23-TA-3098: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Noteikumi par centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Izdoti saskaņā ar Nacionālās kiberdrošības likuma 31. pantu
1.2. Mērķis
Mērķa apraksts
Noteikumu projekta mērķis ir noteikt prasības, kritērijus un kārtību, kādā informācijas un komunikācijas tehnoloģiju infrastruktūra un interneta resursi tiek iekļauti pret pakalpojumatteices kiberuzbrukumu centralizēti aizsargājamo resursu sarakstā. Tāpat tiek noteiktas prasības centralizētai informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta aizsardzībai pret pakalpojumatteices kiberuzbrukumiem;
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Ģeopolitiskās situācijas un pastāvošā globālā saspīlējuma dēļ īpaši aktuāli kļuvuši drošības jautājumi kibertelpā. Situācija Latvijas kibertelpā, it sevišķi kopš Krievijas pilna mēroga iebrukuma Ukrainā 2022. gada 24. februārī, ir saasinājusies un uzbrukumu apjoms valsts IKT infrastruktūras resursiem, tostarp kritiskās IKT infrastruktūras resursiem, turpina augt. Gan politiski, gan ekonomiski motivēti grupējumi veic dažādu veidu kiberuzbrukumus, kā vienu no visizplatītākajiem uzbrukumiem izmantojot pakalpojumatteices kiberuzbrukumus, proti, kiberuzbrukumus, kas tiek izdarīti pret pakalpojuma sniedzēja infrastruktūru nolūkā negatīvi ietekmēt pakalpojuma pieejamību. Prognozējams, ka pakalpojumatteices uzbrukumu intensitāte turpinās pieaugt, uzbrucēju taktikām paliekot ar vien sarežģītākām. 2023. gadā veikto pakalpojumatteices uzbrukumu skaits ir strauji audzis un dubultojies salīdzinot ar 2022. gadu. Uzbrukumi sāk palikt arī apjomīgāki un ilgāki, piemēram, 2022. gadā ilgākais uzbrukums ilga 1 nedēļu, savukārt, 2023. gadā ilgākais uzbrukums noritēja vairāk nekā mēnesi. Balstoties uz minēto informāciju, nepieciešamība pēc aizsardzības pret pakalpojumatteices uzbrukumiem kļūst arvien aktuālāka.
Pašlaik ir pieejami dažādi centralizēti valsts finansēti kiberdrošības pasākumi valsts pārvaldes iestāžu kibernoturības stiprināšanai, kur viens no tiem ir centralizēta aizsardzība pret pakalpojumatteices uzbrukumiem. Aizsardzības ministrija šobrīd nodrošina un finansē šādu pakalpojumu, ar kura palīdzību tiek aizsargāta valsts IKT infrastruktūra no pakalpojumatteices uzbrukumiem kopš 2015. gada, pamatojoties uz Aizsardzības ministrijas dokumentu “Informatīvais ziņojums par kritērijiem, lai noteiktu tās informācijas un komunikācijas tehnoloģijas infrastruktūras, kuru aizsardzības no pakalpojumatteices uzbrukumiem (DDoS uzbrukumiem) nepieciešama patstāvīgi”, kas tika apstiprināts ar MK 2015. gada 2. jūnija protokollēmumu Nr. 27 46§.
Pašlaik ir pieejami dažādi centralizēti valsts finansēti kiberdrošības pasākumi valsts pārvaldes iestāžu kibernoturības stiprināšanai, kur viens no tiem ir centralizēta aizsardzība pret pakalpojumatteices uzbrukumiem. Aizsardzības ministrija šobrīd nodrošina un finansē šādu pakalpojumu, ar kura palīdzību tiek aizsargāta valsts IKT infrastruktūra no pakalpojumatteices uzbrukumiem kopš 2015. gada, pamatojoties uz Aizsardzības ministrijas dokumentu “Informatīvais ziņojums par kritērijiem, lai noteiktu tās informācijas un komunikācijas tehnoloģijas infrastruktūras, kuru aizsardzības no pakalpojumatteices uzbrukumiem (DDoS uzbrukumiem) nepieciešama patstāvīgi”, kas tika apstiprināts ar MK 2015. gada 2. jūnija protokollēmumu Nr. 27 46§.
