Anotācija

Atbilstoši Nacionālās kiberdrošības likumā ietvertajam deleģējumam Ministru kabinetam ir jānosaka:
(1) minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk kopā – subjekti);
(2) kārtība, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
(3) prasības un veicamie pasākumi subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
(4) IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;
(5) prasības subjekta kiberdrošības pārvaldniekam;
(6) veids un formāts, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
(7) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veids un apjoms, kā arī plāna izpildes uzraudzības un kontroles kārtība;
(8) kiberincidentu nozīmīguma kritēriji;
(9) kārtība informēšanai par kiberincidentu, un to kiberincidentu kritēriji, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
(10) kritēriji un kārtība subjekta tīklu un informācijas sistēmu drošības skenēšanai;
(11) nosacījumi un kārtība, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
(12) subjekta atbilstības pašvērtējuma ziņojuma veidlapa un tajā iekļaujamās informācijas saturs un apjoms, kā arī pašvērtējuma ziņojuma iesniegšanas termiņš un regularitāte;
(13) subjektiem kiberhigiēnas pasākumu pamatelementi un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
(14) kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtība;
(15) kārtība ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;
(16) prasības kiberincidentu novēršanas institūcijām.

Tāpat Ministru kabinetam jānosaka:
(1) IKT kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās IKT infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtība (sasakaņā ar Nacionālās drošības likuma 22.2 panta sesto daļu),
(2) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības (saskaņā ar Elektronisko sakaru likuma 8. panta pirmo daļu),
(3) kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā (saskaņā ar Elektronisko sakaru likuma 8. panta otro daļu),
(4) valsts informācijas sistēmu savietotāju, valsts platformu un integrētā valsts informācijas sistēmā ietilpstošo valsts informācijas sistēmu aizsardzības prasības (saskaņā ar Valsts informācijas sistēmu likuma 16. pantu).

Noteikumu projektā ir noteiktas minimālās kiberdrošības prasības subjektiem, kas ir izstrādātas, ņemot vērā aktuālo kiberapdraudējuma līmeni, nozarē izmantotos starptautiskos standartus (piemēram, ISO/IEC 27001:2022, NIST) un praksi, kā arī ekspertu ieteikumus.

Statusa paziņošana
Nacionālās kiberdrošības likums nosaka, ka persona veic pašvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā persona ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka persona, kura atbilst būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam, likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu. Ja būtisko vai svarīgo pakalpojumu sniedzējs vienlaikus ir arī IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tas paziņojumu par savu atbilstību būtisko pakalpojumus sniedzēja vai svarīgo pakalpojumu sniedzēja statusam vai izmaiņām iepriekš norādītajās ziņās iesniedz arī Satversmes aizsardzības birojam. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs šo noteikumu izpratnē uzskatāms arī par būtisko pakalpojumu sniedzēju atbilstoši Nacionālās kiberdrošības likuma 20. panta 11. punktā noteiktajam (iestāde vai saimnieciskās darbības veicējs, kura darbības traucējums var būtiski ietekmēt sabiedrības drošību, valsts aizsardzību, sabiedrības veselību vai var radīt būtisku sistēmisku risku, jo īpaši nozarēs, kurās šādam traucējumam var būt pārrobežu ietekme).

Līdzīga statusa paziņošanas kārtība ir noteikta domēnu vārdu reģistrācijas pakalpojumu sniedzējiem. Nacionālās kiberdrošības likums paredz, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs, kurš atbilst domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam un kura lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijas Republikā vai kuram Latvijas Republikā ir vislielākais darbinieku skaits, ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.

Kiberdrošības pārvaldnieks
Nacionālās kiberdrošības likums paredz, ka subjekta vadītājs nosaka atbildīgo fizisko personu – kiberdrošības pārvaldnieku –, kas īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā. Atbilstoši Nacionālās kiberdrošības likuma 25. pantam, kiberdrošības pārvaldnieks īsteno un pārrauga kiberdrošības prasību īstenošanu attiecīgajā subjektā, tādējādi paredzot kiberdrošības pārvaldniekam visas subjekta IKT infrastruktūras pārraudzību. Ņemot vērā kiberdrošības pārvaldnieka lomu un nozīmi, nodrošinot subjekta tīklu un informācijas sistēmu, kā arī lietotāju aizsardzību, ir būtiski nodrošināt, ka persona, kura pilda kiberdrošības pārvaldnieka pienākumus, ir ne tikai kompetenta ar atbilstošu profesionālo kvalifikāciju un pieredzi, bet arī uzticama, ņemot vērā kiberdrošības pārvaldnieka rīcībā esošas informācijas apjomu, tās sensitivitāti un darbību ietekmi uz subjekta kiberdrošības noturību, ievērojot, ka prettiesiskas kiberdrošības pārvaldnieka rīcības gadījumā var tikt radīts ievērojams apdraudējums subjekta sniegto pakalpojumu pieejamībai.

Tādu personas atbilstības kritēriju izvirzīšana, kas ļauj pārliecināties par personas kompetenci un uzticamību, ir īpaši svarīga, nosakot personai kiberdrošības pārvaldnieka pienākumus IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītāja, ņemot vērā, ka par IKT kritisko infrastruktūru nosaka tādu IKT infrastruktūru, kas ir būtiska svarīgu sabiedrības funkciju īstenošanai, kā arī cilvēku veselības aizsardzības, drošības, ekonomiskās vai sociālās labklājības nodrošināšanai un kuras iznīcināšana vai darbības traucējumi būtiski ietekmētu valsts un sabiedrības pamatfunkciju īstenošanu. Ņemot vērā šos apsvērumus, Noteikumu projekts nosaka prasības kiberdrošības pārvaldniekam. Vērtējot personai noteiktos atbilstības kritērijus kopsakarā ar to personas pamattiesību ierobežojošo raksturu, ir jāņem vērā, ka jebkura pamattiesību ierobežojuma pamatā ir jābūt apstākļiem un argumentiem, kādēļ šāds ierobežojums ir vajadzīgs, t.i., ierobežojumam ir jābūt noteiktam svarīgu interešu – leģitīma mērķa – labad (skat. Satversmes tiesas 2024. gada 17. decembra sprieduma lietā Nr. 2023-47-01 15. punktu).

Par IKT kritiskās infrastruktūras objektiem ir noteikti tādi objekti, kas nodrošina dažādu būtisku valsts un sabiedrības pamatfunkciju īstenošanu, un kuru iznīcināšana vai darbības traucējumi radītu būtisku kaitējumu valsts un sabiedrības interesēm. Savukārt, kiberdrošības pārvaldnieka tiesības un pienākumi ir tieši saistīti ar attiecīgā IKT kritiskās infrastruktūras objekta kiberdrošības noturību, kas ir būtiska, lai attiecīga apdraudējuma gadījumā IKT kritiskās infrastruktūras objekts spētu nodrošināt tam noteikto funkciju īstenošanas nepārtrauktību. Ņemot vērā IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka lomu un potenciālo ietekmi uz valstij un sabiedrībai svarīgu pamatfunkciju īstenošanu un būtisku pakalpojumu saņemšanu, valstij ir pienākums nodrošināt, ka persona, kurai IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā ir noteikti kiberdrošības pārvaldnieka pienākumi, ir kompetenta ar atbilstošu profesionālo kvalifikāciju un pieredzi, kā arī uzticama, ne tikai vērtējot personas spēju veikt tai noteiktos pienākumus, bet arī vēlmi un spēju rīkoties Latvijas Republikas un tās sabiedrības interesēs.

