Anotācija (ex-ante)

P1. Vienotu drošības prasību trūkums subjekta IKT infrastruktūrām

Līdz šim normatīvajā regulējumā nebija noteiktas vienotas un pārbaudāmas drošības prasības NKDL subjektu IKT infrastruktūrām, kurās tiek uzturētas šo subjektu īpašumā vai valdījumā esošās informācijas sistēmas. Esošais regulējums paredz vispārīgus kiberdrošības pasākumus, taču neaptver fiziskās un vides drošības, piekļuves kontroles un infrastruktūras uzturēšanas elementus. Rezultātā daļa subjektu informācijas sistēmu tiek uzturētas IKT infrastruktūras izvietojumos ar nepietiekamu aizsardzību pret fiziskiem, tehniskiem vai vides apdraudējumiem, kā arī bez vienotiem iekšējās kontroles mehānismiem. Tas palielina riskus informācijas sistēmu pieejamībai, integritātei un konfidencialitātei.

Sekas, ja problēma netiek risināta:
- Saglabāsies situācija, kurā subjekti paši interpretē drošības prasības un uztur informācijas sistēmas telpās ar atšķirīgu fiziskās un tehniskās drošības līmeni.
- Pastāvēs paaugstināts risks informācijas sistēmu bojājumiem, datu zādzībām un nepārtrauktības pārtraukumiem fizisko apdraudējumu dēļ.
- Subjektiem nebūs skaidru kritēriju infrastruktūras drošības novērtēšanai un resursu plānošanai.
- Valsts kiberdrošības uzraudzības institūcijām nebūs tiesiska pamata pieprasīt konkrētu drošības uzlabošanas pasākumu ieviešanu subjektu IKT infrastruktūrās.

Noteikumu projekts nosaka minimālās drošības prasības subjekta IKT infrastruktūrām,  paredzot:
- fiziskās drošības prasības serveru, tīkla un lietotāju infrastruktūrai (5. punkts);
- organizatoriskos un tehniskos pasākumus infrastruktūras aizsardzībai pret nepilnvarotu piekļuvi un vides apdraudējumiem (6. punkts);
- iekšējās kontroles mehānismus – piekļuves sarakstu, rīcības plānu un infrastruktūras uzraudzību (7.–10. punkts);
- papildu prasības A un B drošības klases informācijas sistēmām (11. punkts un 1. pielikums).

Tādējādi tiek nodrošināts, ka visi NKDL subjekti uztur savu IKT infrastruktūru atbilstoši vienotiem drošības principiem, kas ir salāgoti ar minimālajām kiberdrošības prasībām un ļauj efektīvāk pārvaldīt fiziskos un tehniskos riskus.
Risinājums ietverts 2.1. apakšnodaļā un 1. pielikumā.

P2. Nepietiekami kritēriji informācijas sistēmu izvietošanai ārpus subjekta IKT infrastruktūras, tai skaitā datu rezidentūras un suverenitātes nodrošināšanai

Pašlaik nav vienotu drošības un juridisko kritēriju, kas noteiktu kādos apstākļos subjekti drīkst izvietot informācijas sistēmas ārpus savas IKT infrastruktūras, izmantojot datu centrus vai izvietošanas modeļus.
Rezultātā informācijas sistēmas tiek uzturētas dažādās ārējās infrastruktūrās ar atšķirīgu drošības līmeni, bieži arī ārpus Latvijas teritorijas, kur subjektiem ir ierobežotas iespējas nodrošināt datu apstrādes atrašanās vietas pārredzamību, auditējamību un aizsardzību pret piespiedu piekļuvi.
Šī situācija rada riskus valsts datu drošībai, rezidentūrai un jurisdikcijas kontrolei, kā arī kavē koordinētu kiberapdraudējumu pārvaldību.