Problēmas un risinājumi
Problēmas apraksts
Pakalpojumatteices uzbrukumu gadījumā tiek traucēta pakalpojumu pieejamība, tādējādi diskreditējot institūcijas tēlu un graujot iedzīvotāju uzticību pakalpojuma nodrošinātājam. Viens no uzbrukumu mērķiem ir uzmanības pievēršana, kā arī dezinformācijas naratīvu izplatīšana. Tā kā politiskā motivācija tiek uzskatīta par izplatītāko pakalpojumatteices kiberuzbrukumu iemeslu, kā arī ņemot vērā to, ka ar tehnoloģiju attīstību pakalpojumatteices kiberuzbrukumu īstenošana ir kļuvusi vieglāka un lētāka, valsts un pašvaldību iestādēm, kā arī kritiskās infrastruktūras turētājiem nepieciešams veikt preventīvas darbības šādu uzbrukumu novēršanai.
Līdz ar pieaugošo IKT izmantošanu to nelikumīga izmantošana, bojāšana, paralizēšana vai iznīcināšana var radīt draudus valsts un sabiedrības drošībai, sabiedriskajai kārtībai un ekonomiskajai darbībai, kā arī kavēt valsts ekonomikas tālāku izaugsmi. Pēc Eiropas Savienības Kiberdrošības aģentūras (ENISA) publikācijas datiem 2023. gadā 46% no pakalpojumatteices kiberuzbrukumiem Eiropas Savienībā bija mērķēti uz valsts pārvaldes sektoru un 66% no visiem uzbrukumiem bija politiski motivēti. Problēmas aktualitāte ir augsta arī Latvijā, par ko liecina uzbrukumu apjoma palielināšanās pret valsts IKT infrastruktūras resursiem jau no 2021. gada.
Līdz ar pieaugošo IKT izmantošanu to nelikumīga izmantošana, bojāšana, paralizēšana vai iznīcināšana var radīt draudus valsts un sabiedrības drošībai, sabiedriskajai kārtībai un ekonomiskajai darbībai, kā arī kavēt valsts ekonomikas tālāku izaugsmi. Pēc Eiropas Savienības Kiberdrošības aģentūras (ENISA) publikācijas datiem 2023. gadā 46% no pakalpojumatteices kiberuzbrukumiem Eiropas Savienībā bija mērķēti uz valsts pārvaldes sektoru un 66% no visiem uzbrukumiem bija politiski motivēti. Problēmas aktualitāte ir augsta arī Latvijā, par ko liecina uzbrukumu apjoma palielināšanās pret valsts IKT infrastruktūras resursiem jau no 2021. gada.
Risinājuma apraksts
Ņemot vērā iepriekš minēto problēmu, balstoties uz Satiksmes ministrijas 2014. gada 7. oktobra informatīvo ziņojumu “Par nepieciešamo rīcību, lai aizsargātu valsts informācijas un komunikācijas tehnoloģiju infrastruktūru no pakalpojumatteices uzbrukumiem (DoS uzbrukumiem)” un protokollēmumu Nr.53, 47. §, kopš 2015. gada 1. jūlija Aizsardzības ministrija nodrošina pagaidu risinājumu - iespēju pieteikties valsts IKT infrastruktūras centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem, kas tiek segta no Aizsardzības ministrijas finansējuma.
Centralizētas aizsardzības pret pakalpojumatteices kiberuzbrukumiem mērķis ir nodrošināt centralizētu pamatlīmeņa aizsardzību pret pakalpojumatteices kiberuzbrukumiem valsts un pašvaldību iestādēm, tiešās pārvaldes iestādēm, informācijas un komunikācijas tehnoloģiju kritiskai infrastruktūrai, kā arī tādiem resursiem, kuru neplānots pieejamības pārtraukums, kas radies pakalpojumatteices kiberuzbrukuma rezultātā, var būtiski ietekmēt sabiedrības uzticību Latvijas valsts pārvaldei un likumīgajai varai vai būtiski ietekmēt drošības situāciju valstī, vai negatīvi ietekmēt valsts starptautisko reputāciju. Tāpat mērķis ir nodrošināt nozīmīgu pakalpojumu pieejamību pakalpojumatteices uzbrukumu laikā, lai novērstu un/vai mazinātu resursu nepieejamības laika posmu.
Lai esošajai problēmai tiktu nodrošināts pastāvīgs risinājums, atbilstoši Nacionālās kiberdrošības likuma 31. pantam, nepieciešams izdot Ministru kabineta noteikumus “Centralizētas aizsardzības pret pakalpojumatteices kiberuzbrukumiem noteikumi” (turpmāk – noteikumi).