Ņemot vērā iepriekš minētos apsvērumus, Noteikumu projekta ietvaros ir noteikts, ka par IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku drīkst noteikt tikai Latvijas Republikas pilsoni. Nosakot šādu atbilstības kritēriju ir ņemts vērā, ka IKT kritiskās infrastruktūras darbības nepārtrauktība ir jānodrošina arī attiecīga apdraudējuma gadījumā, kas, t.sk., var būt saistīts ar dažādu dabas katastrofu ietekmē radītu apdraudējumu, konkrētu apdraudējumu attiecīgajam IKT kritiskās infrastruktūras objektam, kā arī valsts suverenitātes un teritoriālās integritātes apdraudējumu. Šādu apdraudējumu, jo īpaši valsts suverenitātes un teritoriālās integritātes apdraudējuma, gadījumā vēlme un spēja rīkoties Latvijas Republikas un tās sabiedrības interesēs būs tieši Latvijas Republikas pilsonim. Latvijas Republikas pilsonība ir personas noturīga tiesiska saikne ar Latvijas Republiku un pilsonības saturu veido pilsoņa un valsts savstarpējo saistīto tiesību un pienākumu kopums, kas cita starpā ietver arī personas kā Latvijas Republikas pilsoņa apziņu aizsargāt Latvijas Republikas suverenitāti, teritoriālo integritāti, kā arī sabiedrības kopumu un tās pamatā esošās demokrātiskās vērtības.

Noteikumu projektā ietvertais ierobežojums personai noteikt kiberdrošības pārvaldnieka pienākumus IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā, ja pār to ir nodibināta aizgādnība, ir tieši saistīts ar personas spēju veikt tai noteiktos kiberdrošības pārvaldnieka pienākumus.  Izvērtējot Civillikuma 217. pantā noteiktos gadījumus, kad pār personu ir nodibināma aizgādnība, ir secināms, ka šādi gadījumi nav savienojami ar personas spēju un uzticamību veikt kiberdrošības pārvaldnieka pienākumus. Līdzīgu apsvērumu dēļ Noteikumu projektā ir paredzēts ierobežojums par kiberdrošības pārvaldnieku noteikt personu, kurai ir diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība, kas dod pamatu apšaubīt fiziskās personas uzticamību. Ņemot vērā psihisko traucējumu iespējamos veidus, to ietekmi uz personas rīcību, kā arī šo traucējumu un noteikto atkarību iespējamo izveidošanās periodu, Noteikumu projekta izstrādes ietvaros ir vērtēti saudzējošāki ierobežojumi, ar kuru palīdzību tiktu sasniegts iepriekš aprakstītais leģitīmais mērķis līdzvērtīgā kvalitāte. Kā to ir atzinusi Satversmes tiesa par saudzējošāku līdzekli var būt tāds regulējums, kas noteiktos gadījumos pieļauj personas vērtēšanu (skat. Satversmes tiesas 2017. gada 24. novembra spriedumu lietā Nr. 2017-07-01 19.3. punkts), līdz ar to noteiktā ierobežojuma ietvaros ir paredzēts izvērtēt vai konstatētie psihiskie traucējumi vai atkarība dod pamatu apšaubīt personas uzticamību.

Papildus iepriekš minētajiem personas atbilstības kritērijiem, Noteikumu projekta ietvaros ir noteikts, ka persona nevar tikt noteikta par kiberdrošības pārvaldnieku IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā, ja persona ir sodīta par tīšu noziedzīgu nodarījumu, izņemot, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta. Vērtējot kritērijā ietverto vainas formu ir jānorāda, ka atbilstoši Krimināllikuma 9. pantam, noziedzīgs nodarījums atzīstams par izdarītu ar nodomu (tīši), ja persona to izdarījusi ar tiešu vai netiešu nodomu. Tiešs nodoms tiek konstatēts, ja persona apzinājusies savas darbības vai bezdarbības kaitīgumu un to apzināti veikusi vai pieļāvusi vai arī apzinājusies savas darbības vai bezdarbības kaitīgumu, paredzējusi nodarījuma kaitīgās sekas un vēlējusies to iestāšanos. Savukārt, netiešs nodoms tiek konstatēts, ja persona apzinājusies savas darbības vai bezdarbības kaitīgumu, paredzējusi nodarījuma kaitīgās sekas un, kaut arī šīs sekas nav vēlējusies, tomēr apzināti pieļāvusi to iestāšanos. Līdz ar to, IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka pienākumi nav nosakāmi personai, kura ir apzināti radījusi kaitējumu ar Krimināllikumu aizsargātām personas, sabiedrības vai valsts interesēm. Atruna par piemērošanas izņēmumu personas sodāmības noņemšanas vai dzēšanas gadījumā ir ietverta ņemot vērā, ka sodāmības dzēšana un noņemšana anulē visas izdarītā noziedzīgā nodarījuma krimināltiesiskās sekas. Vienlaikus ir jāņem vērā, ka ir tādi noziedzīgi nodarījumi, kuru izdarīšana var būt nesavienojama ar kiberdrošības pārvaldnieka pienākumiem, piemēram, Krimināllikuma 85. pantā ietvertais noziedzīgais nodarījumus par spiegošanu vai 200. pantā noteiktais noziedzīgais nodarījums par  neizpaužamu ziņu, kas nav konfidenciāla, slepena vai sevišķi slepena informācija, izpaušanu, komercnoslēpumu saturošu ziņu neatļautu iegūšanu un izpaušanu un finanšu tirgus iekšējās informācijas nelikumīga izpaušanu. Līdz ar to, Satversmes aizsardzības birojam ir tiesības vērtēt personas izdarīto noziedzīgo nodarījumu saistībā ar iespējamiem drošības riskiem. 
Saistībā ar personas profesionālās kvalifikācijas un pieredzes atbilstību, Noteikumu projektā ir noteikts, ka IKT kritiskās infrastruktūras kiberdrošības pārvaldniekam ir jābūt augstākai vai vidējai profesionālajai izglītībai informāciju tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredzei kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā, vai arī jābūt spēkā esošam starptautiski atzītam sertifikātam, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP). Atbilstības kritērijs paredz, ka personai ir jābūt atbilstošai izglītībai un pieredzei kiberdrošības jomā vai attiecīgam starptautiski atzītam sertifikātam. Šādas divas situācijas ir paredzētas, lai nodrošinātu, ka personai ir atbilstoša kompetence un pieredze kiberdrošības jomā, vienlaikus paredzot elastīgu regulējumu personas kompetences un pieredzes apliecināšanai. Turklāt šobrīd tiek paredzēts gana elastīgs risinājums, lai nodrošinātu pietiekamu kvalificētu pārvaldnieku skaitu. Vienlaikus jānorāda, ka divu gadu laikā, no noteikumu spēkā stāšanās brīža, tiks vērtēta iespēja šīs prasības pastiprināt, izvērtējot pieejamo speciālistu skaitu attiecībā pret subjektu skaita.