Sekas, ja problēma netiek risināta:
- Valsts un citu NKDL subjektu informācijas sistēmas var tikt izvietotas datu centros ārvalstīs bez juridiskas kontroles un Latvijas institūciju pārbaudes tiesībām.
- Pieaug risks, ka sensitīvi valsts dati var nonākt ārvalstu jurisdikcijas ietekmē vai tiek pieprasīti atbilstoši ārvalstu tiesību aktiem.
- Subjekti turpinās izvēlēties infrastruktūras, kas neatbilst noteiktam drošības līmenim, palielinot datu noplūdes un sabotāžas iespējas.
- Netiks nostiprināta datu atrašanās vietas pārredzamība, jurisdikcijas kontrole un valsts spēja reaģēt uz kiberapdraudējumiem.
- Atšķirīgas pieejas ārējo pakalpojumu izmantošanai radīs nevienlīdzīgus drošības līmeņus dažādās valsts un pašvaldību iestādēs.

Noteikumu projekts nosaka vienotus drošības un juridiskos nosacījumus informācijas sistēmu uzturēšanai ārpus subjekta IKT infrastruktūras, paredzot:
- vispārējās prasības datu centru izmantošanai (12.–14. punkts);
- īpašu izvietošanas kārtību ierobežotās izvietošanas informācijas sistēmām, kuras drīkst uzturēt tikai nacionālajā sertificēto datu centru sarakstā iekļautos datu centros vai modeļos, kas izmanto šādus datu centrus (15. punkts);
- papildu nosacījumus gadījumiem, kad ierobežotās izvietošanas informācijas sistēma tiek uzturēta ārpus Latvijas, nodrošinot datu apstrādes atrašanās vietas zināmību, aizsardzību pret nepamatotu ārvalstu iestāžu piekļuvi un valsts institūciju audita tiesības (16. punkts);
- pārejas kārtību, kas ļauj subjektam pielāgot infrastruktūru 12 mēnešu laikā, ja datu centrs zaudē atbilstību prasībām (17. punkts);
- izņēmumus ārkārtas situācijām un rezerves kopiju uzturēšanai (18. punkts).

Vienlaikus 2025. gada 14. oktobrī pieņemtie Ministru kabineta noteikumi Nr. 606 „Valsts datu apstrādes mākoņa noteikumi” nosaka, ka valsts mākoņdatošanas platformu pārziņiem (Iekšlietu ministrijas Informācijas centram, Latvijas Nacionālajai bibliotēkai, LVRTC un Lauku atbalsta dienestam) ir pienākums nodrošināt, ka to valdījumā esošie datu centri ir iekļauti nacionālajā sertificēto datu centru sarakstā saskaņā ar šiem noteikumiem.
Tādējādi noteikumu projektā paredzētā reģistrācijas sistēma kļūst par pamatu valsts datu apstrādes mākoņa darbības atbilstības nodrošināšanai.

Šādi tiek nostiprināti drošības, juridiskie un pārvaldības kritēriji informācijas sistēmu izvietošanai ārpus subjekta infrastruktūras, nodrošinot datu aizsardzību, rezidentūru un jurisdikcijas kontroli.
Risinājums ietverts 2.2. apakšnodaļā un 6. nodaļā.

P3. Datu centru operatoriem nav normatīva pienākuma pierādīt atbilstību drošības prasībām un uzturēt to ilgtermiņā

Latvijā līdz šim nav vienota normatīvā regulējuma, kas noteiktu datu centru operatoru pienākumu pierādīt infrastruktūras atbilstību drošības prasībām un nodrošināt atbilstības periodisku pārbaudi.
Operatori var sniegt pakalpojumus bez neatkarīga audita vai sertifikācijas, un nav izveidots reģistrs, kas apliecinātu datu centru atbilstību noteiktam drošības līmenim.
Rezultātā subjektiem nav pietiekamas pārliecības par izvēlētā datu centra drošības līmeni, savukārt valsts institūcijām trūkst instrumentu, lai pārbaudītu vai uzraudzītu šo atbilstību.
Tas rada risku, ka būtiskas informācijas sistēmas tiek uzturētas infrastruktūrās ar nepietiekamu drošības līmeni vai bez regulāras neatkarīgas pārbaudes. Šobrīd datu centru operatoriem, tai skaitā valsts datu apstrādes mākoņa pārziņiem, nav tieša normatīva pienākuma apliecināt atbilstību drošības prasībām.

