22-TA-2017: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Publisko elektronisko sakaru tīklu drošības prasības" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Izdoti saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu.
1.2. Mērķis
Mērķa apraksts
Noteikumu projekts nosaka: 1) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības; 2) kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā.
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva 2018/1972) apvieno tiesību normas, kas ietvertas Eiropas Parlamenta un Padomes 2002. gada 7. marta direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu, Eiropas Parlamenta un Padomes 2002.gada 7. marta direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu, Eiropas Parlamenta un Padomes 2002. gada 7. marta direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem un Eiropas Parlamenta un Padomes 2002.gada 7. marta direktīva 2002/22/EK par universālo pakalpojumu un lietotāju tiesībām attiecībā uz elektronisko sakaru tīkliem un pakalpojumiem. Lai ieviestu Direktīvas 2018/1972 normas, ņemot vērā to apjomu, nebija lietderīgi veikt grozījumus spēkā esošajā Elektronisko sakaru likumā, tādēļ Satiksmes ministrija izstrādāja jaunu likumprojektu “Elektronisko sakaru likums”, kas aptver ne tikai Direktīvas 2018/1972 normas, bet arī saglabā un pilnveido ESL esošo regulējumu jautājumos, kas nav Direktīvas 2018/1972 tvērumā.
Latvijā elektronisko sakaru jomu un informācijas tehnoloģiju drošības jomu regulē divi likumi, Elektronisko sakaru likums un Informācijas tehnoloģiju drošības likums, un uz to pamata izdotie Ministru kabineta noteikumi.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Savukārt Informācijas tehnoloģiju drošības likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas un šis likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām. Informācijas tehnoloģiju drošības likuma 9. panta pirmā daļa nosaka, ka elektronisko sakaru komersantiem ir šādi pienākumi: ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu, — nodrošināt šā sakaru tīkla integritāti, tādējādi panākot pakalpojumu sniegšanas nepārtrauktību, kā arī sastādīt rīcības plānu elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus; ziņot kompetentajai Drošības incidentu novēršanas institūcijai par drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību; pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku; pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar kompetento Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem informē kompetento Drošības incidentu novēršanas institūciju. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants; pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu.
Uz Informācijas tehnoloģiju drošības likuma pamata ir izdoti Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”, kas nosaka informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību. Savukārt Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, nosaka valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām prasībām, valsts informācijas sistēmu vispārējās drošības prasības un informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.
Latvijā elektronisko sakaru jomu un informācijas tehnoloģiju drošības jomu regulē divi likumi, Elektronisko sakaru likums un Informācijas tehnoloģiju drošības likums, un uz to pamata izdotie Ministru kabineta noteikumi.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Savukārt Informācijas tehnoloģiju drošības likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas un šis likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām. Informācijas tehnoloģiju drošības likuma 9. panta pirmā daļa nosaka, ka elektronisko sakaru komersantiem ir šādi pienākumi: ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu, — nodrošināt šā sakaru tīkla integritāti, tādējādi panākot pakalpojumu sniegšanas nepārtrauktību, kā arī sastādīt rīcības plānu elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus; ziņot kompetentajai Drošības incidentu novēršanas institūcijai par drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību; pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku; pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar kompetento Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem informē kompetento Drošības incidentu novēršanas institūciju. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants; pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu.
Uz Informācijas tehnoloģiju drošības likuma pamata ir izdoti Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”, kas nosaka informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību. Savukārt Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, nosaka valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām prasībām, valsts informācijas sistēmu vispārējās drošības prasības un informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.
Problēmas un risinājumi
Problēmas apraksts
Elektronisko sakaru likuma 19. panta pirmā daļa uzskaita elektronisko sakaru komersantu pienākumus, no kuriem specifiski ar drošības jautājumiem ir saistīti šādi 19. panta pirmās daļas punkti:
4) nodrošināt lietotāju datu, tajā skaitā personu datu, aizsardzību saskaņā ar normatīvajiem aktiem;
5) saskaņā ar Satversmes aizsardzības biroja direktora rakstveida pieprasījumu par saviem līdzekļiem ierīkot, uzturēt, papildināt un pārveidot atbilstoši jaunieviestajām funkcionalitātēm pārtveršanas punktu (punktus), kas pēc operatīvās darbības subjekta vadītāja rakstveida pieprasījuma bez atlīdzības jānodod tā lietošanā operatīvās darbības pasākumu un kriminālprocesuālo darbību veikšanai;
16) veikt tehniskus un organizatoriskus pasākumus attiecībā uz elektronisko sakaru tīkla drošību tā lietotāju datu aizsardzībai, kā arī konkrēta elektronisko sakaru tīkla drošības apdraudējuma gadījumā informēt lietotājus par elektronisko sakaru tīkla lietošanas riskiem un pieejamiem tiesiskās aizsardzības līdzekļiem šo risku mazināšanai;
18) ja elektronisko sakaru komersants nodrošina publisko elektronisko sakaru tīklu, — veikt tehniskus un organizatoriskus pasākumus attiecīgo elektronisko sakaru tīklu integritātes nodrošināšanai un sadarboties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju atbilstoši Informācijas tehnoloģiju drošības likumā noteiktajam.