Noteikumu projekts paredz, ka IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka pienākumus nevar veikt persona, kura ir vai ir bijusi PSRS, Latvijas PSR vai kādas ārvalsts drošības dienesta, izlūkdienesta vai pretizlūkošanas dienesta štata vai ārštata darbinieks, aģents, rezidents vai konspiratīvā dzīvokļa turētājs. Ņemot vērā personas atbilstības kritēriju noteikšanas mērķi, kiberdrošības pārvaldnieka pienākumus nevar noteikt personām, kuru darbības ir bijušas vērstas pret Latvijas Republiku un tās tautu un tās pašnoteikšanās tiesībām, kā arī personām, kuru uzticamība, kā arī Latvijas Republikas un tās sabiedrības interešu prioritizēšana var tikt apšaubīta. IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka pienākumi nav nosakāmi arī tādai personai, kura ir vai bijusi ar Latvijas Republikas likumiem, Augstākās padomes lēmumiem vai tiesas nolēmumiem aizliegto organizāciju dalībnieks (biedrs) pēc šo organizāciju aizliegšanas. Ņemot vērā, ka viens no pamatojumiem attiecīgas organizācijas aizliegšanai var būt organizācijas darbības ietekmē radīts valsts drošības, sabiedriskās drošības vai kārtības apdraudējums, kā arī darbība, kas ir pretrunā ar Satversmi, likumiem vai citiem normatīvajiem aktiem, personas dalība šādās organizācijās nav savienojama IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka pienākumiem. Arī Noteikumu projektā noteiktā personas dalība organizētā noziedzības grupējumā, nelikumīgā militarizētā vai bruņotā formējumā var būt vērsta pret valsts un sabiedrības drošību un kārtību, kā arī pēc būtības ietver nepakļaušanos normatīvo aktu prasībām. Šāda personas darbība var apdraudēt ne tikai Latvijas Republikas, bet arī citu valstu suverēnās tiesības un teritoriālo integritāti, līdz ar to, šāda darbība nav savienojama IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka pienākumu izpildi. 
Noteikumu projekta ietvaros nav iespējams specifiski un visaptveroši noteikt visus personas atbilstības kritērijus, kas garantē personas uzticamību,  ņemot vērā, ka potenciālo drošības risku rašanās cēloņi, kā arī attiecīgās personas darbības izpausmes, kas var radīt drošības riskus atrodas nepārtrauktā attīstībā. Līdz ar to, Noteikumu projektā ir paredzēts, ka Satversmes aizsardzības birojs atbilstoši kompetencei var konstatēt citus drošības riskus, kas var būt par pamatu, lai personai nevarētu tikt noteikti IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka pienākumi.

Noteikumu projekts paredz analoģisku regulējumu attiecībā uz būtisko pakalpojumu sniedzējiem, kuri nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji, bet kas faktiski arī nodrošina dažādu nozīmīgu valsts un sabiedrības pamatfunkciju īstenošanu, un kuru iznīcināšana vai darbības traucējumi radītu kaitējumu valsts un sabiedrības interesēm. Noteikumu projekts, paredz, ka būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nosaka fizisku personu, kurai ir NATO, Eiropas Savienības vai Eiropas Brīvās tirdzniecības asociācijas (turpmāk – EBTA) dalībvalsts pilsonība, un kurai ir augstākā vai vidējā profesionālā izglītība informāciju tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības  jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, kas iegūta pēdējo piecu gadu laikā. Būtisko pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nevar noteikt personu, kura nav pilngadīga, pār kuru ir nodibināta aizgādnība, kura ir sodīta par tīšu noziedzīgu nodarījumu, izņemot, ja persona ir reabilitēta, vai sodāmība ir noņemta vai dzēsta.

Savukārt svarīgo pakalpojumu sniedzējs par kiberdrošības pārvaldnieku nosaka fizisku personu, kurai ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonība, un kurai ir augstākā vai vidējā profesionālā izglītība informāciju tehnoloģiju, kiberdrošības pārvaldības vai citā saistītā jomā, vai kurai ir spēkā esošs starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības jomā (piemēram, CISM, CISSP), vai kurai ir vismaz divu gadu darba pieredze kiberdrošības pārvaldībā. Svarīgo pakalpojumu sniedzējs, kurš nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, par kiberdrošības pārvaldnieku nevar noteikt personu, kura nav pilngadīga, pār kuru ir nodibināta aizgādnība.

Noteikumu projekts paredz, ka kompetentā valsts drošības iestāde pēc savas iniciatīvas var pārbaudīt jebkura subjekta kiberdrošības pārvaldnieka atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot Nacionālo kiberdrošības centru (ja subjekts nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) un subjekta vadītāju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Satversmes aizsardzības birojs var neveikt kiberdrošības pārvaldnieka kandidāta pārbaudi, ja kiberdrošības pārvaldnieka kandidātam ir izsniegta speciālā atļauja pieejai valsts noslēpumam, jo uzskatāms, ka šāda persona jau ir pārbaudīta un nerada drošības riskus. Vienlaikus tas neatbrīvo subjektu no pienākuma pārliecināties par kiberdrošības pārvaldnieka atbilstību kvalifikācijas prasībām.

Tāpat Noteikumu projekts paredz kārtību, kādā subjekts paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par kiberdrošības pārvaldnieka iecelšanu, kā arī ziņo par izmaiņām kiberdrošības pārvaldnieka datos. Noteikumu projekts paredz, ka subjekts likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs kiberdrošības pārvaldnieku nosaka uz termiņu līdz 3 gadiem. Ne vēlāk kā 3 mēnešus pirms noteiktā kiberdrošības pārvaldnieka termiņa beigām, IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs paziņo par kiberdrošības pārvaldnieka termiņa pagarināšanu vai jauna kiberdrošības pārvaldnieka noteikšanu, iesniedzot Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu paziņojuma par kiberdrošības pārvaldnieku veidlapu. Šāda kārtība ir nepieciešama, lai nodrošinātu savlaicīgu kiberdrošības pārvaldnieku kandidātu izvērtēšanu atbilstoši Nacionālās kiberdrošības likuma 25. panta trešajai daļai, jo īpaši, ņemot vērā pārbaudāmo personu skaitu konkrētajā laika posmā (ik pēc trīs gadiem pēc pirmreizējas kiberdrošības pārvaldnieka noteikšanas). Satversmes aizsardzības biroja izvērtējumu par kiberdrošības pārvaldnieka kandidātu veic trīs mēnešu laikā. Pozitīva Satversmes aizsardzības biroja izvērtējuma gadījumā IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs var nepaziņot atkārtoti par kiberdrošības pārvaldnieka noteikšanu Nacionālās kiberdrošības likuma 25. panta ceturtajā daļā noteiktajā termiņā – piecu darbdienu laikā pēc noteikšanas (jo Satversmes aizsardzības biroja rīcībā jau būs informācija par konkrēto kiberdrošības pārvaldnieku), ja vien laika posmā kopš iepriekšējā paziņojuma (kas iesniedzams 3 mēnešus iepriekš) iesniegšanas minētajā paziņojumā norādītie dati nav mainījušies.

