Anotācija (ex-ante)

Atbilstoši Nacionālās kiberdrošības likumā ietvertajam deleģējumam Ministru kabinetam ir jānosaka:
(1) minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk kopā – subjekti);
(2) kārtība, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
(3) prasības un veicamie pasākumi subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
(4) IKT kritiskās infrastruktūras drošības prasības, pasākumi un to plānošanas un īstenošanas kārtība;
(5) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;
(6) prasības subjekta kiberdrošības pārvaldniekam;
(7) veids un formāts, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
(8) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veids un apjoms, kā arī plāna izpildes uzraudzības un kontroles kārtība;
(9) kiberincidentu nozīmīguma kritēriji;
(10) kārtība informēšanai par kiberincidentu, un to kiberincidentu kritēriji, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
(11) agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturs un ziņojuma iesniegšanas kārtība;
(12) kritēriji un kārtība subjekta tīklu un informācijas sistēmu drošības skenēšanai;
(13) kritēriji kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumi;
(14) nosacījumi un kārtība, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
(15) subjekta atbilstības pašvērtējuma ziņojuma veidlapa un tajā iekļaujamās informācijas saturs un apjoms, kā arī pašvērtējuma ziņojuma iesniegšanas termiņš un regularitāte;
(16) kiberhigiēnas pasākumu pamatelementi subjektiem un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
(17) kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtība;
(18) kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;
(19) kārtība ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;

Noteikumu projektā ir noteiktas minimālās kiberdrošības prasības subjektiem, kas ir izstrādātas, ņemot vērā aktuālo kiberapdraudējuma līmeni, nozarē izmantotos starptautiskos standartus (piemēram, ISO/IEC 27001:2022) un praksi, kā arī ekspertu ieteikumus.

Statusa paziņošana
Nacionālās kiberdrošības likums nosaka, ka persona veic pašvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā persona ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka persona, kura atbilst būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam, likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.

Līdzīga statusa paziņošanas kārtība ir noteikta domēnu vārdu reģistrācijas pakalpojumu sniedzējiem. Nacionālās kiberdrošības likums paredz, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs, kurš atbilst domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam un kura lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijas Republikā vai kuram Latvijas Republikā ir vislielākais darbinieku skaits, ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.

Kiberdrošības pārvaldnieks
Nacionālās kiberdrošības likums paredz, ka subjekta vadītājs nosaka atbildīgo personu – kiberdrošības pārvaldnieku –, kas īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā. Noteikumu projekts nosaka prasības kiberdrošības pārvaldniekam, paredzot, ka kiberdrošības pārvaldniekam jābūt pilngadīgam Latvijas Republikas pilsonim, jābūt augstākai vai vidējai profesionālajai izglītībai kiberdrošības pārvaldības vai citā saistītā jomā vai starptautiski atzītajam sertifikātam, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā, vai divu gadu darba pieredzei kiberdrošības pasākumu plānošanā vai īstenošanā, kā arī jāatbilst Noteikumu projektā noteiktajām drošības prasībām. Noteikumu projekts paredz, ka kompetentā valsts drošības iestāde pēc savas iniciatīvas var pārbaudīt jebkura subjekta kiberdrošības pārvaldnieka atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot Nacionālo kiberdrošības centru (ja subjekts nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) un subjekta vadītāju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Tāpat Noteikumu projekts paredz kārtību, kādā subjekts paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par kiberdrošības pārvaldnieka iecelšanu, kā arī ziņo par izmaiņām kiberdrošības pārvaldnieka datos. Noteikumu projekts paredz, ka subjekts likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi.

Kiberdrošības pārvaldības dokumentācijas prasības
Noteikumu projekts paredz, ka katram subjekts izstrādā un uztur kiberdrošības pārvaldības dokumentācijas kopumu. Šajā kopumā ietilpst subjekta kiberdrošības politika, IKT resursu un informācijas sistēmu katalogs, kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns un kiberincidentu žurnāls. Noteikumu projekts paredz, ka subjekts katru minētā kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu, nepieciešamības gadījumā nosakot pieejamības ierobežojumus atsevišķām kopuma daļām, to sadaļām, konkrētiem dokumentiem vai to pielikumiem atbilstoši personu nepieciešamībai iepazīties ar šajos dokumentos ietverto informāciju. Noteikumu projekts paredz, ka kiberdrošības pārvaldības dokumentāciju veido un uztur primāri elektroniskā formātā, to uzglabājot drošā veidā un vietā, kas ir subjekta valdījumā. Noteikumu projekts paredz, ka minēto dokumentu kopijas uzglabā atsevišķi no to oriģināliem, nodrošinot to pieejamību kiberdrošības pārvaldniekam gadījumā, ja dokumentu oriģināli nav pieejami.

Kiberdrošības politika
Kiberdrošības politika ir paredzēta kā galvenais dokuments, kas nosaka, kā tiek organizēti subjekta kiberdrošības pasākumi. Noteikumu projekts paredz, ka kiberdrošības politikā iekļauj:
(1) subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
(2) vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
(3) informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi;
(4) informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
(5) informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu un standartu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām un IKT resursiem;
(6) informāciju par subjekta, tā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu, tehnisko resursu, produktu, pakalpojumu un procesu atbilstību nacionālajiem, Eiropas Savienības un starptautiskajiem standartiem un sertifikācijas shēmām kiberdrošības jomā, ja attiecināms;
(7) pārskatu par kiberrisku pārvaldības pasākumu īstenošanu, tostarp veiktajiem kiberdrošības auditiem, pārbaudēm un ielaušanās testiem, tajos konstatētajām neatbilstībām, ievainojamībām un kiberapdraudējumiem un to novēršanas gaitu;
(8) informāciju par Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja izdotajiem lēmumiem, pieprasījumiem un uzliktajiem tiesiskajiem pienākumiem attiecībā uz subjektu un to izpildi.

Subjekts kiberdrošības politikai var pievienot visu spēkā esošo subjekta iekšējo normatīvo aktu un vadlīniju kiberdrošības jomā kopijas, nepieciešamības gadījumā atsevišķi izdalot iekšējos normatīvos aktus un vadlīnijas attiecībā uz konkrētām informācijas sistēmām vai informācijas sistēmu grupām (piemēram, informācijas sistēmas lietošanas noteikumus), Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja pieņemto lēmumu un pieprasījumu kopijas attiecībā uz subjekta kiberdrošību, pēdējo piecu gadu laikā sagatavoto subjekta ikgadējo pašnovērtējuma ziņojumu kopijas, kā arī pēdējo piecu gadu laikā veikto subjekta kiberdrošības auditu ziņojumu kopijas.