Noteikumi paredz, ka centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem var pieteikties iestādes, organizācijas un uzņēmumi, kuri vai kuru resursi atbilst vismaz vienam no šādiem kritērijiem – Valsts tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskas personas un citas valsts institūcijas, informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji, kā arī būtisko pakalpojumu un svarīgo pakalpojumu sniedzēji, kuri ir valsts kapitālsabiedrības, kā arī tādas iestādes, organizācijas vai uzņēmumi, kuru pārvaldītā resursa neplānots pieejamības pārtraukums, kas radies pakalpojumatteices kiberuzbrukuma rezultātā, var būtiski ietekmēt sabiedrības uzticību Latvijas valsts pārvaldei un likumīgajai varai vai būtiski ietekmēt drošības situāciju valstī, vai negatīvi ietekmēt valsts starptautisko reputāciju. Lai izvērtētu pieteikto resursu atbilstību noteiktajiem kritērijiem un atbilstošo normatīvo aktu prasībām, ir izveidota starpinstitūciju komisija, kuras uzdevums ir izvērtēt saņemtos aizsardzības pieprasījumus. Šo komisiju ir izveidojis Nacionālais kiberdrošības centrs, tajā iekļaujot valsts drošības iestāžu pārstāvjus.
Noteikumi nosaka kārtību, kādā notiek pieteikumu izvērtēšana un apstiprināšana centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem. Noteikumu 2. un 3. punkts skaidro to, ka centralizēto aizsardzību pret pakalpojumatteices uzbrukumiem nodrošina Nacionālais kiberdrošības centrs. Nacionālais kiberdrošības centrs savukārt nosaka pakalpojuma sniedzēju, balstoties uz Satiksmes ministrijas 2014. gada 7. oktobra informatīvo ziņojumu “Par nepieciešamo rīcību, lai aizsargātu valsts informācijas un komunikācijas tehnoloģiju infrastruktūru no pakalpojumatteices uzbrukumiem (DoS) uzbrukumiem)” un protokollēmumu Nr.53, 47. §.
4. punktā ir noteiktas prasības centralizētai informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta aizsardzībai pret pakalpojumatteices kiberuzbrukumiem, tādējādi definējot pakalpojumu, kas tiek sniegts šo noteikumu ietvarā. Pakalpojuma sniedzējam ir jānodrošina specializētie tehniskie aizsardzības risinājumi pret pakalpojumatteices uzbrukumiem, nodrošinot mērķsistēmas resursu izkliedētā pakalpojumatteices uzbrukumu novēršanas pakalpojumus, lai nodrošinātu mērķsistēmu resursu pieejamību, datu integritāti un datu drošību, tādējādi nodrošinot pamatlīmeņa aizsardzību pret pakalpojumatteices kiberuzbrukumiem.
Minētā aizsardzība ir jānodrošina starpinstitūciju komisijas apstiprinātiem un pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā iekļautajiem resursiem. Lai nodrošinātu pakalpojuma kvalitātes un situācijas uzraudzības iespēju, pakalpojuma sniedzējam nekavējoties pēc uzbrukuma konstatēšanas ir jānodrošina pakalpojuma saņēmēja informēšana par pakalpojumatteices kiberuzbrukumiem, kas ir veikti pret pakalpojuma saņēmēja informācijas un komunikācijas tehnoloģiju resursiem.
Noteikumu turpinājumā ir noteikta kārtība pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu izvērtēšanai, apstiprināšanai un iekļaušanai pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā. Tiek norādīts, ka centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem var pieteikties iestādes, organizācijas un uzņēmumi, kuri vai kuru resursi atbilst vismaz vienam no, šādiem kritērijiem – Valsts tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskas personas un citas valsts institūcijas, informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji, būtisko pakalpojumu un svarīgo pakalpojumu sniedzēji, kuri ir valsts kapitālsabiedrības, kā arī tādas iestādes uzņēmumi vai organizācijas, kuru pārvaldītā resursa neplānots pieejamības pārtraukums, kas radies pakalpojumatteices kiberuzbrukuma rezultātā, var būtiski ietekmēt sabiedrības uzticību Latvijas valsts pārvaldei un likumīgajai varai vai būtiski ietekmēt drošības situāciju valstī, vai negatīvi ietekmēt valsts starptautisko reputāciju-, iesniedzot pieteikumu Nacionālajam kiberdrošības centram. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji ir iekļauti kritēriju sarakstā, ņemot vērā to, ka centralizētā aizsardzība pret pakalpojumatteices kiberuzbrukumiem nav noteikta kā obligāta prasība informācijas un komunikācijas tehnoloģiju kritiskajai infrastruktūrai, tomēr centralizētās aizsardzības pret pakalpojumatteices uzbrukumiem nodrošināšana ļautu uzlabot informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras resursu noturību, kā arī Latvijas kibertelpas noturību kopumā. Tāpat, ņemot vērā to, ka atbilstoši Nacionālās Kiberdrošības likuma 7. panta 1. punktam, informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra un tās īpašnieki un tiesiskie valdītāji ir Satversmes aizsardzības biroja uzraudzībā par Nacionālās kiberdrošības likumā noteikto pienākumu izpildi, bet Nacionālais kiberdrošības centrs nodrošina centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem, kā ir noteikts noteikumu projekta 2. punktā, tostarp sedzot pakalpojuma nodrošināšanu no Nacionālā Kiberdrošības centra (Aizsardzības ministrijas) budžeta līdzekļiem, Satversmes aizsardzības birojs ir daļa no starpinstitūciju komisijas, kas lemtu par pieteikto resursu pievienošanu pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā, kā ir noteikts noteikumu projekta 7. punktā.