Sekas, ja problēma netiek risināta:
- Datu centru drošības līmenis saglabāsies neviendabīgs un neuzraudzīts.
- Subjekti nevarēs pārliecināties par izmantotā datu centra drošības līmeni, kas apgrūtinās atbildīgu infrastruktūras izvēli.
- Nebūs mehānisma, kas garantē, ka operatori regulāri veic neatkarīgas pārbaudes un uztur drošības prasības ilgtermiņā.
- Valsts institūcijām trūks instrumentu, lai pieprasītu auditus vai izslēgtu neatbilstošus datu centrus no izmantošanas.
- Latvijas datu centru konkurētspēja starptautiskajā tirgū vājināsies, jo nebūs iespējams pierādīt to atbilstību drošības standartiem.

Noteikumu projekts ievieš nacionālo datu centru atbilstības novērtēšanas, reģistrācijas un uzraudzības sistēmu, kuru īsteno Nacionālais kiberdrošības centrs (NKDC), ar Satversmes aizsardzības biroja (SAB) iesaisti, ja datu centrs ir IKT kritiskā infrastruktūra.

Regulējums paredz:
- NKDC pienākumus – uzturēt nacionālo sertificēto datu centru sarakstu, iekļaut datu centru vai svītrot no saraksta, un pieprasīt atkārtotas atbilstības pārbaudes (21. punkts);
- auditoru kvalifikācijas prasības – noteikta profesionālā pieredze un starptautiski atzīts sertifikāts (22. punkts);
- auditoru apstiprināšanas kārtību – SAB apstiprina auditorus IKT kritiskajai infrastruktūrai, NKDC – pārējiem datu centriem (23. punkts);
- operatora pienākumu reizi divos gados nodrošināt datu centra auditu vai iesniegt derīgu sertifikātu (27. punkts), lai saglabātu statusu nacionālajā sertificēto datu centru sarakstā (28. punkts);
- operatora pienākumu informēt subjektus par lēmumu iesniegt vai neiesniegt dokumentus datu centra iekļaušanai sarakstā (36. punkts).

Noteikumu projekts neparedz vispārēju pienākumu visiem datu centru operatoriem veikt drošības atbilstības novērtējumu un nodrošināt datu centra iekļaušanu nacionālajā sertificēto datu centru reģistrā. Tomēr operatoriem, kas vēlas saglabāt iespēju nodrošināt uzturēšanas pakalpojumus ierobežotās izvietošanas informācijas sistēmām, ir pienākums nodrošināt atbilstību šajos noteikumos noteiktajām prasībām un nodrošināt, ka viņu datu centri tiek iekļauti nacionālajā sertificēto datu centru sarakstā vai informēt ierobežotas izvietošanas informācijas sistēmas subjektu, ka konkrētais oparators/datu centrs neplāno to darīt.

Papildus, saskaņā ar 2025. gada 14. oktobrī pieņemtajiem Ministru kabineta noteikumiem Nr. 606 (MK 606) „Valsts datu apstrādes mākoņa noteikumi”, valsts datu apstrādes mākoņa pārziņiem ir noteikts tiešs pienākums nodrošināt, ka to datu centri ir reģistrēti atbilstošo NKDL 30. panta otrās daļas pirmā punktā noteiktā deleģējuma kārtībā. MK 606 nostiprina noteikumu projektā izveidoto atbilstības novērtēšanas un reģistrācijas sistēmu kā obligātu prasību valsts kontrolētajām infrastruktūrām, kas uztur valsts datu apstrādes mākoni, tādējādi praktiski īstenojot NKDL 30. panta otrajā daļā paredzēto Ministru kabineta deleģējumu.

Tādējādi tiek nodrošināta valsts mēroga datu centru drošības uzraudzība, veidots pārbaudāms reģistrs, kas apliecina operatoru atbilstību, un ieviesta periodiska drošības līmeņa kontrole.