Papildu iepriekš uzskaitītajiem pienākumiem, Elektronisko sakaru likuma 19. panta otrā daļa nosaka, ka publiskā telefonu tīkla operatoram ir papildu pienākumi, taču neviens no tiem neskar drošības jautājumus. Attiecīgi jāsecina, ka Elektronisko sakaru likums publisko elektronisko sakaru tīklu drošības jautājumus apskata, taču trūkst skaidru drošības prasību un to uzraudzības kārtības, lai pilnībā pārņemtu Direktīvas 2018/1972 40. panta 1. punkta prasības.
4) nodrošināt lietotāju datu, tajā skaitā personu datu, aizsardzību saskaņā ar normatīvajiem aktiem;
5) saskaņā ar Satversmes aizsardzības biroja direktora rakstveida pieprasījumu par saviem līdzekļiem ierīkot, uzturēt, papildināt un pārveidot atbilstoši jaunieviestajām funkcionalitātēm pārtveršanas punktu (punktus), kas pēc operatīvās darbības subjekta vadītāja rakstveida pieprasījuma bez atlīdzības jānodod tā lietošanā operatīvās darbības pasākumu un kriminālprocesuālo darbību veikšanai;
16) veikt tehniskus un organizatoriskus pasākumus attiecībā uz elektronisko sakaru tīkla drošību tā lietotāju datu aizsardzībai, kā arī konkrēta elektronisko sakaru tīkla drošības apdraudējuma gadījumā informēt lietotājus par elektronisko sakaru tīkla lietošanas riskiem un pieejamiem tiesiskās aizsardzības līdzekļiem šo risku mazināšanai;
18) ja elektronisko sakaru komersants nodrošina publisko elektronisko sakaru tīklu, — veikt tehniskus un organizatoriskus pasākumus attiecīgo elektronisko sakaru tīklu integritātes nodrošināšanai un sadarboties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju atbilstoši Informācijas tehnoloģiju drošības likumā noteiktajam.
Papildu iepriekš uzskaitītajiem pienākumiem, Elektronisko sakaru likuma 19. panta otrā daļa nosaka, ka publiskā telefonu tīkla operatoram ir papildu pienākumi, taču neviens no tiem neskar drošības jautājumus. Attiecīgi jāsecina, ka Elektronisko sakaru likums publisko elektronisko sakaru tīklu drošības jautājumus apskata, taču trūkst skaidru drošības prasību un to uzraudzības kārtības, lai pilnībā pārņemtu Direktīvas 2018/1972 40. panta 1. punkta prasības.
Risinājuma apraksts
Ņemot vērā problēmas aprakstā minēto, Elektronisko sakaru likuma 8. panta pirmajā un otrajā daļā tika iekļauts deleģējums Ministru kabinetam noteikt publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības, kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas uzraudzības jomā. Saskaņā ar iepriekš minēto tiks izdoti Ministru kabineta noteikumi “Publisko elektronisko sakaru tīklu drošības prasības” (turpmāk – noteikumi).
Noteikumu pirmajā nodaļā ir paredzēts, ka noteikumi neattieksies uz publisko elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija, kā arī publisko elektronisko sakaru tīklu galaiekārtām pie klientiem un citām galalietotāja iekārtām, izņemot gadījumus, kad galaiekārta ir publisko elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā. Tāpat iepriekšminētie noteikumi neattieksies uz kabeļtelevīzijas tīkliem. Vienlaikus, lai novērstu to, ka informācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem ir atkārtoti jāsniedz informācija valsts iestādēm atbilstoši dažādos normatīvajos aktos noteiktajam, noteikumu 8. pants nosaka, kāda informācija atkārtoti nav jāsniedz. Noteikumu pirmajā nodaļā ir definēti noteikumos lietotie termini.