Iesniedzot pieteikumu centralizētai aizsardzībai pret pakalpojumatteices kiberuzbrukumiem, pieteicējam ir jāaizpilda noteikumu projekta pielikums, kurā ir nepieciešams norādīt šādu informāciju – pamatinformāciju par pieteikuma iesniedzēju (1. kontaktpersonu), pamatinformācija par 2. kontaktpersonu, kā arī informācija par aizsargājamo resursu, norādot IP adrešu diapazonu; pamatojumu centralizētas aizsardzības pret pakalpojumatteices uzbrukumiem nepieciešamībai; sekas, kas var rasties resursa nepieejamības rezultātā; alternatīvos punktus, kur ir pieejama resursā pieejamā informācija un/vai sniegtais pakalpojums; informāciju par pakalpojumatteices uzbrukumiem, kas ir novēroti pret resursu, kā arī informāciju par minēto uzbrukumu sekām (nepieejamības laiks u.c.); resursa izvietošanas vietu; resursa kiberdrošības pārvaldnieku, norādot vārdu, uzvārdu un kontaktinformāciju; resursa tiesisko valdītāju, norādot vārdu, uzvārdu un kontaktinformāciju; informāciju par veikto risku analīzi resursam, sniedzot risku analīzes dokumentāciju pielikumā; pievienot Nacionālās kiberdrošības likumā noteikto dokumentāciju, iekļaujot informāciju par atbilstību Nacionālās kiberdrošības likumam un minimālajām kiberdrošības prasībām; pievienot pielikumā kiberrisku pārvaldības un informācijas un komunikācijas tehnoloģiju darbības nepārtrauktības plānu; apliecinājumu, ka Nacionālais kiberdrošības centrs tiks informēts par neaktīviem resursiem un resursiem, kuriem vairs nav nepieciešams nodrošināt centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem. Norādot kontaktpersonas, būtu jānorāda viena kontaktpersona, kas ir atbildīga par saturiskajiem/līguma slēgšanas jautājumiem, savukārt otra kontaktpersona būtu jānorāda, kā kontaktpersona tehniskajos jautājumos. Pielikumā prasītā informācija ļaus efektīvāk izvērtēt pieteiktos resursus un ir nepieciešams pilnvērtīgi aizpildīt noteikumu projekta pielikumu, lai varētu apstiprināt resursa pievienošanu pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā.
Pret pakalpojumatteices kiberuzbrukumiem aizsargājamos resursus izvērtē un apstiprina starpinstitūciju komisija, kurā piedalās Nacionālais kiberdrošības centrs, Valsts drošības iestāžu pārstāvji, kā to paredz noteikumu 7. punkts. Starpinstitūciju komisijas darbību, kā arī sekretariāta darbību nodrošina Nacionālais kiberdrošības centrs. Tāpat atbilstoši noteikumu 9. punktam, starpinstitūciju komisija var pieprasīt papildu informāciju no pieteikuma iesniedzēja, ja iesniegtā informācija nav pietiekama lēmuma pieņemšanai. Papildu informācijas pieprasīšana ļauj pārliecināties par pieteikuma iesniedzēja resursu atbilstību Nacionālās kiberdrošības likuma prasībām, minimālajām kiberdrošības prasībām, kā arī ļauj pārliecināties par pieteikto resursu potenciālo apdraudējumu un nepieciešamību tikt aizsargātiem pret pakalpojumatteices kiberuzbrukumiem. Noteikumu 10. punkts paredz, ka Nacionālais kiberdrošības centrs lemj par pieteikto resursu pievienošanu pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā, pamatojoties uz starpinstitūciju komisijas lēmumu. Pēc lēmuma pieņemšanas Nacionālais kiberdrošības centrs informē pieteikuma iesniedzēju par pieņemto lēmumu, kā arī informē pakalpojuma sniedzēju par resursa pievienošanu pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā.