IKT resursu un informācijas sistēmu katalogs
Noteikumu projekts paredz, ka subjekts identificē un uzskaita visus tā īpašumā, valdījumā, turējumā un lietošanā esošos IKT resursus, atbilstoši Noteikumu projekta pielikumā ietvertajai metodikai nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, kā arī izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu. Noteikumu projekts paredz, ka informācijas sistēmas iedala trīs kategorijās – A (paaugstinātas drošības), B (pamata drošības) un C (minimālās drošības).

Subjekts var veidot IKT resursu un informācijas sistēmu katalogu veido atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu resursu uzskaites lietojumprogrammu (datubāzi). IKT resursu un informācijas sistēmu katalogā var iekļaut, piemēram, šādu informāciju:
(1) Informācijas resursu saraksts
– informācijas resursa kategorija (piemēram, saņemtie rēķini par komunālajiem maksājumiem, darbinieku iesniegumi par atvaļinājuma piešķiršanu);
– datu klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija);
– informācijas resursa konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C);
– datu subjektu kategorija (piemēram, uzņēmuma nodarbinātie, klienti) un, ja attiecināms, kategorijas apraksts;
– datu apstrādes nolūks;
– atzīme par to, vai informācijas resurss satur personas datus;
– atzīme par to, vai informācijas resurss satur īpašo kategoriju personas datus;
– atzīme par to, vai informācijas resurss ir datu pirmavots, un ziņas par datu pirmavota fizisko atrašanās vietu, ja attiecināms;
– ziņas par informācijas resursa rezerves kopiju veidošanas biežumu un rezerves kopiju fizisko atrašanās vietu;
– ziņas par informācijas resursa glabāšanas termiņu un arhivēšanu, ja attiecināms.
– ziņas par informācijas resursa īpašnieku (tiesisko valdītāju) un datu pārzini;
– datu aizsardzības speciālista kontaktinformācija;
– ziņas par informācijas resursa turētāju (piemēram, fiziskās personas amats, vārds, uzvārds un kontaktinformācija vai personu grupas (struktūrvienības) nosaukums un kontaktinformācija);
– ziņas par personām (personu grupām), kuras var piekļūt un elektroniski apstrādāt informācijas resursu;
– ziņas par datu saņēmējiem, tostarp trešajām pusēm, ja attiecināms;
(2) Informācijas sistēmu saraksts
– (ziņas par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām)
– informācijas sistēmas nosaukums;
– informācijas sistēmas kategorija (A, B vai C);
– informācijas sistēmai noteiktā konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C);
– informācijas sistēmas funkciju un pakalpojumu uzskaitījums un apraksts;
– informācijas sistēmas darbības nodrošināšanai izmantojamo tehnisko resursu saraksts un shematiskais attēlojums;
– to pakalpojumu un procesu apraksts, kurus var negatīvi ietekmēt informācijas sistēmas konfidencialitātes, integritātes un pieejamības apdraudējums (risku novērtējums);
– ziņas par informācijas sistēmas izstrādātāju;
– ziņas par informācijas sistēmas īpašnieku (tiesisko valdītāju)
– ziņas par informācijas sistēmas procesu turētāju;
– ziņas par informācijas sistēmas tehnisko resursu turētāju;
– ziņas par informācijas sistēmas informācijas resursu turētāju;
– ziņas par ārpakalpojuma sniedzējiem, ja attiecināms.
(3) Tīklu shēma
– tīkla nosaukums;
– tīklam piešķirtais unikālais identifikators (tīkla uzskaites numurs);
– tīkla (tostarp apakštīklu) interneta protokola (IP) adrešu diapazoni;
– tīkla maršrutēšanas domēna (AS) numurs, ja tāds ir piešķirts;
– tīklam pievienoto iekārtu uzskaites numurs;
– tīkla un tam pievienoto iekārtu shematiskais attēlojums;
(4) Aparatūras saraksts
– iekārtai piešķirtais unikālais identifikators (iekārtas uzskaites numurs);
– iekārtas veids (piemēram, serveris, darbstacija, datu nesējs);
– iekārtas nosaukums;
– iekārtas ražotājs, modelis, sērijas numurs (ja attiecināms);
– iekārtā uzstādītās programmatūras nosaukums, versija un programmatūras instanču pēdējās atjaunināšanas datums;
– iekārtas fiziskā atrašanās vieta (piemēram, objekta adrese, telpa);
– ziņas par tīkliem, kuriem iekārta ir pievienota;
– ziņas par iekārtas īpašnieku (tiesisko valdītāju);
– par iekārtas administrēšanu atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija.
– ziņas par fiziskām personām vai personu grupām, kurām ir piekļuve iekārtai, un šo personu piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
(5) Datu nesēju saraksts
– datu nesēja nosaukums;
– datu nesējam piešķirtais unikālais identifikators (datu nesēja uzskaites numurs);
– datu nesēja veids (piemēram, atmiņas karte);
– datu nesēja klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija);
– ziņas par datu nesēja fizisko atrašanās vietu;
– ziņas par datu nesēja īpašnieku;
– par datu nesēja drošību atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija.
– ziņas par datu nesēja lietotājiem (personām vai personu grupām);
(6) Programmatūras saraksts
– programmatūras veids (piemēram, sistēmprogramma, lietojumprogramma);
– programmatūras nosaukums;
– programmatūras versija un programmatūras instanču pēdējās atjaunināšanas datums;
– ziņas par programmatūras ražotāju vai atvērto pirmkodu;
– ziņas par programmatūras licenci, licences devēju, licences ņēmēju un licences derīguma termiņu (ja attiecināms);
– katras iekārtas uzskaites numurs, kurā programmatūra ir uzstādīta;
(7) Fiziskās infrastruktūras apraksts
– vispārīga informācija par objektu (piemēram, objekta nosaukums, adrese, ziņas par objekta īpašnieku vai tiesisko valdītāju);
– ziņas par subjekta struktūrvienību vai citu institūciju, kas nodrošina drošības pasākumus objektā;
– ziņas par objekta ārējā perimetra aizsardzības pasākumiem (piemēram, žogi un to izvietojums, apgaismojums un tā izvietojums, videonovērošana, signalizācija);
– ziņas par iekļūšanas kontroli objektā vai tā teritorijā (piemēram, iekļūšanas punkti, to izvietojums, darba laiks, caurlaižu režīms darbiniekiem, apmeklētājiem, transportlīdzekļiem, kravām, caurlaižu paraugi);
– ziņas par ierobežotas piekļuves zonām (ja attiecināms) un to drošības pasākumiem (piemēram, izvietojums, iekļūšanas kontrole darbiniekiem, apmeklētājiem, transportlīdzekļiem);
– ziņas par apsardzes personālu (piemēram, izvietojums, pienākumi, tiesības, patrulēšanas režīms, rīcība apdraudējuma situācijās);
– ziņas par objekta videonovērošanas sistēmām un videonovērošanas sistēmas shēma (ja attiecināms);
– ziņas par objekta fiziskās drošības signalizāciju (ja attiecināms);
– ziņas par objekta plānojumu, tostarp to telpu saraksts un shematiskais attēlojums, kurās ir izvietota aparatūra un citi tīkla elementi;
(8) Cilvēkresursu saraksts
– personas amats, vārds un uzvārds (vai līdzvērtīgs unikāls identifikators, piemēram, dienesta apliecības numurs);
– personas kontaktinformācija;
– ja attiecināms, ziņas par personas piederību konkrētām personāla grupām (piemēram, administratīvais personāls, informācijas tehnoloģiju personāls, vadības personāls) vai struktūrvienībām;
– ziņas par personas piekļuvi tehniskajiem resursiem un šīs piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
datums, kad pēdējo reizi veikta personas apmācība kiberdrošības jautājumos.

Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
Lai mazinātu iespējamos kiberriskus un nepieciešamības gadījumā reaģētu uz kiberincidentiem, ir nepieciešams veikt atbilstošus un samērīgus kiberrisku pārvaldības un darbības nepārtrauktības pasākumus. Noteikumu projekts paredz, ka subjekts izstrādā, uztur, ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Šo plānu var veidot kā vienotu dokumentu vai kā vairāku plānu kopumu, ko subjekts izstrādā dažāda veida informācijas sistēmām vai to elementiem atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Tāpat subjekts var dalīt kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu divos dokumentos – kiberrisku pārvaldības plānā un IKT darbības nepātrauktības plānā.

Noteikumu projekts paredz, ka subjekts kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
(1) kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, katra analizējamā kiberriska pieļaujamās vērtības, novērtēšanas matrica);
(2) kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu;
(3) kiberrisku mazināšanas pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku mazināšanai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
(4) rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.

Tāpat subjekts var iekļaut kiberrisku pārvaldības un IKT darbības nepātrauktības plānā subjektam saistošajos normatīvajos aktos noteikto regulāro darbību uzskaitījumu kiberrisku mazināšanai, atbildīgos par darbību īstenošanu un kontroli, kā arī šo darbību īstenošanas termiņus vai to periodiskumu, kā arī subjekta tehniskā personāla apmācību un mācību plānu darbības nepārtrauktības nodrošināšanai nozīmīga kiberincidenta vai krīzes gadījumā. Nosakot kiberrisku pārvaldības un darbības nepārtrauktības plāna pārskatīšanas un aktualizēšanas periodu, subjekts ņem vērā subjekta tīklu un informācijas sistēmu īpatnības un aktuālos kiberriskus. Izvērtējumu par plāna pārskatīšanas un aktualizēšanas periodu subjekts var iekļaut kiberdrošības politikā.

Noteikumu projekts paredz, ka subjekts, plānojot kiberrisku mazināšanas pasākumus:
(1) apzina savā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu un informācijas resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
(2) paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);
(3) A kategorijas informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) IP adreses vai adrešu apgabalus.

Noteikumu projekts paredz, ka subjekta vadītājs nozīmē atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu. Savukārt subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes kontroli. Noteikumu projekts nosaka subjekta vadītājam par pienākumu nodrošināt, ka kiberdrošības pārvaldniekam un citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai (piemēram, tiesības piekļūt informācijas sistēmas tehniskajiem resursiem).

Kiberincidentu žurnāls
Lai nodrošinātu efektīvu un atbilstošu reaģēšanu uz kiberincidentiem, ir svarīgi nodrošināt kiberincidentu uzskaiti. Tādēļ noteikumu projekts paredz, ka subjekts izstrādā un uztur kiberincidentu žurnālu, kurā iekļauj informāciju par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Kiberincidentu žurnālā norāda šādu informāciju:
(1) kiberincidenta konstatēšanas datums un laiks, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
(2) kiberincidenta veidu atbilstoši Noteikumu projekta pielikumā ietvertajai tipoloģijai;
(3) kiberincidenta vispārīgo aprakstu;
(4) kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
(5) kiberincidenta ietekmes novērtējumu;
(6) atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
(7) atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
(8) aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts");

Subjekts var veidot kiberincidentu žurnālu atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu lietojumprogrammu vai citu tehnoloģisku risinājumu. Noteikumu projekts paredz, ka subjekts bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā.

Noteikumu projekts paredz šādu kiberincidentu tipoloģiju:
(1) Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs);
(2) Ļaundabīgs kods;
(3) Informācijas vākšana;
(4) Ielaušanās mēģinājums;
(5) Ielaušanās;
(6) Pieejamības traucējums;
(7) Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana);
(8) Krāpniecība;
(9) Ievainojamība;
(10) Cits kiberincidenta veids;
(11) Pārbaude (mācības).

Lietotāju un piekļuves tiesību pārvaldība
Lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi, Noteikumu projekts paredz, ka subjekts nodrošina lietotāju piekļuves tiesību pārvaldību. Noteikumu projekts paredz, ka subjekts katrai tā īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu kategorijai identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam, nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas drošības klasi, un piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā.

Atšķirībā no Ministru kabineta 2015. gada 28. jūlija noteikumiem Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", šis Noteikumu projekts nenosaka prasības izmantot konkrētas autentifikācijas metodes vai šo autentifikācijas metožu drošības līmeni (tostarp, piemēram, paroļu garumu). Taču Noteikumu projekts paredz, ka subjektam ir pienākums nodrošināt, ka lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Noteikumu projekts paredz obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu vismaz, lai piekļūtu:
(1) A un B kategorijas informācijas sistēmas administratora lietotāja kontam;
(2) A kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai no lietotāja privātās ierīces.

Tāpat noteikumu projekts nosaka prasības attiecībā uz atsevišķu kontu veidu izmantošanu. Noteikumu projekts paredz, ka subjekts nodrošina, ka sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu, un informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus. Tāpat subjekts nodrošina, ka standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai, bet administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu.