Lai nodrošinātu kvalitatīvu pārvaldnieku darbu, Noteikumu projekts paredz zināmus ierobežojumus, proti, tiek noteikts, ka fiziska persona, kura noteikta par A kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku, nevar būt noteikta par kiberdrošības pārvaldnieku citā subjektā. Attiecībā uz B vai C kategorijas IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieku ir noteikts zināms ierobežojums, proti, šāds pārvaldnieks nedrīkst būt noteikta par kiberdrošības pārvaldnieku citā IKT kritiskās infrastruktūras īpašniekā vai tiesiskajā valdītājā, bet var būt noteikts par pārvaldnieku piecos būtisko pakalpojumu sniedzējos (kas nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji), vai bez ierobežojuma  - svarīgos pakalpojumu sniedzējos.  
Arī attiecībā uz būtisko pakalpojumu sniedzējiem ir noteikts zināms ierobežojums, lai nodrošinātu sniegtā pakalpojuma kvalitāti. Vienlaikus, lai nodrošinātu zināmu elastību ir noteikti atsevišķi izņēmumi, īpaši attiecībā uz tiešās pārvaldes iestādēm un privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu. Jāuzsver, ka noteikumu projekts neliedz veidot centralizētu šādu pārvaldnieku pakalpojumu sniegšanu. Šādus pārvaldnieka pakalpojumus var sniegt kā privāto, tā publisko tiesību subjekti.
Vienlaikus izmantojot šādus centralizētus pakalpojumus, kā arī ļaujot pārvaldniekam pārvaldīt kiberdrošību daudzos subjektos, atbildība jebkurā gadījumā paliek subjekta īpašniekam vai tiesiskajām valdītājam.
 
Kiberdrošības pārvaldības dokumentācijas prasības
Noteikumu projekts paredz, ka katram subjektam jāizstrādā un jāuztur kiberdrošības pārvaldības dokumentu kopums. Šajā kopumā ietilpst subjekta kiberdrošības politika, IKT resursu un informācijas sistēmu katalogs, kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns un kiberincidentu žurnāls. Noteikumu projekts paredz, ka subjekts katru minētā kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu, nepieciešamības gadījumā nosakot pieejamības ierobežojumus atsevišķām kopuma daļām, to sadaļām, konkrētiem dokumentiem vai to pielikumiem atbilstoši personu nepieciešamībai iepazīties ar šajos dokumentos ietverto informāciju. Noteikumu projekts nosaka pienākumu subjektam nodrošināt, ka kiberdrošības pārvaldības dokumentu kopuma daļas ir pieejamas tikai personām, kurām tās nepieciešamas darba pienākumu vai ārpakalpojuma izpildei. Piemēram, šie dokumenti nav publiski pieejami (nav publicēti subjekta mājaslapā, vai pieejami telpās, kur ar tiem varētu brīvi iepazīties nepiederošas personas). Atbilstoši normatīvo aktu prasībām informācijas aizsardzības jomā subjekts, kurš ir valsts pārvaldes iestāde, kiberdrošības pārvaldības dokumentiem var noteikt ierobežotas pieejamības informācijas statusu. Tāpat noteikumu projekts neskar subjektu tiesības noteikt dokumentiem citus normatīvajos aktos paredzētos pieejamības ierobežojumus (piemēram, komercnoslēpuma statusu). Noteikumu projekts paredz, ka subjekts kiberdrošības pārvaldības dokumentus veido un uztur tai skaitā elektroniskā formātā (ja dokumentus veido papīra formātā, subjekts katram šādam dokumentam nodrošina arī tādu versiju, kas ir lietojama digitālajā vidē). Tas ir nepieciešams, lai krīzes situācijā kiberdrošības pārvaldības dokumenti būtu pieejami un lietojami. Noteikumu projekts paredz, ka minēto dokumentu kopijas uzglabā atsevišķi no to oriģināliem, nodrošinot to pieejamību kiberdrošības pārvaldniekam gadījumā, ja dokumentu oriģināli nav pieejami.

Kiberdrošības politika
Kiberdrošības politika ir paredzēta kā galvenais dokuments, kas nosaka, kā tiek organizēti subjekta kiberdrošības pasākumi. Noteikumu projekts paredz, ka kiberdrošības politikā iekļauj:
(1) vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
(2) subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
(3) informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
(4) informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi;
(5) informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu un standartu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām un IKT resursiem.

Subjekts kiberdrošības politikai var pievienot visu spēkā esošo subjekta iekšējo normatīvo aktu un vadlīniju kiberdrošības jomā kopijas, nepieciešamības gadījumā atsevišķi izdalot iekšējos normatīvos aktus un vadlīnijas attiecībā uz konkrētām informācijas sistēmām vai informācijas sistēmu grupām (piemēram, informācijas sistēmas lietošanas noteikumus).
Vienlaikus ir jāvērš uzmanība uz to, ka komersanta kiberdrošības politikas izstrāde palīdz izprast kiberapdraudējumus, kas var tikt pret to vērsti, prasības, kas attiecas uz konkrēto komersantu kiberdrošības jomā.

IKT resursu un informācijas sistēmu katalogs
Noteikumu projekts paredz, ka subjekts identificē un uzskaita visus tā īpašumā un valdījumā esošos IKT resursus, atbilstoši Noteikumu projekta pielikumā ietvertajai metodikai nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai un tajā elektroniski apstrādājamo informācijas resursu kategorijai (grupai, kopumam), kā arī izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu. Noteikumu projekts paredz, ka informācijas sistēmas iedala trīs kategorijās – A (paaugstinātas drošības), B (pamata drošības) un C (minimālās drošības). Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādās vadlīnijas informācijas sistēmas drošības klases noteikšanai. Šajās vadlīnijās tiks sniegti konkrēti piemēri, kā noteikt informācijas sistēmas konfidencialitātes, integritātes un pieejamības drošības klasi un informācijas sistēmas klasi atbilstoši šo noteikumu metodikai. Lai nodrošinātu, ka noteikumos paredzētā informācijas sistēmu klasifikācija ir atbilstoša un nerada pārmērīgu administratīvo slogu, Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju var to pārskatīt, tostarp veicot ex-post novērtējumu, nepieciešamības gadījumā rosinot veikt grozījumus šajos noteikumos.

Subjekts IKT resursu un informācijas sistēmu katalogu veido atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu resursu uzskaites lietojumprogrammu (datubāzi). Subjekts pats nosaka nepieciešamo minimālo IKT resursu un informācijas kataloga saturu. IKT resursu un informācijas sistēmu katalogā var iekļaut, piemēram, šādu informāciju:

