25-TA-1597: Likumprojekts (Grozījumi)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Grozījumi Nacionālās kiberdrošības likumā" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Ministrijas / iestādes iniciatīva
Apraksts
Likumprojekts “Grozījumi Nacionālās kiberdrošības likumā” (turpmāk – likumprojekts) izstrādāts, lai novērstu praksē konstatētās problēmas un nepilnības Nacionālās kiberdrošības likuma (turpmāk - NKDL) piemērošanā.
1.2. Mērķis
Mērķa apraksts
Likumprojekta mērķis ir novērst esošā NKDL nepilnības un problēmas, lai efektīvi varētu sasniegt NKDL ietvertos mērķus, jo īpaši, lai uzlabot informācijas un komunikācijas tehnoloģiju drošību, tai skaitā nosakot prasības būtisko pakalpojumu un svarīgo pakalpojumu sniegšanai un saņemšanai, kā arī informācijas un komunikācijas tehnoloģiju darbībai.
Spēkā stāšanās termiņš
Nākamā diena pēc izsludināšanas (likumprojektam)
Pamatojums
Nepieciešams pēc iespējas ātrāk nodrošināt, ka tiem subjektiem, kas tiek izslēgti no likuma tvēruma, likuma normas nav saistošas, lai izvairītos no lieka birokrātiskā sloga.
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Nacionālās kiberdrošības likuma 20. panta 5. punktā ir noteikts, ka būtisks pakalpojuma sniedzējs šī likuma izpratnē ir privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu. Attiecīgi šādas privāto tiesību juridiskās personas ir ietvertas Nacionālās kiberdrošības likuma subjektu lokā un uz šādām personām tiek attiecinātas visas likuma un citu normatīvo aktu, kas regulē kiberdrošību, prasības.
Nacionālās kiberdrošības likuma 20. panta 5. punkts paredz, ka visas tiešās pārvaldes iestādes ir nosakāmas par būtisko pakalpojumu sniedzējiem. Līdz ar to tādas tiešās pārvaldes iestādes, kā muzeji, mūzikas un mākslas skolas ir noteiktas kā būtisko pakalpojumu sniedzēji likuma izpratnē.
Nacionālās kiberdrošības likuma 20. panta 5. punkts paredz, ka visas tiešās pārvaldes iestādes ir nosakāmas par būtisko pakalpojumu sniedzējiem. Līdz ar to tādas tiešās pārvaldes iestādes, kā muzeji, mūzikas un mākslas skolas ir noteiktas kā būtisko pakalpojumu sniedzēji likuma izpratnē.
Problēmas un risinājumi
Problēmas apraksts
Nacionālās kiberdrošības likumā tiek lietots termins "domēna nosaukums", vienlaikus tiek lietots arī termins "domēna vārds". Minētie termini tiek lietoti ar vienādu nozīmi, līdz ar to atbilstoši juridiskās tehnikas prasībām ir nepieciešams nodrošināt Nacionālās kiberdrošības likuma vienotu terminoloģijas lietošanu. Likumprojektā būtu nepieciešams lietot terminu "domēna vārds", jo tas atbilst Latvijas Zinātņu Akadēmijas Terminoloģijas Komisijas Informātikas tehnoloģijas un telekomunikācijas terminoloģijas apakškomisijas sniegtajai terminoloģijai.
NKDL 20. panta 5. punktā ir noteikts, ka būtisks pakalpojuma sniedzējs šī likuma izpratnē ir privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu. Attiecīgi šādas privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, ir ietvertas Nacionālās kiberdrošības likuma subjektu lokā un uz šādām personām tiek attiecinātas visas likuma un citu normatīvo aktu, kas regulē kiberdrošību, prasības. Izvērtējot šo subjektu loku, ir secināts, ka lielākā daļa šādu juridisko personu ir biedrības, nodibinājumi, kas sniedz pakalpojumus sociālā vai kultūras jomā. Tāpat šādi pārvaldes deleģētie uzdevumu līgumi ir noslēgti ar ārstu praksēm. Attiecīgi ņemot vērā Nacionālās kiberdrošības likumā noteikto mērķi un izvērtējot subjektu loku, ir secināts, ka attiecināt likuma normas uz privāto tiesību juridiskām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, ir nesamērīgi. Izstrādājot nepieciešamos grozījumus, ir izvērtēti visa publiskos reģistros pieejamā informācija, par šādi deleģētiem valsts pārvaldes uzdevumiem un ir secināts, ka tie subjekti, kam ir īpaša nozīme valsts pārvaldes uzdevumu realizācijā, ir noteikti kā subjekti, ņemot vērā citas NKDL minētās jomas.