Risinājums ietverts 4. nodaļā un 2.–4. pielikumā.

P4. Nepietiekama kiberdrošības uzraudzība un sadarbība starp subjektiem, datu centru operatoriem un kompetentajām institūcijām

Līdz šim normatīvajā regulējumā nebija skaidri noteikta kiberincidentu novēršanas institūcijas drošības operāciju centra izveides un darbības kārtība, kā arī datu apmaiņas mehānisms starp NKDL subjektiem, datu centru operatoriem un kiberincidentu novēršanas institūcijām. Rezultātā valsts līmenī nebija iespējams nodrošināt vienotu un operatīvu apdraudējumu identificēšanu un reaģēšanu uz tiem. Daļa operatoru nenodrošina telemetrijas datu pieejamību vai dara to ar būtisku laika nobīdi, savukārt subjektiem līdz šim nebija pienākuma nodrošināt telemetrijas datu apmaiņu ar kiberincidentu novēršanas institūciju. Šī situācija ierobežo spēju laikus konstatēt apdraudējumus un koordinēti reaģēt uz tiem valsts kibertelpā.

Sekas, ja problēma netiek risināta:
- Valsts līmenī nebūs iespējams nodrošināt savlaicīgu apdraudējumu atklāšanu un reaģēšanu uz tiem.
- Kiberincidentu novēršanas institūcijas drošības operāciju centrs (CERT.LV SOC) nevarēs pilnvērtīgi pildīt uzraudzības funkcijas datu centros, jo tam nebūs pieejas telemetrijas datiem.
- Palielināsies risks, ka nozīmīgi incidenti tiks pamanīti ar novēlošanos vai netiks pienācīgi izmeklēti.

Noteikumu projekts izveido vienotu kiberdrošības uzraudzības mehānismu, kas balstīts uz drošības telemetrijas datu reāllaika pieejamību un kiberincidentu novēršanas institūcijas drošības operāciju centra (CERT.LV SOC) darbību datu centros.
Regulējums paredz:
- datu centra operatora pienākumu nodrošināt kiberincidentu novēršanas institūcijai drošības telemetrijas datu pieejamību reāllaikā (ne vēlāk kā vienu minūti pēc notikuma) (20. punkts);
- kiberincidentu novēršanas institūcijas tiesības izveidot un uzturēt CERT.LV SOC datu centros, lai nodrošinātu nepārtrauktu subjekta informācijas sistēmu uzraudzību, apdraudējumu identificēšanu un reaģēšanu (29. punkts);
- subjekta pienākumu nodrošināt piekļuvi telemetrijas datu pirmavotam un apstrādātajiem datiem, izmantojot datu apmaiņas un līgumiskus mehānismus (31. punkts);
- sadarbības mehānismu ar SAB gadījumos, kad CERT.LV SOC tiek izvietots IKT kritiskajā infrastruktūrā (32. punkts).

Šādā veidā tiek nodrošināta nepārtraukta kiberdrošības uzraudzība, vienots situācijas pārskats valsts mērogā un operatīva sadarbība starp subjektiem, operatoriem un kompetentajām institūcijām.
Risinājums ietverts 3. un 5. nodaļā.

Problēmas, kas saistītas ar noteikumos un to pielikumos ietverto prasību interpretāciju.
Šajā sadaļā sniegti skaidrojumi normu interpretācijai un jautājumiem, kas radušies noteikumu projekta izstrādes un saskaņošanas laikā.