Ja pieteiktais resurss neatbilst noteikumu 5. punktā minētajiem kritērijiem vai šo noteikumu pielikumā sniegtā informācija par resursa stāvokli ir nepilnīga vai neatbilst noteiktajiem kritērijiem, tad, atbilstoši noteikumu 12. punktam, pieteikuma iesniedzējam var atteikt resursa iekļaušanu pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā. Minētie apstākļi var būt arī pamatojums pārtraukt nodrošināt centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem, izslēdzot resursu no pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu saraksta, pamatojoties uz starpinstitūciju komisijas vērtējumu, kā to paredz noteikumu 13. punkts. Pieteikuma iesniedzējs Nacionālā kiberdrošības centra lēmumu var apstrīdēt Nacionālās kiberdrošības likuma noteiktajā kārtībā.
Noteikumu 14. punkts paredz, ka pakalpojuma saņēmēju resursi, kuriem centralizēta aizsardzība pret pakalpojumatteices kiberuzbrukumiem tiek nodrošināta pirms šo noteikumu spēkā stāšanās, tiek iekļauti pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā. Tomēr, ja pakalpojuma saņēmējs nevar nodrošināt atbilstību šo noteikumu 5. punktā minētajiem kritērijiem, vai atbilstību minimālajām kiberdrošības prasībām, tad, atbilstoši šo noteikumu 13. punktam, Nacionālais kiberdrošības centrs var lemt par resursu izslēgšanu no pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu saraksta, pamatojoties uz starpinstitūciju komisijas vērtējumu.
Centralizētas aizsardzības pret pakalpojumatteices kiberuzbrukumiem mērķis ir nodrošināt centralizētu pamatlīmeņa aizsardzību pret pakalpojumatteices kiberuzbrukumiem valsts un pašvaldību iestādēm, tiešās pārvaldes iestādēm, informācijas un komunikācijas tehnoloģiju kritiskai infrastruktūrai, kā arī tādiem resursiem, kuru neplānots pieejamības pārtraukums, kas radies pakalpojumatteices kiberuzbrukuma rezultātā, var būtiski ietekmēt sabiedrības uzticību Latvijas valsts pārvaldei un likumīgajai varai vai būtiski ietekmēt drošības situāciju valstī, vai negatīvi ietekmēt valsts starptautisko reputāciju. Tāpat mērķis ir nodrošināt nozīmīgu pakalpojumu pieejamību pakalpojumatteices uzbrukumu laikā, lai novērstu un/vai mazinātu resursu nepieejamības laika posmu.
Lai esošajai problēmai tiktu nodrošināts pastāvīgs risinājums, atbilstoši Nacionālās kiberdrošības likuma 31. pantam, nepieciešams izdot Ministru kabineta noteikumus “Centralizētas aizsardzības pret pakalpojumatteices kiberuzbrukumiem noteikumi” (turpmāk – noteikumi).
Noteikumi paredz, ka centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem var pieteikties iestādes, organizācijas un uzņēmumi, kuri vai kuru resursi atbilst vismaz vienam no šādiem kritērijiem – Valsts tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskas personas un citas valsts institūcijas, informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji, kā arī būtisko pakalpojumu un svarīgo pakalpojumu sniedzēji, kuri ir valsts kapitālsabiedrības, kā arī tādas iestādes, organizācijas vai uzņēmumi, kuru pārvaldītā resursa neplānots pieejamības pārtraukums, kas radies pakalpojumatteices kiberuzbrukuma rezultātā, var būtiski ietekmēt sabiedrības uzticību Latvijas valsts pārvaldei un likumīgajai varai vai būtiski ietekmēt drošības situāciju valstī, vai negatīvi ietekmēt valsts starptautisko reputāciju. Lai izvērtētu pieteikto resursu atbilstību noteiktajiem kritērijiem un atbilstošo normatīvo aktu prasībām, ir izveidota starpinstitūciju komisija, kuras uzdevums ir izvērtēt saņemtos aizsardzības pieprasījumus. Šo komisiju ir izveidojis Nacionālais kiberdrošības centrs, tajā iekļaujot valsts drošības iestāžu pārstāvjus.