(1) Informācijas resursu saraksts	– informācijas resursa kategorija (piemēram, saņemtie rēķini par komunālajiem maksājumiem, darbinieku iesniegumi par atvaļinājuma piešķiršanu); – datu klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija); – informācijas resursa konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C); – datu subjektu kategorija (piemēram, uzņēmuma nodarbinātie, klienti) un, ja attiecināms, kategorijas apraksts; – datu apstrādes nolūks; – atzīme par to, vai informācijas resurss satur personas datus; – atzīme par to, vai informācijas resurss satur īpašo kategoriju personas datus; – atzīme par to, vai informācijas resurss ir datu pirmavots, un ziņas par datu pirmavota fizisko atrašanās vietu, ja attiecināms; – ziņas par informācijas resursa rezerves kopiju veidošanas biežumu un rezerves kopiju fizisko atrašanās vietu; – ziņas par informācijas resursa glabāšanas termiņu un arhivēšanu, ja attiecināms. – ziņas par informācijas resursa īpašnieku (tiesisko valdītāju) un datu pārzini; – datu aizsardzības speciālista kontaktinformācija; – ziņas par informācijas resursa turētāju (piemēram, fiziskās personas amats, vārds, uzvārds un kontaktinformācija vai personu grupas (struktūrvienības) nosaukums un kontaktinformācija); – ziņas par personām (personu grupām), kuras var piekļūt un elektroniski apstrādāt informācijas resursu; – ziņas par datu saņēmējiem, tostarp trešajām pusēm, ja attiecināms;
(2) Informācijas sistēmu saraksts	– informācijas sistēmas nosaukums; – informācijas sistēmas kategorija (A, B vai C); – informācijas sistēmai noteiktā konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C); – informācijas sistēmas funkciju un pakalpojumu uzskaitījums un apraksts; – informācijas sistēmas darbības nodrošināšanai izmantojamo tehnisko resursu saraksts un shematiskais attēlojums; – to pakalpojumu un procesu apraksts, kurus var negatīvi ietekmēt informācijas sistēmas konfidencialitātes, integritātes un pieejamības apdraudējums (risku novērtējums); – IKT resursu un informācijas sistēmas pieejamības savstarpējo atkarību apraksts un shematiskais attēlojums (piemēram, tabulas vai diagrammas, formāta, kas izveidota manuāli vai automatizēti, izmantojot konfigurāciju pārvaldības datubāzes (CMDB) datus). – ziņas par informācijas sistēmas izstrādātāju; – ziņas par informācijas sistēmas īpašnieku (tiesisko valdītāju) – ziņas par informācijas sistēmas procesu turētāju; – ziņas par informācijas sistēmas tehnisko resursu turētāju; – ziņas par informācijas sistēmas informācijas resursu turētāju; – ziņas par ārpakalpojuma sniedzējiem, ja attiecināms.
(3) Tīklu shēma	– tīkla nosaukums; – tīklam piešķirtais unikālais identifikators (tīkla uzskaites numurs); – tīkla (tostarp apakštīklu) interneta protokola (IP) adrešu diapazoni; – tīkla maršrutēšanas domēna (AS) numurs, ja tāds ir piešķirts; – tīklam pievienoto iekārtu uzskaites numurs; – tīkla un tam pievienoto iekārtu shematiskais attēlojums;
(4) Aparatūras saraksts	– iekārtai piešķirtais unikālais identifikators (iekārtas uzskaites numurs); – iekārtas veids (piemēram, serveris, darbstacija, datu nesējs); – iekārtas nosaukums; – iekārtas ražotājs, modelis, sērijas numurs (ja attiecināms); – iekārtā uzstādītās programmatūras nosaukums, versija un programmatūras instanču pēdējās atjaunināšanas datums; – iekārtas fiziskā atrašanās vieta (piemēram, objekta adrese, telpa); – ziņas par tīkliem, kuriem iekārta ir pievienota; – ziņas par iekārtas īpašnieku (tiesisko valdītāju); – par iekārtas administrēšanu atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija. – ziņas par fiziskām personām vai personu grupām, kurām ir piekļuve iekārtai, un šo personu piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
(5) Datu nesēju saraksts	– datu nesēja nosaukums; – datu nesējam piešķirtais unikālais identifikators (datu nesēja uzskaites numurs); – datu nesēja veids (piemēram, atmiņas karte); – datu nesēja klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija); – ziņas par datu nesēja fizisko atrašanās vietu; – ziņas par datu nesēja īpašnieku; – par datu nesēja drošību atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija. – ziņas par datu nesēja lietotājiem (personām vai personu grupām);
(6) Programmatūras saraksts	– programmatūras veids (piemēram, sistēmprogramma, lietojumprogramma); – programmatūras nosaukums; – programmatūras versija un programmatūras instanču pēdējās atjaunināšanas datums; – ziņas par programmatūras ražotāju vai atvērto pirmkodu; – ziņas par programmatūras licenci, licences devēju, licences ņēmēju un licences derīguma termiņu (ja attiecināms); – katras iekārtas uzskaites numurs, kurā programmatūra ir uzstādīta;
(7) Fiziskās infrastruktūras apraksts	– vispārīga informācija par objektu (piemēram, objekta nosaukums, adrese, ziņas par objekta īpašnieku vai tiesisko valdītāju); – ziņas par subjekta struktūrvienību vai citu institūciju, kas nodrošina drošības pasākumus objektā; – ziņas par objekta ārējā perimetra aizsardzības pasākumiem (piemēram, žogi un to izvietojums, apgaismojums un tā izvietojums, videonovērošana, signalizācija); – ziņas par iekļūšanas kontroli objektā vai tā teritorijā (piemēram, iekļūšanas punkti, to izvietojums, darba laiks, caurlaižu režīms darbiniekiem, apmeklētājiem, transportlīdzekļiem, kravām, caurlaižu paraugi); – ziņas par ierobežotas piekļuves zonām (ja attiecināms) un to drošības pasākumiem (piemēram, izvietojums, iekļūšanas kontrole darbiniekiem, apmeklētājiem, transportlīdzekļiem); – ziņas par apsardzes personālu (piemēram, izvietojums, pienākumi, tiesības, patrulēšanas režīms, rīcība apdraudējuma situācijās); – ziņas par objekta videonovērošanas sistēmām un videonovērošanas sistēmas shēma (ja attiecināms); – ziņas par objekta fiziskās drošības signalizāciju (ja attiecināms); – ziņas par objekta plānojumu, tostarp to telpu saraksts un shematiskais attēlojums, kurās ir izvietota aparatūra un citi tīkla elementi;
(8) Cilvēkresursu saraksts	– personas amats, vārds un uzvārds (vai līdzvērtīgs unikāls identifikators, piemēram, dienesta apliecības numurs); – personas kontaktinformācija; – ja attiecināms, ziņas par personas piederību konkrētām personāla grupām (piemēram, administratīvais personāls, informācijas tehnoloģiju personāls, vadības personāls) vai struktūrvienībām; – ziņas par personas piekļuvi tehniskajiem resursiem un šīs piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības); datums, kad pēdējo reizi veikta personas apmācība kiberdrošības jautājumos.

Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
Lai mazinātu iespējamos kiberriskus un nepieciešamības gadījumā reaģētu uz kiberincidentiem, ir nepieciešams veikt atbilstošus un samērīgus kiberrisku pārvaldības un darbības nepārtrauktības pasākumus. Noteikumu projekts paredz, ka subjekts izstrādā, uztur, ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Šo plānu var veidot kā vienotu dokumentu vai kā vairāku plānu kopumu, ko subjekts izstrādā dažāda veida informācijas sistēmām vai to elementiem atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Tāpat subjekts var dalīt kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu divos dokumentos – kiberrisku pārvaldības plānā un IKT darbības nepārtrauktības plānā.

Noteikumu projekts paredz, ka subjekts kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
(1) kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, katra analizējamā kiberriska pieļaujamās vērtības, novērtēšanas matrica);
(2) kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu;
(3) kiberrisku mazināšanas pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku mazināšanai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
(4) rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.