Skaidrojums par infrastruktūras lietošanas pamatu un atbildību par infrastruktūras pielāgošanu drošības prasībām.
Normās, kurās minēts, ka subjekts uztur informācijas sistēmas savā īpašumā vai valdījumā esošajā infrastruktūrā, ar “valdījumu” saprotams ne tikai īpašuma tiesību gadījums, bet arī faktiskā lietošana, pamatojoties uz lietošanas tiesībām, nomas līgumu vai citu tiesisku pamatu.
Attiecīgos gadījumos, kad informācijas sistēmas tiek uzturētas telpās vai infrastruktūrā, kas atrodas citas iestādes īpašumā vai pārvaldībā, par šo telpu atbilstību noteikumu prasībām ir atbildīgs pats subjekts, kas attiecīgās informācijas sistēmas uztur.
Infrastruktūras pielāgošana jāveic, saskaņojot to ar attiecīgo īpašnieku vai pārvaldnieku, kurš īsteno īpašuma apsaimniekošanas tiesības. Šādās situācijās informācijas sistēmas valdītājam vai turētājam ir pienākums nodrošināt atbilstību šajos noteikumos noteiktajām prasībām, tai skaitā veicot savlaicīgu līgumisku vai institucionālu saskaņojumu un citas nepieciešamās darbības.
Šis skaidrojums attiecas uz visiem gadījumiem, kad infrastruktūra netiek turēta subjekta īpašumā, bet faktiski tiek izmantota informācijas sistēmu uzturēšanai.

Skaidrojums par drošības telemetrijas datu nodošanas kārtību datu centru operatoru gadījumā
Datu centra operators nodod kiberincidentu novēršanas institūcijai tikai tos telemetrijas datus, kas ir operatora rīcībā. Attiecībā uz tiem datiem, kuri nav operatora pārziņā (piemēram, ja tos ģenerē subjekta pārvaldītās informācijas sistēmas vai trešais ārpakalpojumu sniedzējs), netiek uzlikts pienākums operatoram tos nodrošināt.

Skaidrojums par subjekta pienākumiem, izmantojot ārvalstu informācijas sistēmu izvietošanas modeļus.
Šie noteikumi paredz drošības prasības informācijas sistēmu izvietošanai datu centros, tai skaitā, arī gadījumos, ja subjekti izvēlas izmantot ārvalstu informācijas sistēmas izvietošanas modeļus. Šādos gadījumos subjektam ir pienākums nodrošināt, ka ārvalstu informācijas sistēmu izvietošanas modelis atbilst šo noteikumu prasībām, īpaši attiecībā uz datu suverenitāti un rezidentūru.
Saskaņā ar Nacionālā kiberdrošības likuma 26., 34. un 45. pantu subjektam ir pienākums nodrošināt tā īpašumā vai valdījumā esošajām informācijas sistēmām un datiem atbilstošu aizsardzības līmeni, kā arī veikt nepieciešamos risku pārvaldības pasākumus un informēt kiberincidentu novēršanas institūcijas par kiberincidentiem. Likuma 45. pants paredz atbildību un sankcijas par šo pienākumu nepilīšanu.

Skaidrojums par rezerves kopiju uzturēšanu
Noteikumu projektā noteiktās prasības par ierobežotas izvietošanas informācijas sistēmas izvietošanu paaugstinātas drošības datu centros attiecas uz infrastruktūru, kurā informācijas sistēma vai tās daļa tiek uzturēta aktīvā režīmā – tā ir tieši iesaistīta sistēmas darbības nodrošināšanā. Šis regulējums nav tieši piemērojams infrastruktūrai, kas tiek izmantota vienīgi datu rezerves kopiju vai sistēmas atjaunošanas risinājumu (disaster recovery) nodrošināšanai, ja vien šie resursi nav daļa no informācijas sistēmas ikdienas darbības vides.
Attiecīgi subjekti drīkst rezerves kopijas datu centros vai izvietošanas modeļos, arī ārpus datu centriem, kas iekļauti nacionālajā sertificēto datu centru sarakstā, ja tiek ievērotas pamatprasības par datu atrašanās vietu, piekļuves kontroli, šifrēšanu un uzraudzības iespēju nodrošināšanu.