Noteikumi nosaka kārtību, kādā notiek pieteikumu izvērtēšana un apstiprināšana centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem. Noteikumu 2. un 3. punkts skaidro to, ka centralizēto aizsardzību pret pakalpojumatteices uzbrukumiem nodrošina Nacionālais kiberdrošības centrs. Nacionālais kiberdrošības centrs savukārt nosaka pakalpojuma sniedzēju, balstoties uz Satiksmes ministrijas 2014. gada 7. oktobra informatīvo ziņojumu “Par nepieciešamo rīcību, lai aizsargātu valsts informācijas un komunikācijas tehnoloģiju infrastruktūru no pakalpojumatteices uzbrukumiem (DoS) uzbrukumiem)” un protokollēmumu Nr.53, 47. §.
4. punktā ir noteiktas prasības centralizētai informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta aizsardzībai pret pakalpojumatteices kiberuzbrukumiem, tādējādi definējot pakalpojumu, kas tiek sniegts šo noteikumu ietvarā. Pakalpojuma sniedzējam ir jānodrošina specializētie tehniskie aizsardzības risinājumi pret pakalpojumatteices uzbrukumiem, nodrošinot mērķsistēmas resursu izkliedētā pakalpojumatteices uzbrukumu novēršanas pakalpojumus, lai nodrošinātu mērķsistēmu resursu pieejamību, datu integritāti un datu drošību, tādējādi nodrošinot pamatlīmeņa aizsardzību pret pakalpojumatteices kiberuzbrukumiem.
Minētā aizsardzība ir jānodrošina starpinstitūciju komisijas apstiprinātiem un pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā iekļautajiem resursiem. Lai nodrošinātu pakalpojuma kvalitātes un situācijas uzraudzības iespēju, pakalpojuma sniedzējam nekavējoties pēc uzbrukuma konstatēšanas ir jānodrošina pakalpojuma saņēmēja informēšana par pakalpojumatteices kiberuzbrukumiem, kas ir veikti pret pakalpojuma saņēmēja informācijas un komunikācijas tehnoloģiju resursiem.
Noteikumu turpinājumā ir noteikta kārtība pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu izvērtēšanai, apstiprināšanai un iekļaušanai pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā. Tiek norādīts, ka centralizētai aizsardzībai pret pakalpojumatteices uzbrukumiem var pieteikties iestādes, organizācijas un uzņēmumi, kuri vai kuru resursi atbilst vismaz vienam no, šādiem kritērijiem – Valsts tiešās un pastarpinātās pārvaldes iestādes, atvasinātas publiskas personas un citas valsts institūcijas, informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji, būtisko pakalpojumu un svarīgo pakalpojumu sniedzēji, kuri ir valsts kapitālsabiedrības, kā arī tādas iestādes uzņēmumi vai organizācijas, kuru pārvaldītā resursa neplānots pieejamības pārtraukums, kas radies pakalpojumatteices kiberuzbrukuma rezultātā, var būtiski ietekmēt sabiedrības uzticību Latvijas valsts pārvaldei un likumīgajai varai vai būtiski ietekmēt drošības situāciju valstī, vai negatīvi ietekmēt valsts starptautisko reputāciju-, iesniedzot pieteikumu Nacionālajam kiberdrošības centram. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji ir iekļauti kritēriju sarakstā, ņemot vērā to, ka centralizētā aizsardzība pret pakalpojumatteices kiberuzbrukumiem nav noteikta kā obligāta prasība informācijas un komunikācijas tehnoloģiju kritiskajai infrastruktūrai, tomēr centralizētās aizsardzības pret pakalpojumatteices uzbrukumiem nodrošināšana ļautu uzlabot informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras resursu noturību, kā arī Latvijas kibertelpas noturību kopumā. Tāpat, ņemot vērā to, ka atbilstoši Nacionālās Kiberdrošības likuma 7. panta 1. punktam, informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra un tās īpašnieki un tiesiskie valdītāji ir Satversmes aizsardzības biroja uzraudzībā par Nacionālās kiberdrošības likumā noteikto pienākumu izpildi, bet Nacionālais kiberdrošības centrs nodrošina centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem, kā ir noteikts noteikumu projekta 2. punktā, tostarp sedzot pakalpojuma nodrošināšanu no Nacionālā Kiberdrošības centra (Aizsardzības ministrijas) budžeta līdzekļiem, Satversmes aizsardzības birojs ir daļa no starpinstitūciju komisijas, kas lemtu par pieteikto resursu pievienošanu pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā, kā ir noteikts noteikumu projekta 7. punktā.