Noteikumu otrā nodaļa ir veltīta risku vadībai un mazināšanai. Tā paredz, ka publisko elektronisko sakaru tīklu īpašnieks: izveido efektīvu operacionālo risku, tostarp drošības risku, pārvaldības sistēmu. Šī sistēma koncentrējas uz pasākumiem risku mazināšanai publiskajos elektrisko sakaru tīklos un ir integrēta kopējos risku pārvaldības procesos; nodrošina, ka drošības risku pārvaldības sistēma tiek dokumentēta, un informācija tiek pastāvīgi uzlabota, pamatojoties uz gūtajām atziņām, kas uzkrātas publisko elektronisko sakaru tīklu izmantošanas un uzraudzības gaitā, kas savā būtībā paredz, ka tiek izstrādāts rīcības plāns, taču tīkla īpašnieks var veikt arī plašāku dokumentāciju; identificē drošības riskus, kas ietekmē publiskos elektronisko sakaru tīklus; plāno un īsteno drošības pasākumus, lai samazinātu risku līdz pieņemamam līmenim, ja risku analīzē novērtētais risks ir nepieņemams, kā arī, pamatojoties uz risku izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem noteikt realizācijas prioritātes, termiņus un atbildīgos; plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Publisko elektronisko sakaru tīklu īpašnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos; nodrošina publisko elektronisko sakaru tīkla integritāti, kā arī sastāda rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai; noteikumu subjektu pienākums ir identificēt publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu 1. pielikumu. 1. pielikuma 3. punktā minētās 5G pamattīkla citas funkcijas ir identificējamas atbilstoši industrijas labajām praksēm, kas detalizēti aprakstītas 5G tīkla tehniskajā specifikācijā (3GPP 23.501.6.2. 6.2. punktā). Ar Publisko elektronisko sakaru tīklu īpašnieks var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas, kuras nav noteiktas šo noteikumu pielikumā; publisko sakaru tīklu īpašnieka pienākums ir iesniegt Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem un informēt Satversmes aizsardzības biroju par izmaiņām iepriekšminētajā sarakstā vismaz vienu (1) mēnesi pirms jaunu publisko elektronisko sakaru tīklu būvniecības (projektēšanas stadijā), kā arī ekspluatācijā nodoto publisko elektronisko sakaru tīklu pārbūves, vai atsevišķu iekārtu, programmatūras vai ārpakalpojuma sniedzēja nomaiņas; Šo noteikumu 4.7. apakšpunktā minēto rīcības plānu mēneša laikā pēc tā apstiprināšanas vai aktualizēšanas nosūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (CERT.LV) (turpmāk – CERT.LV) un Satversmes aizsardzības birojam. Nosūtot rīcības plānu, publisko elektronisko sakaru tīklu īpašnieks norāda, vai tajā iekļautā informācija ir uzskatāma par ierobežotas pieejamības informāciju. Rīcības plānu aktualizē, ja mainās rīcības plānā iekļautā informācija, nekavējoties ziņo CERT.LV par drošības incidentu, kuram ir ietekme uz publisko elektronisko sakaru tīkla drošību vai integritāti; pēc CERT.LV pieprasījuma sniedz tai tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku; pēc CERT.LV pieprasījuma, ja konstatēti drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts, kura izvēli saskaņo ar CERT.LV Par audita rezultātiem informē CERT.LV. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš publisko elektronisko sakaru tīklu īpašnieks; pēc CERT.LV pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēdz galalietotājam piekļuvi publisko elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai publisko elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, CERT.LV norāda pieprasījuma iemeslu.
Šo noteikumu 4.7.4. apakšpunktā minēto risku analīzi veic un dokumentē katru gadu vai īsākos starplaikos, ja nepieciešams. Risku analīzi veic arī attiecībā uz visām būtiskām izmaiņām infrastruktūrā, procesos vai procedūrās, kas ietekmē publisko elektronisko sakaru tīklu. Šī nodaļa arī paredz, ka publiskajos elektronisko sakaru tīklos netiek izmantotas tādas iekārtas un programmatūra, par kurām no Satversmes aizsardzības biroja ir saņemts atzinums, ka to izmantošana var radīt draudus nacionālai drošībai. Noteikumu 8. punkts nosaka, ka noteikumu 4.7. punktā noteiktā prasība neattiecas uz informāciju tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem, jo uz šiem subjektiem attiecas Ministru kabineta noteikumos Nr. 442 noteiktās prasības, kuru ietvaros ir jau paredzēts, ka kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji sniedz šo informāciju.
Publiskajiem elektronisko sakaru tīkliem, kuri šo noteikumu spēkā stāšanās brīdī ir nodoti ekspluatācijā, vai atrodas projektēšanas, būvniecības, ierīkošanas, pārbūves stadijā, šo noteikumu 10. punktā minētā prasība, neizmantot tādu iekārtu un programmatūru, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka to izmantošana var radīt draudus nacionālajai drošībai, tiek piemērota no 2030. gada 1. janvāra. Tādu ārpakalpojumu izmantošana, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai, tiek piemērota no šo noteikumu spēkā stāšanās dienas. Ņemot vērā pārejas periodu, kas paredzēts noteikumu 10. punktā minētās prasības nodrošināšanai, komersantiem jau savlaicīgi ir iespēja izvērtēt savu tīklu kritisko daļu ekosistēmu, nepieciešamības gadījumā konsultējoties ar Satversmes aizsardzības biroju, tādējādi nodrošinot, ka drošības prasību uzraudzības procesā tiek nodrošināta dialoga iespējamība.