Skaidrojums par 1. pielikuma 4.2. un 4.5. punktu dalījumu.
Šie divi punkti attiecas uz atšķirīgiem elektroapgādes līmeņiem, kas veido divpakāpju drošības mehānismu serveru infrastruktūras elektroapgādes nepārtrauktības nodrošināšanai. 4.2. punkts attiecas uz nepātrauktās elektroapgādes sistēmu(UPS), kas ir primārais un tūlītējs risinājums elektroapgādes pārtraukuma gadījumā, nodrošinot laiku līdz 4.5. punktā minētā rezerves elektroapgādes risinājuma iedarbināšanai. Šāds struktūras dalījums tiek saglabāts, lai nodrošinātu precīzu uzraudzību, dokumentāciju un atbilstības pārbaudi katram no šiem kritiskajiem elementiem atsevišķi.

Skaidrojums par 1. pielikuma ugunsdrošības prasībām
Noteikumu projekta 1. pielikumā ietvertās ugunsdrošības prasības ir pārstrādātas sadarbībā ar Valsts ugunsdzēsības un glābšanas dienestu, lai tās būtu saskaņotas ar spēkā esošo būvniecības un ugunsdrošības regulējumu (tai skaitā, Ministru kabineta 2016. gada 19. aprīļa noteikumiem Nr. 238 “Ugunsdrošības noteikumi” un Latvijas būvnormatīvu LBN 201-15 “Būvju ugunsdrošība”). Šīs normas kalpo kā papildinājums, kas precizē vispārīgo ugunsdrošības regulējumu attiecībā uz subjekta īpašumā vai valdījumā esošās IKT infrastruktūras kiberdrošības risku pārvaldību. Tās nav interpretējamas kā alternatīva vai atšķirīga ugunsdrošības režīma izveidošana.

Skaidrojums par 2. pielikuma normu raksturu
Noteikumu projekta 2. pielikuma normas nav tieši piemērojamas datu centru operatoriem kā saistoši pienākumi. Tās ir paredzētas kā vadlīnijas kiberdrošības auditoriem, kuri veic paaugstinātas drošības datu centra atbilstības novērtējumu. Auditoriem šīs prasības kalpo kā vērtēšanas kritēriji audita procesā.

Skaidrojums par 2. pielikuma 2.2.3. punktā minēto "augstas drošības zonu".
Noteikumu 2. pielikuma 2.2.3. punktā minētā “augstas drošības zona” attiecas uz datu centra telpām vai zonām, kurām ir kritiska nozīme datu drošības, pieejamības vai uzturēšanas ziņā. Precīzu drošības zonu klasifikāciju nosaka datu centra operators, balstoties uz riska novērtējumu un piemērojot piemērotu piekļuves kontroles līmeni, kā to paredz arī starptautiskie datu centru standarti (piemēram, ISO/IEC 22237, TIA-942).

Skaidrojums par 2. pielikuma 21.3. un 22. punktu (žurnālu glabāšana un piekļuve incidentu pārskatiem) attiecināšu uz subjektiem.
2. pielikuma 21.3. un 22. punktu interpretācija, ka subjektam, kas izmanto datu centru vai mākoņpakalpojumu sniedzēja pakalpojumus, būtu jāparedz līgumiski vai tehniski risinājumi ilgtermiņa drošības žurnālu uzglabāšanai (piemēram, arhivējot žurnālus lokāli vai citā drošā repozitorijā), ir konceptuāli pamatota. Tomēr tā nav attiecināma uz šo noteikumu 2. pielikumu, jo šis pielikums satur prasības tikai datu centriem, kas pretendē uz paaugstinātas drošības datu centra statusu un tiek reģistrēti atbilstoši šo noteikumu 4 nodaļā noteiktajai kārtībai.
Minētie 21.3. un 22. punkti nosaka pienākumus datu centra operatoram, nevis subjektam, kas uztur informācijas sistēmas ārpus savas infrastruktūras.

Datu centru skaits paagstinātas drošības datu centru reģistrā

5

Procentuālā attiecība - gandrīz notikušo kiberdrošības incidentu, kas identificēti un novērsti izmantojot CERT.LV SOC, skaits, pret kopējo incidentu skaitu (gan notikušie, gan gandrīz notikušie)

99

CERT.LV SOC uzraudzīto valsts informācijas sistēmu īpatsvara pieaugums attiecībā pret kopējo sistēmu skaitu.

50