Iesniedzot pieteikumu centralizētai aizsardzībai pret pakalpojumatteices kiberuzbrukumiem, pieteicējam ir jāaizpilda noteikumu projekta pielikums, kurā ir nepieciešams norādīt šādu informāciju – pamatinformāciju par pieteikuma iesniedzēju (1. kontaktpersonu), pamatinformācija par 2. kontaktpersonu, kā arī informācija par aizsargājamo resursu, norādot IP adrešu diapazonu; pamatojumu centralizētas aizsardzības pret pakalpojumatteices uzbrukumiem nepieciešamībai; sekas, kas var rasties resursa nepieejamības rezultātā; alternatīvos punktus, kur ir pieejama resursā pieejamā informācija un/vai sniegtais pakalpojums; informāciju par pakalpojumatteices uzbrukumiem, kas ir novēroti pret resursu, kā arī informāciju par minēto uzbrukumu sekām (nepieejamības laiks u.c.); resursa izvietošanas vietu; resursa kiberdrošības pārvaldnieku, norādot vārdu, uzvārdu un kontaktinformāciju; resursa tiesisko valdītāju, norādot vārdu, uzvārdu un kontaktinformāciju; informāciju par veikto risku analīzi resursam, sniedzot risku analīzes dokumentāciju pielikumā; pievienot Nacionālās kiberdrošības likumā noteikto dokumentāciju, iekļaujot informāciju par atbilstību Nacionālās kiberdrošības likumam un minimālajām kiberdrošības prasībām; pievienot pielikumā kiberrisku pārvaldības un informācijas un komunikācijas tehnoloģiju darbības nepārtrauktības plānu; apliecinājumu, ka Nacionālais kiberdrošības centrs tiks informēts par neaktīviem resursiem un resursiem, kuriem vairs nav nepieciešams nodrošināt centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem. Norādot kontaktpersonas, būtu jānorāda viena kontaktpersona, kas ir atbildīga par saturiskajiem/līguma slēgšanas jautājumiem, savukārt otra kontaktpersona būtu jānorāda, kā kontaktpersona tehniskajos jautājumos. Pielikumā prasītā informācija ļaus efektīvāk izvērtēt pieteiktos resursus un ir nepieciešams pilnvērtīgi aizpildīt noteikumu projekta pielikumu, lai varētu apstiprināt resursa pievienošanu pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā.
Pret pakalpojumatteices kiberuzbrukumiem aizsargājamos resursus izvērtē un apstiprina starpinstitūciju komisija, kurā piedalās Nacionālais kiberdrošības centrs, Valsts drošības iestāžu pārstāvji, kā to paredz noteikumu 7. punkts. Starpinstitūciju komisijas darbību, kā arī sekretariāta darbību nodrošina Nacionālais kiberdrošības centrs. Tāpat atbilstoši noteikumu 9. punktam, starpinstitūciju komisija var pieprasīt papildu informāciju no pieteikuma iesniedzēja, ja iesniegtā informācija nav pietiekama lēmuma pieņemšanai. Papildu informācijas pieprasīšana ļauj pārliecināties par pieteikuma iesniedzēja resursu atbilstību Nacionālās kiberdrošības likuma prasībām, minimālajām kiberdrošības prasībām, kā arī ļauj pārliecināties par pieteikto resursu potenciālo apdraudējumu un nepieciešamību tikt aizsargātiem pret pakalpojumatteices kiberuzbrukumiem. Noteikumu 10. punkts paredz, ka Nacionālais kiberdrošības centrs lemj par pieteikto resursu pievienošanu pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā, pamatojoties uz starpinstitūciju komisijas lēmumu. Pēc lēmuma pieņemšanas Nacionālais kiberdrošības centrs informē pieteikuma iesniedzēju par pieņemto lēmumu, kā arī informē pakalpojuma sniedzēju par resursa pievienošanu pret pakalpojumatteices kiberuzbrukumiem aizsargājamo resursu sarakstā.