Noteikumu trešā nodaļa ir veltīta informācijas drošībai un paredz, ka publisko elektronisko sakaru tīklu īpašnieks: nodrošina informācijas drošības funkciju, lai realizētu informācijas drošības risku kontroli un īstenotu nepieciešamos drošības pasākumus, nodrošina, ka tas pastāvīgi uzrauga apdraudējumus un ievainojamības, kas attiecas uz elektronisko sakaru tīkliem un regulāri pārskata risku scenārijus, kas tos ietekmē. Informācijas drošības funkcijas ietvaros publisko elektronisko sakaru tīklu īpašnieks nodrošina informācijas drošības politikas izstrādi, uzturēšanu un ieviešanas kontroli, noteikto drošības pasākumu uzraudzību, t.sk. attiecībā uz ārpakalpojumu sniedzējiem, dalību infrastruktūras vai procesu būtisku izmaiņu pārvaldībā, ja tās ietekmē drošību, regulāru darbinieku apmācību un informēšanu informācijas tehnoloģiju drošības jomā, kā arī dalību drošības incidentu pārvaldībā un darbības atjaunošanas un nepārtrauktības plānošanā.
Noteikumi paredz, ka publiskā elektronisko sakaru tīkla īpašnieks nodrošina informācijas drošības funkcijas neatkarību un objektivitāti, pienācīgi nodalot to no informācijas tehnoloģiju izstrādes un uzturēšanas procesiem, un nosaka pienākumu nepastarpināti informēt publisko elektronisko sakaru tīklu īpašnieka vai tiesiskā valdītāja vadību par būtiskiem informācijas tehnoloģiju drošības noteikumiem. Ja par informācijas sistēmu drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
Noteikumu ceturtā nodaļa apskata ārpakalpojumu drošības prasības. Tā paredz, ka publisko elektronisko sakaru tīklu drošības līmenis, ja tos attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par publisko elektronisko sakaru tīkla īpašnieka vai tiesiskā valdītāja noteikto. Ārpakalpojuma saņemšana neatbrīvo publisko elektronisko sakaru tīklu īpašnieku vai tiesisko valdītāju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
Pirms lēmuma par ārpakalpojumu iegādi pieņemšanas publisko elektronisko sakaru tīklu īpašnieks izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes un drošības, tostarp pieejamības prasības, vērtē riskus. Risku izvērtējumā jāņem vērā arī noteikumu 23. punktā minētais, ka publiskā elektronisko sakaru tīkla īpašnieks iespēju robežās veic piegādātāju diversifikāciju, ar to saprotot, ka gadījumos, kad ārpakalpojumu atbilstoši izvirzītajām prasībām var nodrošināt dažādi piegādāji, rekomendēts izvērtēt dažādu piegādātāju izvēli. Tādējādi mazinot risku, ka veidojas būtiska atkarība no viena piegādātāja. Publiskā elektronisko sakaru tīkla īpašnieks nosaka arī pakalpojuma izbeigšanas stratēģiju, kā arī publisko elektronisko sakaru tīklu īpašnieks līgumā ar ārpakalpojuma sniedzēju ietver ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par incidentiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam, tad apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Izmantojot ārpakalpojumus, tai skaitā mākoņskaitļošanu, publisko elektronisko sakaru tīklu īpašniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Publisko elektronisko sakaru tīklu īpašnieka klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
Noteikumu piektā nodaļa ir veltīta piegādes ķēdes drošībai un nepārtrauktībai un tajā ir noteikts, ka publisko elektronisko sakaru tīklu īpašnieka pienākums ir identificēt un samazināt drošības apdraudējumu riskus, kas rodas, ja viņš ir atkarīgs no citām personām (trešās puses piegādātājiem), kas piegādā preces vai sniedz pakalpojumus publiskā elektronisko sakaru tīkla darbības nodrošināšanai. Tāpat publiskā elektronisko sakaru tīklu īpašnieks iespēju robežās veic piegādātāju diversificēšanu, lai nodrošinātu tā īpašumā vai tiesiskajā valdījumā esošo publisko elektronisko sakaru tīklu pieejamību, integritāti un konfidencialitāti.
Publiskā elektronisko sakaru tīkla īpašnieks nodrošina, ka ir izstrādāts plāns tā īpašumā vai tiesiskajā valdījumā esošā publiskā elektronisko sakaru tīkla darbības uzturēšanai gadījumā, ja piegāde vai trešās puses piegādātāja atbalsts tiek pārtraukts, kā arī tā pienākums ir regulāri pārskatīt šo plānu.