Tāpat subjekts var iekļaut kiberrisku pārvaldības un IKT darbības nepātrauktības plānā subjektam saistošajos normatīvajos aktos noteikto regulāro darbību uzskaitījumu kiberrisku mazināšanai, atbildīgos par darbību īstenošanu un kontroli, kā arī šo darbību īstenošanas termiņus vai to periodiskumu, kā arī subjekta tehniskā personāla apmācību un mācību plānu darbības nepārtrauktības nodrošināšanai nozīmīga kiberincidenta vai krīzes gadījumā. Nosakot kiberrisku pārvaldības un darbības nepārtrauktības plāna pārskatīšanas un aktualizēšanas periodu, subjekts ņem vērā subjekta tīklu un informācijas sistēmu īpatnības un aktuālos kiberriskus. Izvērtējumu par plāna pārskatīšanas un aktualizēšanas periodu subjekts var iekļaut kiberdrošības politikā.

Noteikumu projekts paredz, ka subjekts, plānojot kiberrisku mazināšanas pasākumus:
(1) apzina savā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu un informācijas resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
(2) paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);
(3) A kategorijas informācijas sistēmām iespēju robežās nodrošina autonomas jeb no interneta piekļuves pakalpojuma sniedzēja neatkarīgas IP adreses vai adrešu apgabalus.

Noteikumu projekts paredz, ka subjekta vadītājs nozīmē atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu. Savukārt subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes kontroli. Noteikumu projekts nosaka subjekta vadītājam par pienākumu nodrošināt, ka kiberdrošības pārvaldniekam un citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai (piemēram, tiesības piekļūt informācijas sistēmas tehniskajiem resursiem).

Kiberincidentu žurnāls
Lai nodrošinātu efektīvu un atbilstošu reaģēšanu uz kiberincidentiem, ir svarīgi nodrošināt kiberincidentu uzskaiti. Tādēļ noteikumu projekts paredz, ka subjekts izstrādā un uztur kiberincidentu žurnālu, kurā iekļauj informāciju par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Kiberincidentu žurnālā norāda šādu informāciju:
(1) kiberincidenta konstatēšanas datums un laiks, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
(2) kiberincidenta veidu atbilstoši Noteikumu projekta pielikumā ietvertajai tipoloģijai;
(3) kiberincidenta vispārīgo aprakstu;
(4) kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
(5) kiberincidenta ietekmes novērtējumu;
(6) atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
(7) atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
(8) aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts");

Subjekts var veidot kiberincidentu žurnālu atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu lietojumprogrammu vai citu tehnoloģisku risinājumu. Noteikumu projekts paredz, ka subjekts bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā.

Noteikumu projekts paredz šādu kiberincidentu tipoloģiju, kas veidota atbilstoši Eiropas Savienības kiberincidentu novēršanas institūciju tīkla izstrādātajai "eCSIRT.net" taksonomijai, kuras izmantošanu ir atbalstījusi Eiropas Savienības Kiberdrošības aģentūras (ENISA) darba grupa kiberincidentu taksonomijas jautājumos (skat. darba grupas ziņojumu https://www.enisa.europa.eu/sites/default/files/publications/WP2017%20O-3-1-1%20Good%20practice%20guide%20on%20how%20to%20improve%20CSIRT%20capabilities.pdf):
Kods 01 – Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs);
Kods 02 – Ļaundabīgs kods;
Kods 03 – Informācijas vākšana;
Kods 04 – Ielaušanās mēģinājums;
Kods 05 – Ielaušanās;
Kods 06 – Pieejamības traucējums;
Kods 07 – Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana);
Kods 08 – Krāpniecība;
Kods 09 – Ievainojamība;
Kods 10 – Cits kiberincidenta veids;
Kods 99 – Pārbaude (mācības).

Lietotāju un piekļuves tiesību pārvaldība
Lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi, Noteikumu projekts paredz, ka subjekts nodrošina lietotāju piekļuves tiesību pārvaldību. Noteikumu projekts paredz, ka subjekts katrai tā īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu kategorijai identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam, nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas drošības klasi, un piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā.

Atšķirībā no Ministru kabineta 2015. gada 28. jūlija noteikumiem Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", Noteikumu projekts nenosaka prasības izmantot konkrētas autentifikācijas metodes vai šo autentifikācijas metožu drošības līmeni (tostarp, piemēram, paroļu garumu). Taču Noteikumu projekts paredz, ka subjektam ir pienākums nodrošināt, ka lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Noteikumu projekts paredz obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu vismaz, lai piekļūtu:
(1) A kategorijas informācijas sistēmas kontam;
(2) B kategorijas informācijas sistēmas administratora lietotāja kontam;
(3) B kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai.

Tāpat noteikumu projekts nosaka prasības attiecībā uz atsevišķu kontu veidu izmantošanu. Noteikumu projekts paredz, ka subjekts nodrošina, ka sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu, un informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus. Tāpat subjekts nodrošina, ka standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai, bet administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu.

Subjektam ir pienākums nodrošināt, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus. Noteikumu projekts paredz, ka subjektam ir pienākums informēt visus reģistrētus informācijas sistēmas lietotājus par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas, kā arī nodrošināt, ka informācijas sistēmas lietošanas noteikumi ir pieejami reģistrētiem informācijas sistēmas lietotājiem visā informācijas sistēmas lietošanas laikā. Šāda prasība ir attiecināma gan uz iekšējiem informācijas sistēmas lietotājiem (piemēram, subjekta nodarbinātajiem), gan uz ārējiem reģistrētajiem informācijas sistēmas lietotājiem (piemēram, Latvija.lv lietotājiem). Subjekts var nodrošināt, piemēram, Modal tipa uzlecošu logu ar informācijas sistēmas lietošanas noteikumiem un pogu "Iepazinos un piekrītu lietošanas noteikumiem", kas katram lietotājam obligāti jānospiež, lai varētu veikt turpmākās darbības informācijas sistēmā.

Noteikumu projekts paredz, ka subjektam jānodrošina kiberdrošības pārvaldniekam tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ, kā arī tiesības:
(1) nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
(2) pārbaudīt un analizēt žurnālfailu ierakstus par lietotāju veiktajām darbībām;
(3) kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā apturēt saistītos lietotāju kontus un atcelt tiem piešķirtās piekļuves tiesības;
(4) pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu.

Žurnālfailu pārvaldība
Noteikumu projekts paredz, ka subjekts nodrošina informācijas sistēmu žurnālfailu un tīkla plūsmas žurnālfailu veidošanu un uzglabāšanu.

Noteikumu projekts paredz, ka informācijas sistēmu žurnālfailos tiek ietverta informācija par konkrētiem informācijas sistēmas notikumiem, tostarp informācijas sistēmas ieslēgšanu un izslēgšanu, kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām, kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem, datu pievienošanu, izmaiņām un dzēšanu, tehnisko resursu konfigurāciju izmaiņām, kā arī informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par iespējamo kiberincidentu vai citu apdraudējumu (piemēram, tehnoloģisku avāriju) informācijas sistēmas vai informācijas resursa drošībai. Informācijas sistēmas žurnālfailos tiek fiksēts katra šāda IKT notikuma laiks, kas sinhronizēts ar augstas precizitātes (vismaz STRATUM 2 līmeņa) tīkla laika protokola (NTP) serveri (piemēram, kiberincidentu novēršanas institūcijas NTP serveri https://cert.lv/lv/2017/07/ntp-laika-serveris), IP adrese, no kuras veikta darbība, darbības apraksts, kā arī informācija par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).