Nacionālās kiberdrošības likuma 20. panta 5. punkts paredz, ka visas tiešās pārvaldes iestādes ir nosakāmas par būtisko pakalpojumu sniedzējiem. Analizējot minēto subjektu loku ir secināts, ka ir atsevišķas tiešās pārvaldes iestādes, kā arī ierobežots loks pastarpinātas pārvaldes iestādes, kas pēc savas būtības nebūtu iekļaujamas Nacionālās kiberdrošības likuma tvērumā. Piemēram, muzeji, profesionālās vidējās izglītības iestādes, mākslas un mūzikas izglītības iestādes, pašvaldību izveidotas ārstniecības iestādes (vecmāšu-feldšeru punkti, ārstniecības iestādes pirmsskolas izglītības iestādēs, ārstniecības iestādes pašvaldību sociālās aprūpes iestādēs). Ņemot vērā iepriekš minēto ir nepieciešams noteikt kārtību, kādā šādas tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes var izslēgt no būtisko pakalpojumu sniedzēju loka.
Nacionālās kiberdrošības likumā tiks paredzēts, ka Digitālās drošības uzraudzības komiteja, lemjot par katru iestādi individuāli, varēs atsevišķas tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes izslēgt no likuma subjekta loka.
Digitālās drošības uzraudzības komiteja ir koleģiāla uzraudzības institūcija aizsardzības ministra pakļautībā, kuras galvenie uzdevumi ir saistīti ar elektroniskās identifikācijas pakalpojumu sniedzēju, uzticamības sertifikācijas pakalpojumu sniedzēju apstiprināšanu un uzraudzību, parakstu vākšanas tiešsaistes sistēmu pārbaudi un sertificēšanu, kā arī komiteja apstiprina Nacionālās kiberdrošības likuma subjektu sarakstu. Pamatojums izslēgšanai būs, ja konkrētas tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes darbības traucējums nevar būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai nevar radīt būtisku sistēmisku risku, tad Digitālās drošības uzraudzības komiteja varēs lemt šo iestādi izslēgt no būtisko pakalpojumu sniedzēju loka. Lēmums par katru iestādi būs jāpieņem individuāli, proti, šādam izvērtējumam ir jābūt individuālam, izsvērtam un pamatotam.
NKDL 20. panta 5. punktā ir noteikts, ka būtisks pakalpojuma sniedzējs šī likuma izpratnē ir privāto tiesību juridiskā persona, kas pilda valsts pārvaldes deleģētu uzdevumu. Attiecīgi šādas privāto tiesību juridiskās personas, kas pilda valsts pārvaldes deleģētu uzdevumu, ir ietvertas Nacionālās kiberdrošības likuma subjektu lokā un uz šādām personām tiek attiecinātas visas likuma un citu normatīvo aktu, kas regulē kiberdrošību, prasības. Izvērtējot šo subjektu loku, ir secināts, ka lielākā daļa šādu juridisko personu ir biedrības, nodibinājumi, kas sniedz pakalpojumus sociālā vai kultūras jomā. Tāpat šādi pārvaldes deleģētie uzdevumu līgumi ir noslēgti ar ārstu praksēm. Attiecīgi ņemot vērā Nacionālās kiberdrošības likumā noteikto mērķi un izvērtējot subjektu loku, ir secināts, ka attiecināt likuma normas uz privāto tiesību juridiskām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, ir nesamērīgi. Izstrādājot nepieciešamos grozījumus, ir izvērtēti visa publiskos reģistros pieejamā informācija, par šādi deleģētiem valsts pārvaldes uzdevumiem un ir secināts, ka tie subjekti, kam ir īpaša nozīme valsts pārvaldes uzdevumu realizācijā, ir noteikti kā subjekti, ņemot vērā citas NKDL minētās jomas.
Nacionālās kiberdrošības likuma 20. panta 5. punkts paredz, ka visas tiešās pārvaldes iestādes ir nosakāmas par būtisko pakalpojumu sniedzējiem. Analizējot minēto subjektu loku ir secināts, ka ir atsevišķas tiešās pārvaldes iestādes, kā arī ierobežots loks pastarpinātas pārvaldes iestādes, kas pēc savas būtības nebūtu iekļaujamas Nacionālās kiberdrošības likuma tvērumā. Piemēram, muzeji, profesionālās vidējās izglītības iestādes, mākslas un mūzikas izglītības iestādes, pašvaldību izveidotas ārstniecības iestādes (vecmāšu-feldšeru punkti, ārstniecības iestādes pirmsskolas izglītības iestādēs, ārstniecības iestādes pašvaldību sociālās aprūpes iestādēs). Ņemot vērā iepriekš minēto ir nepieciešams noteikt kārtību, kādā šādas tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes var izslēgt no būtisko pakalpojumu sniedzēju loka.