Noteikumu sestā nodaļa nosaka kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas. Tā paredz, ka Digitālās drošības uzraudzības komiteja uzrauga publisko elektronisko sakaru tīklu drošības prasību ievērošanu un sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai. Savukārt CERT.LV izvērtēs publisko elektronisko tīklu īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības noteikumos minētajām prasībām, lūgs attiecīgo publisko elektronisko sakaru tīklu īpašnieku veikt labojumus atbilstoši norādījumiem tās noteiktajā termiņā, kas nav īsāks par mēnesi. CERT.LV arī sniegs atbalstu Digitālās drošības uzraudzības komitejai publisko elektronisko sakaru tīklu drošības prasību ievērošanas uzraudzības funkcijas īstenošanā un būs tiesīgs izdot saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Satversmes aizsardzības birojs izvērtēs publiskajos elektronisko sakaru tīklos izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību un varēs noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai. Līdzīgi kā CERT.LV, arī Satversmes aizsardzības birojs varēs sniegt saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Gan CERT.LV, gan Satversmes aizsardzības birojam būs tiesības pieprasīt publiskā elektronisko sakaru tīklu īpašniekam vai tiesiskajam valdītājam papildu informāciju (fiziskās personas vārds, uzvārds, personas kods; juridiskās personas nosaukums, reģistrācijas Nr. u.c.), lai precizētu vai skaidrotu iesniegto informāciju, kā arī sniegto informāciju pārbaudīt jebkurā laikā. Satversmes aizsardzības birojs un CERT.LV, pildot šajos noteikumos noteiktos uzdevumus un īstenojot savas tiesības un pienākumus, saņem, apstrādā, uzglabā un analizē datus, kas iegūti, lai pamatotu sniegtās rekomendācijas, izvērtējumus un atzinumus, atbilstoši Informācijas tehnoloģijas drošības likuma 7. pantam, Satversmes aizsardzības biroja likuma 7. pantam, Valsts drošības iestāžu likuma 5. pantam un Nacionālās drošības likuma 15. pantam.
Noteikumu pirmajā nodaļā ir paredzēts, ka noteikumi neattieksies uz publisko elektronisko sakaru tīklos izmantotajām iekārtām, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija, kā arī publisko elektronisko sakaru tīklu galaiekārtām pie klientiem un citām galalietotāja iekārtām, izņemot gadījumus, kad galaiekārta ir publisko elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā. Tāpat iepriekšminētie noteikumi neattieksies uz kabeļtelevīzijas tīkliem. Vienlaikus, lai novērstu to, ka informācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem ir atkārtoti jāsniedz informācija valsts iestādēm atbilstoši dažādos normatīvajos aktos noteiktajam, noteikumu 8. pants nosaka, kāda informācija atkārtoti nav jāsniedz. Noteikumu pirmajā nodaļā ir definēti noteikumos lietotie termini.
Noteikumu otrā nodaļa ir veltīta risku vadībai un mazināšanai. Tā paredz, ka publisko elektronisko sakaru tīklu īpašnieks: izveido efektīvu operacionālo risku, tostarp drošības risku, pārvaldības sistēmu. Šī sistēma koncentrējas uz pasākumiem risku mazināšanai publiskajos elektrisko sakaru tīklos un ir integrēta kopējos risku pārvaldības procesos; nodrošina, ka drošības risku pārvaldības sistēma tiek dokumentēta, un informācija tiek pastāvīgi uzlabota, pamatojoties uz gūtajām atziņām, kas uzkrātas publisko elektronisko sakaru tīklu izmantošanas un uzraudzības gaitā, kas savā būtībā paredz, ka tiek izstrādāts rīcības plāns, taču tīkla īpašnieks var veikt arī plašāku dokumentāciju; identificē drošības riskus, kas ietekmē publiskos elektronisko sakaru tīklus; plāno un īsteno drošības pasākumus, lai samazinātu risku līdz pieņemamam līmenim, ja risku analīzē novērtētais risks ir nepieņemams, kā arī, pamatojoties uz risku izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem noteikt realizācijas prioritātes, termiņus un atbildīgos; plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Publisko elektronisko sakaru tīklu īpašnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos; nodrošina publisko elektronisko sakaru tīkla integritāti, kā arī sastāda rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai; noteikumu subjektu pienākums ir identificēt publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šo noteikumu 1. pielikumu. 1. pielikuma 3. punktā minētās 5G pamattīkla citas funkcijas ir identificējamas atbilstoši industrijas labajām praksēm, kas detalizēti aprakstītas 5G tīkla tehniskajā specifikācijā (3GPP 23.501.6.2. 