Subjektam ir pienākums nodrošināt, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus. Noteikumu projekts paredz, ka subjekts:
(1) informē reģistrētu informācijas sistēmas lietotāju par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas;
(2) nodrošina, ka informācijas sistēmas lietošanas noteikumi ir pieejami reģistrētam informācijas sistēmas lietotājam visā informācijas sistēmas lietošanas laikā;
(3) vismaz reizi gadā organizē apmācību visiem reģistrētiem informācijas sistēmas lietotājiem par informācijas sistēmas lietošanas noteikumiem.

Noteikumu projekts paredz, ka subjektam jānodrošina kiberdrošības pārvaldniekam tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ, kā arī tiesības:
(1) nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
(2) pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām;
(3) kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā apturēt saistītos lietotāju kontus un atcelt tiem piešķirtās piekļuves tiesības;
(4) pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu.

Auditācijas pierakstu pārvaldība
Noteikumu projekts paredz, ka subjekts nodrošina tīklu un informācijas sistēmu auditācijas pierakstu veidošanu. Auditācijas pierakstos ietver informāciju par konkrētiem informācijas sistēmas vai tīkla notikumiem, piemēram, kas saistīti ar:
(1) informācijas sistēmas ieslēgšanu un izslēgšanu;
(2) kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām;
(3) kontu piekļuvi informācijas resursiem;
(4) datu pievienošanu, izmaiņām un dzēšanu;
(5) tehnisko resursu konfigurāciju izmaiņām;
(6) kiberincidentiem, brīdinājumiem un citiem IKT notikumiem, kas varētu apdraudēt informācijas sistēmas vai informācijas resursa drošību.

Noteikumu projekts paredz, ka auditācijas pierakstos fiksē katra konkrētā IKT notikuma laiku, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC), interneta protokola (IP) adresi, no kuras veikta darbība, darbības aprakstu, kā arī informāciju par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati). Noteikumu projekts paredz, ka auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjekts ievēro sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi. Noteikumu projekts paredz, ka subjekts auditācijas pierakstus uzglabā vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas, nodrošinot to aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu, īstenojot atbilstošus drošības pasākumus. Noteikumu projekts nosaka par pienākumu subjektam nozīmēt par auditācijas pierakstu pārvaldību atbildīgās personas, kā arī iekšējos normatīvajos aktos noteikt auditācijas pierakstu pārvaldības kārtību, tostarp auditācijas pierakstu analīzes, pārbaužu kārtību un regularitāti, kā arī auditācijas pierakstu aizsardzības prasības.

Rezerves kopiju pārvaldība
Noteikumi nosaka par pienākumu subjektam iekšējos normatīvajos aktos noteikt rezerves kopiju veidošanas, glabāšanas, pārbaudes un dzēšanas prasības un kārtību, tostarp kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, kā arī nozīmēt par rezerves kopiju veidošanu, glabāšanu un pārbaudi un dzēšanu atbildīgās personas.

Noteikumu projekts paredz, ka subjekts obligāti veido vismaz šādas rezerves kopijas subjekta īpašumā un valdījumā esošajai A un B kategorijas informācijas sistēmai:
(1) informācijas resursu rezerves kopijas;
(2) tehnisko resursu konfigurāciju rezerves kopijas;
(3) auditācijas pierakstu rezerves kopijas.

Rezerves kopiju veidošana C kategorijas informācijas sistēmām nav obligāta, taču subjekts var to darīt. Noteikumu projekts paredz, ka subjekts var noteikt stingrākas prasības informācijas sistēmu vai atsevišķu tajās apstrādāto informācijas resursu rezerves kopiju veidošanai, glabāšanai, pārbaudei un dzēšanai, nekā noteikts šajā Noteikumu projektā.

Noteikumu projekts paredz, ka subjekts, veidojot rezerves kopijas, nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes. Tāpat noteikumu projekts paredz, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija:
(1) A kategorijas informācijas sistēmai – pirms dienas, nedēļas, mēneša, gada un diviem gadiem;
(2) B kategorijas informācijas sistēmai – pirms nedēļas, mēneša, gada un diviem gadiem;
(3) C kategorijas informācijas sistēmai – pirms mēneša, gada un diviem gadiem.

Noteikumu projekts paredz, ka subjekts nodrošina, ka katrai rezerves kopijas informācijas sistēmas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:
(1) informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
(2) informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
(3) informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas.

Tāpat Noteikumu projekts paredz, ka par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts auditācijas pierakstos, un, ka kiberdrošības pārvaldnieks un citas par rezerves kopijām atbildīgās personas tiek nekavējoties brīdinātas, ja kārtējā rezerves kopijas izveide nav izdevusies. Noteikumu projekts paredz, ka, uzglabājot rezerves kopijas, subjekts nodrošina, ka rezerves kopijas tiek uzglabātas atbilstoši rezerves kopijās glabātās informācijas klasifikācijas līmenim, ievērojot normatīvo aktu prasības par informācijas aizsardzību, un tām var piekļūt (gan fiziski, gan elektroniskajā vidē) var tikai kiberdrošības pārvaldnieks un citas personas, kas atbildīgas par rezerves kopijām. Noteikumu projekts paredz, ka subjekta kiberdrošības pārvaldnieks ir tiesīgs veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam.

Lai nodrošinātu A kategorijas informācijas sistēmas rezerves kopiju satura integritāti, Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma, kas tiek pārbaudīta pēc rezerves kopijas pārvietošanas citā datu nesējā. Tāpat Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai vismaz viena auditācijas pierakstu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), funkcionāli atdalītās telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.

Apmācības
Noteikumu projekts paredz, ka subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, iekšējos normatīvajos aktos nosakot apmācību plānošanas un organizēšanas kārtību, kā arī kārtību, kādā novērtē apmācību efektivitāti (nodarbināto zināšanu un izpratnes līmeni). Noteikumu projekts paredz, ka subjekts, organizējot apmācības, izvēlas tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Subjekts obligāti organizē vismaz šādas apmācības:
(1) visu subjekta nodarbināto instruktāžas, tostarp sākotnējās instruktāžas, kuras veic ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža, kārtējās instruktāžas, kuras veic vismaz reizi kalendārajā gada, un ārkārtas instruktāžas, ko organizē pēc pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
(2) subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai

Noteikumu projekts paredz, ka instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tam ir pienākums informēt kiberdrošības pārvaldnieku un vienoties par instruktāžu citā piemērotā laikā un formātā. Noteikumu projekts paredz, ka kiberdrošības pārvaldniekam ir tiesības apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža. Instruktāžas saturu nosaka subjekts atbilstoši subjekta darbības specifikai. Instruktāža var iekļaut, piemēram, šādus tematus:
(1) valsts kiberdrošības pārvaldības sistēma, atbildīgo institūciju uzdevumi;
(2) subjekta kiberdrošības pārvaldības struktūra, atbildīgo amatpersonu un struktūrvienību funkcijas un pienākumi kiberdrošības jomā;
(3) nodarbinātajiem saistošie normatīvie akti kiberdrošības jomā;
(4) nodarbināto darba (dienesta) pienākumu izpildei izmantojamie resursi, to lietošanas un uzturēšanas kārtība, IKT un fiziskās vides drošības pasākumi;
(5) ja attiecināms, ārējo pakalpojumu sniedzēju uzturēto tīklu, informācijas sistēmu un resursu izmantošanas kārtība;
(6) darbstacijas drošība;
(7) programmatūras izmantošanas kārtība;
(8) drošas autentifikācijas metodes un droša paroļu pārvaldība;
(9) interneta lietošanas kārtība;
(10) bezvadu (WiFi) tīklu droša izmantošana;
(11) e-pasta droša lietošana;
(12) savienoto ierīču (lietu internets) drošība;
(13) mobilo iekārtu un citu viedierīču drošība;
(14) informācijas aizsardzības prasības;
(15) izplatītākie kiberuzbrukumu veidi;
(16) rīcība kiberincidenta gadījumā (gan subjektā, gan ārpus tā);
(17) IKT notikumu (kiberincidenti, aizdomas par kiberincidentu, anomālijas, tehniskās problēmas) pieteikšanas un pieteikumu apstrādes kārtība;
(18) sociālās inženierijas uzbrukumu veidu (piemēram, pikšķerēšana, smikšķerēšana, kvikšķerēšana) atpazīšanas metodes un ieteicamā rīcība šādu uzbrukumu gadījumā;
(19) interneta resursu izmantošana un tajā publicējamā informācija (par subjektu un pašu nodarbināto), sociālo mediju platformu droša lietošana;
(20) medijpratība, tai skaitā mākslīgā intelekta ietekme un informācijas vides drošību;
(21) kiberhigiēnas zināšanu un prasmju pilnveides un apmācību iespējas.

Noteikumu projekts paredz, ka IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs samazināt apmācību periodiskumu (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu), ņemot vērā aktuālo kiberapdraudējuma līmeni un subjekta darbības specifiku. IKT personāla apmācību saturu nosaka subjekts, ņemot vērā subjekta darbības un IKT infrastruktūras specifiku. IKT personāla apmācības var ietvert, piemēram, šādus tematus:
(1) ārējie normatīvie akti, kas regulē subjekta kiberdrošību (tostarp Nacionālais kiberdrošības likums un šie noteikumi);
(2) subjekta iekšējie normatīvie akti kiberdrošības jomā, kiberdrošības pārvaldības dokumentācijas kopums;
(3) subjekta kiberdrošības politika;
(4) resursu klasifikācijas un uzskaites pamatprincipi, subjekta IKT resursu un informācijas sistēmu katalogs;
(5) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
lietotāju piekļuves tiesību pārvaldība un nulles uzticēšanās (zero trust) modelis;
(6) tīkla segmentācija un konfigurēšana;
(7) tehnisko resursu administrēšana un pārvaldība;
(8) žurnālfailu pārvaldība;
(9) šifrēšanas prasības;
(10) rezerves kopiju pārvaldība;
(11) ielaušanās testi un drošības skenēšana;
(12) ārpakalpojumu un piegādes ķēžu drošība;
(13) kiberincidentu veidi un kiberincidentu nozīmīguma kritēriji;
(14) rīcība kiberincidenta vai ievainojamības konstatēšanas gadījumā;
(15) kiberincidentu ziņošanas kārtība;
(16) kiberincidentu un ievainojamību žurnāla veidošanas pamatprincipi;
(17) rīcība nozīmīga kiberincidenta vai kiberdrošības krīzes gadījumā, darbības nepārtrauktības procedūras;
(18) sadarbība ar kiberincidentu novēršanas institūcijām, uzraugošajām iestādēm un sadarbības partneriem;
(19) IKT personāla profesionālās kvalifikācijas pilnveides un apmācību iespējas.

Noteikumu projekts paredz, ka subjekts uzskaita organizētās apmācības. Šim nolūkam subjekts var izveidot un uzturēt apmācību žurnālu, tajā iekļaujot, piemēram, šādu informāciju:
(1) apmācības datums un veids (piemēram, sākotnējā, kārtējā vai ārkārtas instruktāža vai IKT personāla apmācība);
(2) apmācības tēma;
(3) par apmācību atbildīgās personas identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs);
(4) apmācāmo nodarbināto identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs).

Šifrēšanas prasības
Noteikumu projekts paredz augstākas kiberdrošības prasības būtisko pakalpojumu sniedzējiem. Viena no šādām prasībām ir saistīta ar šifrēšanas risinājumu izmantošanu, lai nodrošinātu informācijas resursu konfidencialitāti. Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs iekšējos normatīvajos aktos nosaka:
(1) minimālo pieļaujamo kriptogrāfijas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni un pašreizējās labākās prakses un atbilstību starptautiskiem standartiem, piemēram, ASV Nacionālā standartu un tehnoloģijas institūta (turpmāk – NIST) aktuālajiem ieteikumiem;
(2) šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
(3) prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.

Noteikumu projekts nosaka par pienākumu būtisko pakalpojumu sniedzējam nodrošināt šifrēšanas risinājumus šādiem procesiem:
(1) datu pārsūtīšanai un pārraidei iekšējos IKT infrastruktūras bezvadu tīklos.
(2) datu pārsūtīšanai un pārraidei publiskajā vidē:
– nodrošinot attālināto darbs nodarbinātajiem, tai skaitā IKT personālam, izmantojot virtuālā privātā tīkla (VPN) risinājumu;
– iekšējai un ārējai saziņai (piemēram, e-pasts, kopstrādāšanas risinājumi);
(3) A un B konfidencialitātātes klases informācijas resursu pārsūtīšana (piemēram, izmantojot OpenPGP šifrēšanas risinājumus).

Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs nodrošina datu pārraidi publiskajā vidē, izmantojot vismaz šādas vai drošākas metodes atbilstoši NIST aktuālajiem ieteikumiem:
(1) TLS (Transport Layer Security) protokolu tīmekļa vietnēs un tīmekļa pakalpēs, tai skaitā e-pasta servera un e-pasta klienta datu pārraidē, lai nodrošinātu datu integritāti un konfidencialitāti;
(2) DMARC (Domain-based Message Authentication, Reporting, and Conformance) risinājumu e-pasta pakalpojumam, lai mazinātu iespēju trešajām personām neatļauti izmantot būtisko pakalpojumu sniedzēja domēnu e-pastos;
(3) DKIM (DomainKeys Identified Mail) risinājumu e-pasta pakalpojumam, lai nodrošinātu, ka e-pasts nav ticis izmainīts un nāk no norādītā domēna.

Tāpat Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs nodrošina datu nesējos un mākoņdatošanas pakalpojumos elektroniski apstrādājamo datu šifrēšanu, lai nebūtu iespējama informācijas nolasīšana no datu nesēja, fiziski atvienojot (izņemot) datu nesēju no aparatūras.

Prasības IKT infrastruktūrai, kura pilda datu centra funkcijas
Vēl viena papildu prasība būtisko pakalpojumu sniedzējiem ir saistīta ar IKT infrastruktūru, kurā uztur būtisko pakalpojumu sniedzēja īpašumā un valdījumā esošās informācijas sistēmas. Nacionālas kiberdrošības likums nosaka, ka subjekts savas informācijas sistēmas uztur savā IKT infrastruktūrā, kas atbilst šajā Noteikumu projektā noteiktajām prasībām, vai Ministru kabineta noteiktajām prasībām atbilstošos datu centros. Noteikumu projekts paredz, ka gadījumā, ja būtisko pakalpojumu sniedzējs izvēlas savā īpašumā vai valdījumā esošās A vai B kategorijas informācijas sistēmas uzturēt savā IKT infrastruktūrā, tam ir jānodrošina, ka:
(1) aparatūra ir izvietota atsevišķā slēdzamā telpā vai slēdzamās statnēs (skapjos);
(2) katrai telpai vai statnei ir apmeklētāju žurnāls;
(3) būtisko pakalpojumu sniedzēja vadītājs vai vadītāja pilnvarotā persona (piemēram, drošības daļas vadītājs) apstiprina sarakstu ar personām, kurām ir tiesības piekļūt IKT aparatūras telpām un statnēm;
(4) telpas ir nodrošinātas ar atbilstošiem klimata uzraudzības un kontroles mehānismiem, kas nodrošina telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%, gaisa temperatūru no 18 līdz 27 Celsija grādiem un trokšņa līmeni līdz 70 Db;
(5) telpās netiek glabāti ugunsnedrošas mantas vai atkritumi;
(6) telpas ir nodrošinātas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu;
(7) atbildīgie nodarbinātie ir informēti par kārtību un rīcību ugunsgrēka gadījumā;
(8) ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
(9) kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu;
(10) atbildīgie nodarbinātie ir informēti par kārtību un rīcību neparedzētu notikumu gadījumā, nodarbinātajiem ir zināmi apsardzes, ugunsdzēsības, elektroapgādes un klimata kontroles apkalpojošā personāla vai pakalpojuma sniedzēja kontaktinformācija.

Papildus minētajam, ja subjekts savā IKT infrastruktūrā uztur A kategorijas informācijas sistēmu, tas nodrošina, ka IKT infrastruktūra ir aprīkota ar nepārtrauktās elektrības barošanas iekārtu, rezerves elektrības pieslēgumu un alternatīvu elektrības padeves rezerves risinājumu (piemēram, izmantojot elektrības ģeneratoru).

Prasības publiskajiem elektronisko sakaru tīkliem
Ņemot vērā, ka elektronisko sakaru komersanti saskaņā ar Nacionālo kiberdrošības likumu ir būtisko pakalpojumu sniedzēji, Noteikumu projekts nosaka papildu drošības prasības publiskajiem elektronisko sakaru tīkliem, pārstrādājot jau šobrīd spēkā esošās prasības, kas noteiktas Ministru kabineta 2023. gada 28. februāra noteikumos Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības", lai izvairītos no tiesību normu pārklāšanās un atvieglotu administratīvo slogu publisko elektronisko sakaru tīklu īpašniekiem un tiesiskajiem valdītājiem.

Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šī Noteikumu projekta pielikumu, nepieciešamības gadījumā identificējot kā kritiskas arī citas tīkla daļas, un iesniedz Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem. Saskaņā ar Noteikumu projektu publiskā elektronisko sakaru tīkla īpašniekam vai tiesiskajam valdītājam ir pienākums informēt Satversmes aizsardzības biroju par izmaiņām šajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas. Publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs var neinformēt Satversmes aizsardzības biroju par izmaiņām sarakstā, ja iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošā iekārta, tiek uzstādīti esošās programmatūras atjauninājumi vai tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām.

Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs savā kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai. Noteikumu projekts aizliedz publiskā elektronisko sakaru tīkla kritiskajās daļās izmantot tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai. Noteikumu projekts nosaka konkrētus kritērijus, kurus Satversmes aizsardzības birojs vērtē, sagatavojot minēto atzinumu. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs uzrauga šajā Noteikumu projektā publiskajiem elektronisko sakaru tīkliem noteikto drošības prasību piemērošanu, izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību, kā arī nepieciešamības gadījumā var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai.

Ārpakalpojumu prasības
Noteikumu projekts nosaka vispārīgās un īpašās ārpakalpojumu prasības būtisko pakalpojumu sniedzējiem. Vispārīgās prasības nosaka, ka būtisko pakalpojumu sniedzējs, slēdzot ārpakalpojuma līgumu par IKT produktu vai pakalpojumu iegādi, iepirkuma specifikācijā un ārpakalpojuma līgumā iekļauj ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par kiberincidentiem un atklātajām produkta vai pakalpojuma ievainojamībām, to novēršanas pasākumiem un termiņiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.

Noteikumu projekts paredz, ka gadījumā, ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam (turpmāk – apakšuzņēmējs), apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Noteikumu projekts nosaka, ka ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Tāpat Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējam, izmantojot ārpakalpojumu, ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Noteikumu projekts nosaka, ka ārpakalpojuma saņemšana neatbrīvo būtisko pakalpojumu sniedzēju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības, un būtisko pakalpojumu sniedzējs ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. Noteikumu projekts paredz, ka informācijas sistēmas vai publiskā elektronisko sakaru tīkla drošības līmenis, ja to attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par būtisko pakalpojumu sniedzēja noteikto, un, ka būtisko pakalpojumu sniedzēja klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.

Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs pirms lēmuma pieņemšanas par ārpakalpojuma iegādi izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes, drošības un pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju. Gadījumā, ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par jaunas informācijas sistēmas izstrādi, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības, kā arī paredz:
(1) noteiktu informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;
(2) informācijas sistēmas programmatūras pirmkoda un tā izmantošanas tiesību nodošanu būtisko pakalpojumu sniedzējam ne vēlāk kā pēc uzturēšanas un atbalsta nodrošināšanas laikposma beigām, kā arī pēc katru izmaiņu vai uzlabojumu veikšanas tajā;
(3) iespēju uzturēšanas un atbalsta nodrošināšanas laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma (piemēram, operētājsistēma, datubāžu vadības sistēma, interpretators) jaunākām versijām.

Tāpat gadījumā, ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par esošās informācijas sistēmas uzlabojumiem, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības. Savukārt gadījuma, ja būtisko pakalpojumu sniedzējs slēdz ārpakalpojuma līgumu par tīkla vai informācijas sistēmas uzturēšanu, līgumā iekļauj kiberdrošības prasības, kuras nav zemākas par šajos noteikumos noteiktajām prasībām, kā arī ārpakalpojuma līgumā iekļauj:
(1) ārpakalpojuma aprakstu un precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;
(2) būtisko pakalpojumu sniedzēja un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:
– būtisko pakalpojumu sniedzēja tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
– būtisko pakalpojumu sniedzēja tiesības dot ārpakalpojuma sniedzējam obligāti izpildāmus norādījumus jautājumos, kas saistīti ar godprātīgu, kvalitatīvu, savlaicīgu un normatīvo aktu prasībām atbilstošu ārpakalpojuma izpildi,
– būtisko pakalpojumu sniedzēja tiesības iesniegt ārpakalpojuma sniedzējam pamatotu rakstisku pieprasījumu nekavējoties izbeigt ārpakalpojuma līgumu, ja būtisko pakalpojumu sniedzējs konstatējis, ka ārpakalpojuma sniedzējs nepilda ārpakalpojuma līgumā noteiktās prasības attiecībā uz ārpakalpojuma apjomu vai kvalitāti,
– ārpakalpojuma sniedzēja pienākumu nodrošināt būtisko pakalpojumu sniedzējam iespēju pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
– ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības,
- ārpakalpojuma sniedzēja pienākumu informēt būtisko pakalpojumu sniedzēju par apakšuzņēmēju un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;
(3) tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras būtisko pakalpojumu sniedzējs ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;
(4) piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu.

Noteikumu projekts nosaka kiberdrošības pārvaldniekam par pienākumu uzraudzīt ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi.

Noteikumu projekts nosaka īpašās ārpakalpojumu prasības, kas ir veidotas pēc līdzības ar Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" paaugstinās drošības informācijas sistēmām noteiktajām prasībām, un ir pilnveidotas, ņemot vērā aktuālos kiberdrošības un nacionālās drošības apdraudējumus. Noteikumu projekts paredz, ka līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
(1) juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
– tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
– tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis;
– tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
– tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām;
(2) fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
(3) citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.

Tāpat īpašās ārpakalpojumu prasības paredz, ka A kategorijas informācijas sistēmas vai tās elementu izvietošana ārpakalpojuma sniedzēja nodrošinātos tehniskajos resursos ir atļauta tikai tad, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek tikai NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valstu teritorijā, vai, ja ir saņemta kompetentās valsts drošības iestādes atļauja, citas valsts teritorijā. Šādas īpašās ārpakalpojumu prasības ir attiecināmas arī uz ārpakalpojuma līgumiem par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, paredzot, ka auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst minētajām prasībām, auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību, kā arī auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā.

Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver norādi uz minētajiem ierobežojumiem, kā arī ārpakalpojuma līgumā nosaka ārpakalpojuma sniedzēja pienākumu līguma darbības laikā nekavējoties informēt būtisko pakalpojumu sniedzēju par jebkurām izmaiņām, kas var ietekmēt ārpakalpojuma sniedzēja un apakšuzņēmēju atbilstību minētajām prasībām. Noteikumu projekts paredz, ka ārpakalpojuma līgumu izbeidz, ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām vai kompetentā valsts drošības iestāde nav saskaņojusi līguma turpināšanu.

Papildu prasības IKT kritiskajai infrastruktūrai
Noteikumu projekts nosaka papildu prasības IKT kritiskajai infrastruktūrai, paredzot, ka uz visiem IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem attiecas tādas pašas prasības, kādas šajā Noteikumu projektā ir noteiktas būtisko pakalpojumu sniedzējiem, kā arī papildu prasības. Papildu prasības ietver kiberdrošības pārvaldnieka kandidatūras saskaņošanu ar Satversmes aizsardzības biroju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību šo Noteikumu prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Tāpat Satversmes aizsardzības birojs var pārbaudīt IKT kritiskās infrastruktūras nodarbinātos, kā arī, ja komersants sniedz pakalpojumus kritiskajā infrastruktūrā, komersanta īpašnieku, valdes locekļus un nodarbinātos, kuriem ir pieeja kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām vai kuri sniedz kritiskās infrastruktūras funkcionēšanai nozīmīgus pakalpojumus, un izvērtēt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju. Pamatojoties uz pārbaudes rezultātiem, Satversmes aizsardzības birojs var sniegt IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ieteikumus par drošības pasākumu veikšanu. Papildu prasības IKT kritiskajai infrastruktūrai paredz arī, ka IKT kritiskās infrastruktūras kiberdrošības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors, bet ielaušanās testus IKT kritiskajā infrastruktūrā – ar Satversmes aizsardzības biroju saskaņots ielaušanās testu veicējs.

Kiberincidentu vadība
Noteikumu projekts nosaka kiberincidentu nozīmīguma kritērijus, paredzot, ka par nozīmīgu kiberincidentu tiek uzskatīts kiberincidents, kurš atbilst vismaz vienai no šādām pazīmēm:
(1) kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
(2) kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām;
(3) kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
(4) kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
(5) kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
(6) kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.

Noteikumu projekts paredz, ka atkarībā no nozīmīgā kiberincidenta veida, tā intensitātes un ietekmes, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs var izsludināt kiberdrošības krīzi, lai nodrošinātu ar nozīmīgā kiberincidenta risināšanu un tā seku likvidēšanu saistīto pasākumu īstenošanu saskaņā ar Nacionālo kiberincidentu krīzes vadības plānu.