Ja pieteiktais resurss neatbilst noteikumu 5. punktā minētajiem kritērijiem vai šo noteikumu pielikumā sniegtā informācija par resursa stāvokli ir nepilnīga vai neatbilst noteiktajiem kritērijiem, tad, atbilstoši noteikumu 12. punktam, pieteikuma iesniedzējam var atteikt resursa iekļaušanu pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā. Minētie apstākļi var būt arī pamatojums pārtraukt nodrošināt centralizētu aizsardzību pret pakalpojumatteices kiberuzbrukumiem, izslēdzot resursu no pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu saraksta, pamatojoties uz starpinstitūciju komisijas vērtējumu, kā to paredz noteikumu 13. punkts. Pieteikuma iesniedzējs Nacionālā kiberdrošības centra lēmumu var apstrīdēt Nacionālās kiberdrošības likuma noteiktajā kārtībā.
Noteikumu 14. punkts paredz, ka pakalpojuma saņēmēju resursi, kuriem centralizēta aizsardzība pret pakalpojumatteices kiberuzbrukumiem tiek nodrošināta pirms šo noteikumu spēkā stāšanās, tiek iekļauti pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā. Tomēr, ja pakalpojuma saņēmējs nevar nodrošināt atbilstību šo noteikumu 5. punktā minētajiem kritērijiem, vai atbilstību minimālajām kiberdrošības prasībām, tad, atbilstoši šo noteikumu 13. punktam, Nacionālais kiberdrošības centrs var lemt par resursu izslēgšanu no pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu saraksta, pamatojoties uz starpinstitūciju komisijas vērtējumu.
Vai ir izvērtēti alternatīvie risinājumi?
Jā
Apraksts
-
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
Projekts nosaka:
1) prasības centralizētai informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta aizsardzībai pret pakalpojumatteices kiberuzbrukumiem;
2) kritērijus, atbilstoši kuriem informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursi tiek iekļauti pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā;
3) kārtību, kādā tiek izvērtēta informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu atbilstība 2. punktā minētajiem kritērijiem
4) pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu saraksta apstiprināšanas kārtību.
1) prasības centralizētai informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta aizsardzībai pret pakalpojumatteices kiberuzbrukumiem;
2) kritērijus, atbilstoši kuriem informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursi tiek iekļauti pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu sarakstā;
3) kārtību, kādā tiek izvērtēta informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu atbilstība 2. punktā minētajiem kritērijiem
4) pret pakalpojumatteices kiberuzbrukumiem centralizēti aizsargājamo resursu saraksta apstiprināšanas kārtību.
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
Nē
Juridiskās personas
JāIetekmes apraksts
Noteikumi attiecas uz valsts tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskām personām, citām valsts institūcijām, informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri ir valsts kapitālsabiedrības, kā arī citām iestādēm, uzņēmumiem vai organizācijām, kuru resursi atbilst noteikumu punktā 5.4. minētajām prasībām
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Nē
2.3. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
2.4. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
Ar noteikumu projekta izpildi saistītos izdevumus Aizsardzības ministrija nodrošinās tai piešķirto budžeta līdzekļu ietvaros
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Nē
5.3. Cita informācija
Apraksts
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
JāNevalstiskās organizācijas
NēCits
Nē6.2. Sabiedrības līdzdalības organizēšanas veidi
6.3. Sabiedrības līdzdalības rezultāti
-
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Jā
7.1. Projekta izpildē iesaistītās institūcijas
Institūcijas
- Aizsardzības ministrija
- Satversmes aizsardzības birojs
- Militārās izlūkošanas un drošības dienests
- Valsts drošības dienests
7.2. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Jā
Sabiedrības grupa
Palielinās/samazinās
Stundas samaksas likme - euro
Laika patēriņš uz vienību - stundās
Subjektu skaits
Cik bieži - reizes gadā
Administratīvās izmaksas - euro
Aprēķinu skaidrojums
Aizsardzības ministrija
Satversmes aizsardzības birojs
Militārās izlūkošanas un drošības dienests
Valsts drošības dienests
Kopā
0,00
7.3. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Jā
Sabiedrības grupa
Vai ietekmē?
Izmaksas par vienību - euro
Vienību skaits
Atbilstības izmaksas - euro
Aprēķinu skaidrojums
Aizsardzības ministrija
Satversmes aizsardzības birojs
Militārās izlūkošanas un drošības dienests
Valsts drošības dienests
Kopā
0,00
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
Nē
-
2. Tiks likvidēta institūcija
Nē
-
3. Tiks veikta esošās institūcijas reorganizācija
Nē
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Nē
-
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Nē
-
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Nē
-
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Nē
-
8. Cita informācija
Nē
-
7.5. Cita informācija
-
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
-
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Nē
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
-
Pielikumi