6.2. punktā). Ar Publisko elektronisko sakaru tīklu īpašnieks var identificēt kā kritiskas arī citas publiskā elektronisko sakaru tīkla daļas, kuras nav noteiktas šo noteikumu pielikumā; publisko sakaru tīklu īpašnieka pienākums ir iesniegt Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem un informēt Satversmes aizsardzības biroju par izmaiņām iepriekšminētajā sarakstā vismaz vienu (1) mēnesi pirms jaunu publisko elektronisko sakaru tīklu būvniecības (projektēšanas stadijā), kā arī ekspluatācijā nodoto publisko elektronisko sakaru tīklu pārbūves, vai atsevišķu iekārtu, programmatūras vai ārpakalpojuma sniedzēja nomaiņas; Šo noteikumu 4.7. apakšpunktā minēto rīcības plānu mēneša laikā pēc tā apstiprināšanas vai aktualizēšanas nosūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (CERT.LV) (turpmāk – CERT.LV) un Satversmes aizsardzības birojam. Nosūtot rīcības plānu, publisko elektronisko sakaru tīklu īpašnieks norāda, vai tajā iekļautā informācija ir uzskatāma par ierobežotas pieejamības informāciju. Rīcības plānu aktualizē, ja mainās rīcības plānā iekļautā informācija, nekavējoties ziņo CERT.LV par drošības incidentu, kuram ir ietekme uz publisko elektronisko sakaru tīkla drošību vai integritāti; pēc CERT.LV pieprasījuma sniedz tai tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku; pēc CERT.LV pieprasījuma, ja konstatēti drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts, kura izvēli saskaņo ar CERT.LV Par audita rezultātiem informē CERT.LV. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš publisko elektronisko sakaru tīklu īpašnieks; pēc CERT.LV pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēdz galalietotājam piekļuvi publisko elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai publisko elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, CERT.LV norāda pieprasījuma iemeslu.
Šo noteikumu 4.7.4. apakšpunktā minēto risku analīzi veic un dokumentē katru gadu vai īsākos starplaikos, ja nepieciešams. Risku analīzi veic arī attiecībā uz visām būtiskām izmaiņām infrastruktūrā, procesos vai procedūrās, kas ietekmē publisko elektronisko sakaru tīklu. Šī nodaļa arī paredz, ka publiskajos elektronisko sakaru tīklos netiek izmantotas tādas iekārtas un programmatūra, par kurām no Satversmes aizsardzības biroja ir saņemts atzinums, ka to izmantošana var radīt draudus nacionālai drošībai. Noteikumu 8. punkts nosaka, ka noteikumu 4.7. punktā noteiktā prasība neattiecas uz informāciju tehnoloģiju kritiskās infrastruktūras īpašniekiem vai tiesiskajiem valdītājiem, jo uz šiem subjektiem attiecas Ministru kabineta noteikumos Nr. 442 noteiktās prasības, kuru ietvaros ir jau paredzēts, ka kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji sniedz šo informāciju.
Publiskajiem elektronisko sakaru tīkliem, kuri šo noteikumu spēkā stāšanās brīdī ir nodoti ekspluatācijā, vai atrodas projektēšanas, būvniecības, ierīkošanas, pārbūves stadijā, šo noteikumu 10. punktā minētā prasība, neizmantot tādu iekārtu un programmatūru, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka to izmantošana var radīt draudus nacionālajai drošībai, tiek piemērota no 2030. gada 1. janvāra. Tādu ārpakalpojumu izmantošana, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai, tiek piemērota no šo noteikumu spēkā stāšanās dienas. Ņemot vērā pārejas periodu, kas paredzēts noteikumu 10. punktā minētās prasības nodrošināšanai, komersantiem jau savlaicīgi ir iespēja izvērtēt savu tīklu kritisko daļu ekosistēmu, nepieciešamības gadījumā konsultējoties ar Satversmes aizsardzības biroju, tādējādi nodrošinot, ka drošības prasību uzraudzības procesā tiek nodrošināta dialoga iespējamība.
Noteikumu trešā nodaļa ir veltīta informācijas drošībai un paredz, ka publisko elektronisko sakaru tīklu īpašnieks: nodrošina informācijas drošības funkciju, lai realizētu informācijas drošības risku kontroli un īstenotu nepieciešamos drošības pasākumus, nodrošina, ka tas pastāvīgi uzrauga apdraudējumus un ievainojamības, kas attiecas uz elektronisko sakaru tīkliem un regulāri pārskata risku scenārijus, kas tos ietekmē. Informācijas drošības funkcijas ietvaros publisko elektronisko sakaru tīklu īpašnieks nodrošina informācijas drošības politikas izstrādi, uzturēšanu un ieviešanas kontroli, noteikto drošības pasākumu uzraudzību, t.sk. attiecībā uz ārpakalpojumu sniedzējiem, dalību infrastruktūras vai procesu būtisku izmaiņu pārvaldībā, ja tās ietekmē drošību, regulāru darbinieku apmācību un informēšanu informācijas tehnoloģiju drošības jomā, kā arī dalību drošības incidentu pārvaldībā un darbības atjaunošanas un nepārtrauktības plānošanā.