Savukārt tīkla plūsmas žurnālfailos tiek ietverta informācija par datu pakešu nosūtīšanas un saņemšanas notikumiem. Tīkla žurnālfailos tiek fiksēts katras datu paketes nosūtīšanas vai saņemšanas datums un laiks,  kas sinhronizēts ar augstas precizitātes NTP serveri, datu paketes nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses, avota un galamērķa izmantotie tīkla porti, kas norāda, kādi pakalpojumi vai lietojumprogrammas bija iesaistītas datu pārsūtīšanā (piemēram, HTTP, HTTPS, FTP), avota unikālais identifikators (MAC adrese), izmantotais tīkla protokols (piemēram, TCP, UDP), pārsūtīto (pārraidīto) datu apjoms, datu pārsūtīšanas sesijas ilgums, kā arī interneta plūsmas veids (piemēram, datu plūsma no iekšējā tīkla vai no ārējiem avotiem).

Noteikumu projekts paredz, ka žurnālfailu uzglabāšanas laiks ir:
(1) A klases informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 18 mēnešus pēc ieraksta izdarīšanas;
(2) B klases informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 12 mēnešus pēc ieraksta izdarīšanas;
(3) C klases informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 6 mēnešus pēc ieraksta izdarīšanas.

Šāds uzglabāšanas laiks atbilst kiberincidentu novēršanas institūcijas līdzšinējai praksei ir nepieciešams, lai nodrošinātu kiberincidentu izmeklēšanu, ņemot vērā informācijas sistēmu un tīklu sarežģītību. Jāatzīmē, ka tādas informācijas sistēmas, kurām saskaņā ar šiem noteikumiem tiks noteikta A klase, pēc savas uzbūves ir komplicētas, un kiberincidenta iemeslu (root cause) atrašanai un izmeklēšanai varētu būt nepieciešams vidēji 1–1,5 gads. Tāpat jāatzīmē, ka slēptā veidā īstenoto kiberuzbrukumu gadījumā subjektam var nebūt tūlītējas informācijas par kiberincidentu, un minētais fakts var atklāties tikai vēlāk, piemēram, pēc vairākiem mēnešiem analizējot žurnālfailus vai veicot plašāku kiberdraudu medību (cyber threat hunt) operāciju IKT infrastruktūrā.

Noteikumu projekts paredz, ka žurnālfailu pierakstus veido mašīnlasāmā formātā. Pārvaldot žurnālfailus, subjektam ir pienākums īstenot drošības pasākumus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi. Noteikumu projekts paredz, ka subjekts nodrošina žurnālfailu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu, īstenojot atbilstošus drošības pasākumus. Noteikumu projekts nosaka par pienākumu subjektam iekšējos normatīvajos aktos noteikt žurnālfailu pārvaldības kārtību, tostarp žurnālfailu ierakstu analīzes, pārbaužu kārtību un regularitāti, atbildīgos par žurnālfailu pārvaldību, kā arī žurnālfailu aizsardzības prasības.

Rezerves kopiju pārvaldība
Noteikumi nosaka par pienākumu subjektam iekšējos normatīvajos aktos noteikt rezerves kopiju veidošanas, glabāšanas, pārbaudes un dzēšanas prasības un kārtību, tostarp kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, kā arī nozīmēt par rezerves kopiju veidošanu, glabāšanu un pārbaudi un dzēšanu atbildīgās personas. Noteikumu projekts paredz, ka subjekts katrai tā īpašumā un valdījumā esošajai informācijas sistēmai veido rezerves kopijas, nodrošinot, ka ir pieejamas vismaz:
(1) informācijas resursu rezerves kopijas;
(2) tehnisko resursu konfigurāciju rezerves kopijas;
(3) žurnālfailu rezerves kopijas.

Subjekts var noteikt stingrākas prasības informācijas sistēmu vai atsevišķu tajās apstrādāto informācijas resursu rezerves kopiju veidošanai, glabāšanai, pārbaudei un dzēšanai, nekā noteikts šajā noteikumu projektā. Noteikumu projekts paredz, ka subjekts, veidojot rezerves kopijas, nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes. Tāpat noteikumu projekts paredz, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija:
(1) A klases informācijas sistēmai – iepriekšējā dienā, pirms nedēļas (7-31 diena), pirms mēneša (30-365 dienas), iepriekšējā gadā (vecāku par 365 dienām);
(2) B klases informācijas sistēmai – pēdējās nedēļas laikā (1-7 dienas), pirms nedēļas (7-31 diena), pirms mēneša (30-365 dienas), iepriekšējā gadā (vecāku par 365 dienām);
(3) C klases informācijas sistēmai - pirms pēdējām nozīmīgām izmaiņām informācijas sistēmā (piemēram, pirms migrācijas uz citu tehnoloģisku platformu), bet ne senāk kā pirms sešiem mēnešiem.
Prasības rezerves kopiju veidošanai iekļauj RPO (Recovery point objective, jeb atgūšanās laika mērķis) informācijas atgūšanai nepieciešamības gadījumā. Minētās prasības veidotas, lai subjekti varētu tās izpildīt izmantojot savu informācijas sistēmu pilnās un ikrementālās rezerves kopijas vai arī to kombinācijas, īstenojot iekļautos RPO.

Noteikumu projekts paredz, ka subjekts nodrošina, ka katrai rezerves kopijas informācijas sistēmas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:
(1) informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
(2) informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas, ja tiek izmantotas atvērtā koda bibliotēkas;
(3) informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas.

Tāpat Noteikumu projekts paredz, ka par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts žurnālfailos, un, ka kiberdrošības pārvaldnieks un citas par rezerves kopijām atbildīgās personas tiek nekavējoties brīdinātas, ja kārtējā rezerves kopijas izveide nav izdevusies. Noteikumu projekts paredz, ka, uzglabājot rezerves kopijas, subjekts nodrošina, ka rezerves kopijas tiek uzglabātas atbilstoši rezerves kopijās glabātās informācijas klasifikācijas līmenim, ievērojot normatīvo aktu prasības par informācijas aizsardzību, un tām var piekļūt (gan fiziski, gan elektroniskajā vidē) var tikai kiberdrošības pārvaldnieks un citas personas, kas atbildīgas par rezerves kopijām. Noteikumu projekts paredz, ka subjekta kiberdrošības pārvaldnieks ir tiesīgs veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam.

Lai nodrošinātu A kategorijas informācijas sistēmas rezerves kopiju satura integritāti, Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma, kas tiek pārbaudīta pēc rezerves kopijas pārvietošanas citā datu nesējā. Tāpat Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai vismaz viena žurnālfailu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), funkcionāli atdalītās telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.