Nacionālās kiberdrošības likumā tiks paredzēts, ka Digitālās drošības uzraudzības komiteja, lemjot par katru iestādi individuāli, varēs atsevišķas tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes izslēgt no likuma subjekta loka.
Digitālās drošības uzraudzības komiteja ir koleģiāla uzraudzības institūcija aizsardzības ministra pakļautībā, kuras galvenie uzdevumi ir saistīti ar elektroniskās identifikācijas pakalpojumu sniedzēju, uzticamības sertifikācijas pakalpojumu sniedzēju apstiprināšanu un uzraudzību, parakstu vākšanas tiešsaistes sistēmu pārbaudi un sertificēšanu, kā arī komiteja apstiprina Nacionālās kiberdrošības likuma subjektu sarakstu. Pamatojums izslēgšanai būs, ja konkrētas tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes darbības traucējums nevar būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai nevar radīt būtisku sistēmisku risku, tad Digitālās drošības uzraudzības komiteja varēs lemt šo iestādi izslēgt no būtisko pakalpojumu sniedzēju loka. Lēmums par katru iestādi būs jāpieņem individuāli, proti, šādam izvērtējumam ir jābūt individuālam, izsvērtam un pamatotam.
Risinājuma apraksts
Likumprojekta 1. pants ir nepieciešams, lai saskaņotu gan šajā likumā, gan citos normatīvajos aktos lietoto terminoloģiju, un tiku lietot viens termins “domēna vārds”.
Likumprojekta 2. pantā un 3. panta pirmajā daļā paredzētie grozījumi ir vērsti uz to, lai sašaurinātu subjektu loku, kam būs obligāti jāievēro NKDL minētās kiberdrošības prasības. Minētais pamatojams ar to, ka praksē valsts pārvaldes deleģēšanas līgumi ir slēgti ar, piemēram, biedrībām vai citiem nodibinājumiem, un tiek sniegti sociālajā jomā. Līdz ar to Likumā ietverto prasību attiecināšana uz šādām privātpersonām būtu nesamērīga un pārlieku liels administratīvais slogs.
Likumprojekta 4. pantā paredzētais grozījums papildināt 22. pantu ar 4.1 daļu nepieciešams, jo ir jābūt iespējai atsevišķas tiešās pārvaldes iestādes vai pastarpinātas pārvaldes iestādes izslēgt no būtisko pakalpojumu sniedzēju loka. Minētais pamatojams ar to, ka virkne valsts muzeju, kā arī profesionālās vidējās izglītības iestādes, kā arī mākslu izglītības kompetenču centri, ir noteiktas kā tiešās pārvaldes iestādes. Tāpat ir izveidojusies situācija, kad pašvaldību izveidotas ārstniecības iestādes (vecmāšu-feldšeru punkti, ārstniecības iestādes, kas atrodas pirmsskolas izglītības iestādēs vai ārstniecības iestādes sociālās aprūpes iestādēs) iekļūst NKDL subjektu tvērumā.
Ņemot vērā šo iestāžu darbības jomu, būtu nepieciešams paredzēt, ka Digitālās drošības uzraudzības komitejai ar savu lēmumu, ir iespēja šīs tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes, ja to darbības traucējums nevar būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai nevar radīt būtisku sistēmisku risku, izslēgt no būtisko pakalpojumu sniedzēju loka. Vienlaikus ir jāvērš uzmanība uz to, ka Digitālās drošības uzraudzības komitejai būtu jāpieņem lēmums par katru iestādi individuāli, proti, šādam izvērtējumam ir jābūt individuālam, izsvērtam un pamatotam.
Likumprojekta 2. pantā un 3. panta pirmajā daļā paredzētie grozījumi ir vērsti uz to, lai sašaurinātu subjektu loku, kam būs obligāti jāievēro NKDL minētās kiberdrošības prasības. Minētais pamatojams ar to, ka praksē valsts pārvaldes deleģēšanas līgumi ir slēgti ar, piemēram, biedrībām vai citiem nodibinājumiem, un tiek sniegti sociālajā jomā. Līdz ar to Likumā ietverto prasību attiecināšana uz šādām privātpersonām būtu nesamērīga un pārlieku liels administratīvais slogs.
Likumprojekta 4. pantā paredzētais grozījums papildināt 22. pantu ar 4.1 daļu nepieciešams, jo ir jābūt iespējai atsevišķas tiešās pārvaldes iestādes vai pastarpinātas pārvaldes iestādes izslēgt no būtisko pakalpojumu sniedzēju loka. Minētais pamatojams ar to, ka virkne valsts muzeju, kā arī profesionālās vidējās izglītības iestādes, kā arī mākslu izglītības kompetenču centri, ir noteiktas kā tiešās pārvaldes iestādes. Tāpat ir izveidojusies situācija, kad pašvaldību izveidotas ārstniecības iestādes (vecmāšu-feldšeru punkti, ārstniecības iestādes, kas atrodas pirmsskolas izglītības iestādēs vai ārstniecības iestādes sociālās aprūpes iestādēs) iekļūst NKDL subjektu tvērumā.