Noteikumi paredz, ka publiskā elektronisko sakaru tīkla īpašnieks nodrošina informācijas drošības funkcijas neatkarību un objektivitāti, pienācīgi nodalot to no informācijas tehnoloģiju izstrādes un uzturēšanas procesiem, un nosaka pienākumu nepastarpināti informēt publisko elektronisko sakaru tīklu īpašnieka vai tiesiskā valdītāja vadību par būtiskiem informācijas tehnoloģiju drošības noteikumiem. Ja par informācijas sistēmu drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
Noteikumu ceturtā nodaļa apskata ārpakalpojumu drošības prasības. Tā paredz, ka publisko elektronisko sakaru tīklu drošības līmenis, ja tos attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par publisko elektronisko sakaru tīkla īpašnieka vai tiesiskā valdītāja noteikto. Ārpakalpojuma saņemšana neatbrīvo publisko elektronisko sakaru tīklu īpašnieku vai tiesisko valdītāju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
Pirms lēmuma par ārpakalpojumu iegādi pieņemšanas publisko elektronisko sakaru tīklu īpašnieks izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes un drošības, tostarp pieejamības prasības, vērtē riskus. Risku izvērtējumā jāņem vērā arī noteikumu 23. punktā minētais, ka publiskā elektronisko sakaru tīkla īpašnieks iespēju robežās veic piegādātāju diversifikāciju, ar to saprotot, ka gadījumos, kad ārpakalpojumu atbilstoši izvirzītajām prasībām var nodrošināt dažādi piegādāji, rekomendēts izvērtēt dažādu piegādātāju izvēli. Tādējādi mazinot risku, ka veidojas būtiska atkarība no viena piegādātāja. Publiskā elektronisko sakaru tīkla īpašnieks nosaka arī pakalpojuma izbeigšanas stratēģiju, kā arī publisko elektronisko sakaru tīklu īpašnieks līgumā ar ārpakalpojuma sniedzēju ietver ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par incidentiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam, tad apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Izmantojot ārpakalpojumus, tai skaitā mākoņskaitļošanu, publisko elektronisko sakaru tīklu īpašniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Publisko elektronisko sakaru tīklu īpašnieka klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
Noteikumu piektā nodaļa ir veltīta piegādes ķēdes drošībai un nepārtrauktībai un tajā ir noteikts, ka publisko elektronisko sakaru tīklu īpašnieka pienākums ir identificēt un samazināt drošības apdraudējumu riskus, kas rodas, ja viņš ir atkarīgs no citām personām (trešās puses piegādātājiem), kas piegādā preces vai sniedz pakalpojumus publiskā elektronisko sakaru tīkla darbības nodrošināšanai. Tāpat publiskā elektronisko sakaru tīklu īpašnieks iespēju robežās veic piegādātāju diversificēšanu, lai nodrošinātu tā īpašumā vai tiesiskajā valdījumā esošo publisko elektronisko sakaru tīklu pieejamību, integritāti un konfidencialitāti.
Publiskā elektronisko sakaru tīkla īpašnieks nodrošina, ka ir izstrādāts plāns tā īpašumā vai tiesiskajā valdījumā esošā publiskā elektronisko sakaru tīkla darbības uzturēšanai gadījumā, ja piegāde vai trešās puses piegādātāja atbalsts tiek pārtraukts, kā arī tā pienākums ir regulāri pārskatīt šo plānu.
