Հանձնաժողովի աշխատանքների կազմակերպման համար տվյալ տարվա պետական բյուջեից ֆինանսական միջոցների հատկացման մասին կառավարության որոշումը մշակում և կառավարության հաստատման է ներկայացնում բարձր տեխնոլոգիաների ոլորտում կառավարության քաղաքականություն մշակող և իրականացնող մարմինը՝ սույն հոդվածի 1-ին մասում նշված ժամկետի մեկնարկից հետո մեկ ամսվա ընթացքում։

8․ Հանձնաժողովի աշխատանքների կազմակերպման համար աշխատավայր հատկացնելու և աշխատանքային պատշաճ պայմաններ ապահովելու վերաբերյալ որոշումն ընդունում է ՀՀ կառավարությունը՝ սույն օրենքի ուժի մեջ մտնելուց հետո երկու ամսվա ընթացքում։

Հոդված 41.     Սույն օրենքից բխող իրավական ակտեր ընդունելը

1․Սույն օրենքից բխող իրավական ակտերը համապատասխան մարմիններն ընդունում են սույն օրենքն ուժի մեջ մտնելուց հետո` մեկ տարվա ընթացքում:

2․ Հանձնաժողովը սույն օրենքի ընդունման պահից հետո 1 տարվա ընթացքում ԱԺ քննարմնանն է ներկայացնում սույն օրենքով սահմանված լիազորությունների իրականացման արդյունքում պետական բյուջե մուծվող պետական տուրքերի կամ այլ պարտադիր վճարների գանձման դեպքերի, կարգի և չափերի կարգավորման մասին օրենսդրական ակտերի փաթեթ։ Այդ դեպքում պետական բյուջեի գանձվող գումարներն ուղղվելու են Հանձնաժողովի պահպանման ծախսերի ֆինանսավորմանը։