Tāpat Noteikumu projekts nosaka, ka subjekts, konstatējot kiberincidentu, subjekts nekavējoties novērtē tā nozīmīgumu un Nacionālās kiberdrošības likumā noteiktajos termiņos par nozīmīgajiem kiberincidentiem ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi elektroniski aizpildītu noteiktas formas un satura veidlapu (agrīnā brīdinājuma veidlapu, sākotnējā ziņojuma veidlapu, progresa ziņojuma veidlapu, starpposma ziņojuma veidlapu vai galaziņojuma veidlapu). Savukārt par tādu kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjektam ir pienākums ziņot kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.

Atbilstības audits
Noteikumu projekts nosaka minimālo periodiskumu, ar kuru subjekts veic ārēju auditu par savu atbilstību Nacionālās kiberdrošības likumā un šajā Noteikumu projektā noteiktajām kiberdrošības prasībām. Noteikumu projekts paredz, ka subjekts veic ārēju auditu:
(1) ne retāk kā reizi divos gados, ja subjekts ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai, ja subjekta īpašumā, valdījumā, turējumā vai lietošanā ir A kategorijas informācijas sistēmas;
(2) ne retāk kā reizi piecos gados, ja subjekta īpašumā, valdījumā, turējumā vai lietošanā nav nevienas A kategorijas informācijas sistēmas;
(3) pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma – pieprasījumā noteiktajā termiņā.

Tāpt atbilstoši Nacionālā kiberdrošības likumā noteiktajam, Noteikumu projekts nosaka kiberdrošības auditoriem izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību. Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā reģistrē auditoru, kurš atbilst šādām prasībām:
(1) auditors ir juridiska vai fiziska persona, kura atbilst šī Noteikuma projekta 76. punkta prasībām (īpašās ārpakalpojumu prasības);
(2) auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
(3) auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām;
(4) auditora reģistrācija nav pretrunā ar nacionālās drošības interesēm.

Noteikumu projekts paredz, ka, lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu un minēto sertifikātu kopijas. Noteikumu projekts paredz, ka auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību izvirzītajām prasībām. Noteikumu projekts nosaka, ka Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
(1) saņemts auditora iesniegums par izslēgšanu no saraksta;
(2) konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
(3) auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
(4) pastāv objektīvas bažas par auditora zināšanas kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
(5) saņemts kompetentās valsts drošības atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;
(6) publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
(7) publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.

Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komitejas lēmums par auditora reģistrāciju, auditora reģistrācijas datu precizēšanu vai izslēgšanu no auditoru saraksta ir administratīvais akts, un, ka auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.

Drošības skenēšana
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kritērijus un kārtību, kādā veic subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu. Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros vai pēc subjekta pieprasījuma.

Noteikumu projekts nosaka, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs, vērtējot drošības skenēšanas nepieciešamību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.

Noteikumu projekts paredz, ka gadījumā, ja drošības skenēšanu veic pēc subjekta pieprasījuma, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs par drošības skenēšanas rezultātiem informē kompetento kiberincidentu novēršanas institūciju un attiecīgo subjektu, ja vien tas nav pretrunā ar nacionālās drošības interesēm. Noteikumu projekts nosaka, ka drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.

Agrās brīdināšanas sensori
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kiberdrošības agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus, kā arī kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā. Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.

Noteikumu projekts paredz, ka agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija. Agrās brīdināšanas sensorus izvieto, ievērojot šādu prioritāro kārtību: (1) IKT kritiskā infrastruktūra; (2) būtisko pakalpojumu sniedzēju IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmas; (3) pārējā būtisko pakalpojumu sniedzēju IKT infrastruktūra; (4) svarīgo pakalpojumu sniedzēju IKT infrastruktūra. Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija, vērtējot agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.

Noteikumu projekts paredz, ka gadījumā, ja kiberincidentu novēršanas institūcijas vērtējumā agrās brīdināšanas sensora turpmākā izmantošana nav nepieciešama vai nav lietderīga, subjekta IKT infrastruktūrā uzstādīto agrās brīdināšanas sensoru demontē. Tāpat Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija savlaicīgi informē subjektu par agrās brīdināšanas sensora uzstādīšanu subjekta IKT infrastruktūrā, agrās brīdināšanas sensora uzturēšanai nepieciešamajiem apkopes darbiem un agrās brīdināšanas sensora demontāžu. Subjektam ir pienākums pēc kiberncidentu novēršanas institūcijas pieprasījuma nodrošināt tai netraucētu piekļuvi savai IKT infrastruktūrai, lai nodrošinātu netraucētu agrās brīdināšanas sensora uzstādīšanu, apkopi un demontāžu.

Pašvērtējums
Saskaņā ar Nacionālās kiberdrošības likumu Noteikumu projekts nosaka subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti. Noteikumu projekts paredz, ka subjekts, kurš ir ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma, veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām reizi gadā, bet pārēji subjekti – reizi trijos gados, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk. Noteikumu projekts nosaka, ka pašvērtējuma ziņojumu sagatavo atbilstoši Noteikumu projekta pielikumā ietvertajai veidlapai, un to iesniedz līdz attiecīgā kalendārā gada 1. oktobrim.

Neatbilstību novēršana valsts un pašvaldību institūcijās
Noteikumu projekts paredz, ka gadījumā, ja subjekts, kurš ir valsts vai pašvaldības institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo faktu ziņo attiecīgajai amatpersonai. Noteikumu projekts nosaka, ka gadījumā, ja subjekts ir tiešās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Šādā gadījumā Ministru kabineta loceklis izvērtē nepieciešamību ierosināt disciplinārlietu un lemj par turpmāko rīcību neatbilstības novēršanai. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam. Tāpat gadījumā, ja subjekts ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē vides aizsardzības un reģionālās attīstības ministru. Savukārt gadījumā, ja subjekts ir cita valsts vai pašvaldības institūcija, Nacionālais kiberdrošības centrs par neatbilstību ziņo Ministru kabinetam, kurš lemj par turpmāko rīcību neatbilstības novēršanai.

Piekļuves slēgšana elektronisko sakaru tīklam
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam Noteikumu projekts nosaka nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam. Noteikumu projekts paredz, ka pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam  Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju. Noteikumu projekts nosaka par pienākumu elektronisko sakaru komersantam atslēgt lietotāju no elektronisko sakaru tīkla ne vēlāk kā stundas laikā pēc piekļuves slēgšanas pieprasījuma saņemšanas. Noteikumu projekts paredz, ka lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju, kā arī pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām minēto piekļuvi atjauno.