Noteikumu sestā nodaļa nosaka kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas. Tā paredz, ka Digitālās drošības uzraudzības komiteja uzrauga publisko elektronisko sakaru tīklu drošības prasību ievērošanu un sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai. Savukārt CERT.LV izvērtēs publisko elektronisko tīklu īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības noteikumos minētajām prasībām, lūgs attiecīgo publisko elektronisko sakaru tīklu īpašnieku veikt labojumus atbilstoši norādījumiem tās noteiktajā termiņā, kas nav īsāks par mēnesi. CERT.LV arī sniegs atbalstu Digitālās drošības uzraudzības komitejai publisko elektronisko sakaru tīklu drošības prasību ievērošanas uzraudzības funkcijas īstenošanā un būs tiesīgs izdot saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Satversmes aizsardzības birojs izvērtēs publiskajos elektronisko sakaru tīklos izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību un varēs noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai. Līdzīgi kā CERT.LV, arī Satversmes aizsardzības birojs varēs sniegt saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Gan CERT.LV, gan Satversmes aizsardzības birojam būs tiesības pieprasīt publiskā elektronisko sakaru tīklu īpašniekam vai tiesiskajam valdītājam papildu informāciju (fiziskās personas vārds, uzvārds, personas kods; juridiskās personas nosaukums, reģistrācijas Nr. u.c.), lai precizētu vai skaidrotu iesniegto informāciju, kā arī sniegto informāciju pārbaudīt jebkurā laikā. Satversmes aizsardzības birojs un CERT.LV, pildot šajos noteikumos noteiktos uzdevumus un īstenojot savas tiesības un pienākumus, saņem, apstrādā, uzglabā un analizē datus, kas iegūti, lai pamatotu sniegtās rekomendācijas, izvērtējumus un atzinumus, atbilstoši Informācijas tehnoloģijas drošības likuma 7. pantam, Satversmes aizsardzības biroja likuma 7. pantam, Valsts drošības iestāžu likuma 5. pantam un Nacionālās drošības likuma 15. pantam.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
Nē
Juridiskās personas
JāIetekmes apraksts
Publisko elektronisko sakaru tīklu īpašnieki, izņemot publisko elektronisko sakaru tīklos izmantotajās iekārtas, kuras neapstrādā signālus vai kuru darbībai nav nepieciešama enerģija, kā arī publisko elektronisko sakaru tīklu galaiekārtām pie klientiem un citām galalietotāja iekārtām, izņemot gadījumus, kad galaiekārta ir publisko elektronisko sakaru tīkla īpašnieka īpašums, kas nodota klienta vai galalietotāja lietošanā.. Tāpat iepriekšminētie noteikumi neattieksies uz kabeļtelevīzijas tīkliem.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Nē
2.3. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
2.4. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
-
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Jā
5.1. Saistības pret Eiropas Savienību
Vai ir attiecināms?
Jā
ES tiesību akta CELEX numurs
-
ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva Nr. 2018/1972/ES).
Apraksts
Noteikumu projekts izstrādāts, pamatojoties uz Elektronisko sakaru likuma 8. panta pirmo un otro daļu, kas savukārt izstrādāts, lai pārņemtu Direktīvā Nr.2018/1972/ES noteiktos pasākumus. Ņemot vērā to, ka par Direktīvas Nr.2018/1972/ES nepārņemšanu laikā ir ierosināta pārkāpuma procedūras lieta un ir ierosināta tiesvedība, arī noteikumu projektam ir jāstājas spēkā iespējami drīz.
5.2. Citas starptautiskās saistības
Vai ir attiecināms?
Nē
5.3. Cita informācija
Apraksts
-
5.4. 1. tabula. Tiesību akta projekta atbilstība ES tiesību aktiem
Attiecīgā ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva Nr. 2018/1972/ES).
ES TA panta numurs
Projekta vienība, kas pārņem vai ievieš A minēto
Tiek pārņemts pilnībā vai daļēji
Vai B minētais paredz stingrākas prasības un pamatojums
A
B
C
D
Direktīvas 2018/1972 40.panta 1.punkts
Noteikumu projekta II, III, IV un V nodaļa.
Pārņemtas pilnībā
Projekts stingrākas prasības neparedz
Kā ir izmantota ES tiesību aktā paredzētā rīcības brīvība dalībvalstij pārņemt vai ieviest noteiktas ES tiesību akta normas? Kādēļ?
Projekts stingrākas prasības neparedz. Direktīva paredz rīcības brīvību dalībvalstij pārņemt vai ieviest noteiktas normas.
Saistības sniegt paziņojumu ES institūcijām un ES dalībvalstīm atbilstoši normatīvajiem aktiem, kas regulē informācijas sniegšanu par tehnisko noteikumu, valsts atbalsta piešķiršanas un finanšu noteikumu (attiecībā uz monetāro politiku) projektiem
Projekts šo jomu neskar.
Cita informācija
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
Satiksmes ministrija, Sabiedrisko pakalpojumu regulēšanas komisijaNevalstiskās organizācijas
NēCits
Satversmes aizsardzības birojs, Latvijas Universitātes Matemātikas un informātikas institūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV)6.2. Sabiedrības līdzdalības organizēšanas veidi
Veids
Publiskā apspriešana
Saite uz sabiedrības līdzdalības rezultātiem
-
6.3. Sabiedrības līdzdalības rezultāti
-
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Jā
7.1. Projekta izpildē iesaistītās institūcijas
Institūcijas
- Aizsardzības ministrija, Satversmes aizsardzības birojs, Latvijas Universitātes Matemātikas un informātikas institūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV)
7.2. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.3. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
Nē
-
2. Tiks likvidēta institūcija
Nē
-
3. Tiks veikta esošās institūcijas reorganizācija
Nē
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Nē
-
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Nē
-
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Nē
-
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Nē
-
8. Cita informācija
Nē
-
7.5. Cita informācija
Nav
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Nē
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Nē
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
Nav
Pielikumi