Ņemot vērā šo iestāžu darbības jomu, būtu nepieciešams paredzēt, ka Digitālās drošības uzraudzības komitejai ar savu lēmumu, ir iespēja šīs tiešās pārvaldes iestādes vai pastarpinātās pārvaldes iestādes, ja to darbības traucējums nevar būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai nevar radīt būtisku sistēmisku risku, izslēgt no būtisko pakalpojumu sniedzēju loka. Vienlaikus ir jāvērš uzmanība uz to, ka Digitālās drošības uzraudzības komitejai būtu jāpieņem lēmums par katru iestādi individuāli, proti, šādam izvērtējumam ir jābūt individuālam, izsvērtam un pamatotam.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
Nē
Juridiskās personas
- nevalstiskās organizācijas
Ietekmes apraksts
Tiks samazināts administratīvais slogs uz nevalstisko sektoru, izslēdzot atsevišķās jomās darbojošās biedrības no Nacionālās kiberdrošības likuma tvēruma.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Nē
2.3. Administratīvo izmaksu novērtējums juridiskām personām
Vai projekts skar šo jomu?
Nē
2.4. Administratīvā sloga novērtējums fiziskām personām
Vai projekts skar šo jomu?
Nē
2.5. Atbilstības izmaksu novērtējums
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
-
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Jā
5.1. Saistības pret Eiropas Savienību
Vai ir attiecināms?
Nē
5.2. Citas starptautiskās saistības
Vai ir attiecināms?
Nē
5.3. Cita informācija
Apraksts
Lai gan NIS2 direktīva paredz, ka direktīvu piemēro vienībām, kas ir centrālās valdības valsts pārvaldes vienības, kā definējusi dalībvalsts saskaņā ar valsts tiesību aktiem, tomēr attiecībā uz Latvijas tiešās valsts pārvaldes struktūru ir nepieciešami zināmi izņēmumi. Jāņem vērā, ka atsevišķās nozarēs ir izveidojusies sistēma, ka par tiešās valsts pārvaldes iestādēm ir noteikti atsevišķi muzeji, atsevišķas specializētas izglītības iestādes, līdz ar to nepieciešams nodrošināt samērību un šādām iestādēm dot iespēju nepiemērot NKDL prasības. Jāņem vērā, ka šādas iestādes tikušas noteiktas par valsts pārvaldes iestādēm dažādu reformu gaitā, nevis tāpēc, ka realizē, kādu konkrētu valsts pārvaldes funkciju. Turklāt atsevišķos gadījumos, šādām iestādēm nav IKT infrastruktūras.
Līdzīgu izņēmumu ir nepieciešams attiecināt uz pastarpinātām pārvaldes iestādēm. piemēram, pašvaldību izveidotas ārstniecības iestādes (vecmāšu-feldšeru punkti, ārstniecības iestādes, kas atrodas pirmsskolas izglītības iestādēs un izglītības iestādēs vai ārstniecības iestādes sociālās aprūpes iestādēs).
NIS2 direktīva nosaka, ka par vienībām nosakāmas tās valsts pārvaldes vienības reģionālā līmenī, kuru sniegto pakalpojumu traucējumi varētu būtiski ietekmēt kritiskas sabiedriskās vai ekonomiskās darbības. Līdz ar to NIS2 direktīva dod zināmu rīcības brīvību nosakot NKDL tvērumā iekļaujamos subjektus.
Līdzīgu izņēmumu ir nepieciešams attiecināt uz pastarpinātām pārvaldes iestādēm. piemēram, pašvaldību izveidotas ārstniecības iestādes (vecmāšu-feldšeru punkti, ārstniecības iestādes, kas atrodas pirmsskolas izglītības iestādēs un izglītības iestādēs vai ārstniecības iestādes sociālās aprūpes iestādēs).
NIS2 direktīva nosaka, ka par vienībām nosakāmas tās valsts pārvaldes vienības reģionālā līmenī, kuru sniegto pakalpojumu traucējumi varētu būtiski ietekmēt kritiskas sabiedriskās vai ekonomiskās darbības. Līdz ar to NIS2 direktīva dod zināmu rīcības brīvību nosakot NKDL tvērumā iekļaujamos subjektus.
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
Kultūras ministrijaNevalstiskās organizācijas
Latvijas Pilsoniskā alianseCits
Nē6.2. Sabiedrības līdzdalības organizēšanas veidi
6.3. Sabiedrības līdzdalības rezultāti
-
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Nē
7.5. Cita informācija
-
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Nē
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Nē
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
-
Pielikumi