Apmācības
Noteikumu projekts paredz, ka subjekts organizē tā nodarbināto un amatpersonu (turpmāk - nodarbināto) apmācību kiberdrošības jautājumos, iekšējos normatīvajos aktos nosakot apmācību plānošanas un organizēšanas kārtību, kā arī kārtību, kādā novērtē apmācību efektivitāti (nodarbināto zināšanu un izpratnes līmeni). Noteikumu projekts paredz, ka subjekts, organizējot apmācības, izvēlas tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Subjekts obligāti organizē vismaz šādas apmācības:
(1) visu subjekta nodarbināto instruktāžas, tostarp sākotnējās instruktāžas, kuras veic ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža, kārtējās instruktāžas, kuras veic vismaz reizi kalendārajā gada, un ārkārtas instruktāžas, ko organizē pēc pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
(2) subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai

Noteikumu projekts paredz, ka instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tam ir pienākums informēt kiberdrošības pārvaldnieku un vienoties par instruktāžu citā piemērotā laikā un formātā. Noteikumu projekts paredz, ka kiberdrošības pārvaldniekam ir tiesības apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža. Instruktāžas saturu nosaka subjekts atbilstoši subjekta darbības specifikai. Instruktāža var iekļaut, piemēram, šādus tematus:
(1) valsts kiberdrošības pārvaldības sistēma, atbildīgo institūciju uzdevumi;
(2) subjekta kiberdrošības pārvaldības struktūra, atbildīgo amatpersonu un struktūrvienību funkcijas un pienākumi kiberdrošības jomā;
(3) nodarbinātajiem saistošie normatīvie akti kiberdrošības jomā;
(4) nodarbināto darba (dienesta) pienākumu izpildei izmantojamie resursi, to lietošanas un uzturēšanas kārtība, IKT un fiziskās vides drošības pasākumi;
(5) ja attiecināms, ārējo pakalpojumu sniedzēju uzturēto tīklu, informācijas sistēmu un resursu izmantošanas kārtība;
(6) darbstacijas drošība;
(7) programmatūras izmantošanas kārtība;
(8) drošas autentifikācijas metodes un droša paroļu pārvaldība;
(9) interneta lietošanas kārtība;
(10) bezvadu (WiFi) tīklu droša izmantošana;
(11) e-pasta droša lietošana;
(12) savienoto ierīču (lietu internets) drošība;
(13) mobilo iekārtu un citu viedierīču drošība;
(14) informācijas aizsardzības prasības;
(15) izplatītākie kiberuzbrukumu veidi;
(16) rīcība kiberincidenta gadījumā (gan subjektā, gan ārpus tā);
(17) IKT notikumu (kiberincidenti, aizdomas par kiberincidentu, anomālijas, tehniskās problēmas) pieteikšanas un pieteikumu apstrādes kārtība;
(18) sociālās inženierijas uzbrukumu veidu (piemēram, pikšķerēšana, smikšķerēšana, kvikšķerēšana) atpazīšanas metodes un ieteicamā rīcība šādu uzbrukumu gadījumā;
(19) interneta resursu izmantošana un tajā publicējamā informācija (par subjektu un pašu nodarbināto), sociālo mediju platformu droša lietošana;
(20) medijpratība, tai skaitā mākslīgā intelekta ietekme un informācijas vides drošību;
(21) kiberhigiēnas zināšanu un prasmju pilnveides un apmācību iespējas.

Noteikumu projekts paredz, ka IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs samazināt apmācību periodiskumu (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu), ņemot vērā aktuālo kiberapdraudējuma līmeni un subjekta darbības specifiku. IKT personāla apmācību saturu nosaka subjekts, ņemot vērā subjekta darbības un IKT infrastruktūras specifiku. IKT personāla apmācības var ietvert, piemēram, šādus tematus:
(1) ārējie normatīvie akti, kas regulē subjekta kiberdrošību (tostarp Nacionālais kiberdrošības likums un šie noteikumi);
(2) subjekta iekšējie normatīvie akti kiberdrošības jomā, kiberdrošības pārvaldības dokumentācijas kopums;
(3) subjekta kiberdrošības politika;
(4) resursu klasifikācijas un uzskaites pamatprincipi, subjekta IKT resursu un informācijas sistēmu katalogs;
(5) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
lietotāju piekļuves tiesību pārvaldība un nulles uzticēšanās (zero trust) modelis;
(6) tīkla segmentācija un konfigurēšana;
(7) tehnisko resursu administrēšana un pārvaldība;
(8) žurnālfailu pārvaldība;
(9) šifrēšanas prasības;
(10) rezerves kopiju pārvaldība;
(11) ielaušanās testi un drošības skenēšana;
(12) ārpakalpojumu un piegādes ķēžu drošība;
(13) kiberincidentu veidi un kiberincidentu nozīmīguma kritēriji;
(14) rīcība kiberincidenta vai ievainojamības konstatēšanas gadījumā;
(15) kiberincidentu ziņošanas kārtība;
(16) kiberincidentu un ievainojamību žurnāla veidošanas pamatprincipi;
(17) rīcība nozīmīga kiberincidenta vai kiberdrošības krīzes gadījumā, darbības nepārtrauktības procedūras;
(18) sadarbība ar kiberincidentu novēršanas institūcijām, uzraugošajām iestādēm un sadarbības partneriem;
(19) IKT personāla profesionālās kvalifikācijas pilnveides un apmācību iespējas.

Noteikumu projekts paredz, ka subjekts uzskaita organizētās apmācības. Šim nolūkam subjekts var izveidot un uzturēt apmācību žurnālu, tajā iekļaujot, piemēram, šādu informāciju:
(1) apmācības datums un veids (piemēram, sākotnējā, kārtējā vai ārkārtas instruktāža vai IKT personāla apmācība);
(2) apmācības tēma;
(3) par apmācību atbildīgās personas identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs);
(4) apmācāmo nodarbināto identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs).

Šifrēšanas prasības
Noteikumu projekts paredz augstākas kiberdrošības prasības būtisko pakalpojumu sniedzējiem. Viena no šādām prasībām ir saistīta ar šifrēšanas risinājumu izmantošanu, lai nodrošinātu informācijas resursu konfidencialitāti. Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs, ja vien tas ir tehniski iespējams, pielieto šifrēšanas risinājumus vismaz:
(1) A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei (in-transit) publiskajā vidē un iekšējos IKT infrastruktūras bezvadu tīklos;
(2) A konfidencialitātes klases informācijas resursu glabāšanai (at-rest).

Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju izstrādās un publicēs savā mājaslapā internetā vadlīnijas šifrēšanas risinājumu izmantošanai. Šifrēšanas vadlīnijas tiks pārskatītas vismaz reizi gadā un nepieciešamības gadījumā aktualizētas. Savukārt būtisko pakalpojumu sniedzējam būs pienākums savos iekšējos normatīvajos aktos noteikt:
(1) minimālo pieļaujamo kriptogrāfijas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni un Nacionālā kiberdrošības centra šifrēšanas vadlīniju aktuālos ieteikumus;
(2) šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
(3) prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.

Prasības publiskajiem elektronisko sakaru tīkliem
Ņemot vērā, ka elektronisko sakaru komersanti saskaņā ar Nacionālo kiberdrošības likumu ir būtisko pakalpojumu sniedzēji, Noteikumu projekts nosaka papildu drošības prasības publiskajiem elektronisko sakaru tīkliem, pārstrādājot jau šobrīd spēkā esošās prasības, kas noteiktas Ministru kabineta 2023. gada 28. februāra noteikumos Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības", lai izvairītos no tiesību normu pārklāšanās un atvieglotu administratīvo slogu publisko elektronisko sakaru tīklu īpašniekiem un tiesiskajiem valdītājiem.

Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šī Noteikumu projekta pielikumu, nepieciešamības gadījumā identificējot kā kritiskas arī citas tīkla daļas, un iesniedz Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem. Saskaņā ar Noteikumu projektu publiskā elektronisko sakaru tīkla īpašniekam vai tiesiskajam valdītājam ir pienākums informēt Satversmes aizsardzības biroju par izmaiņām šajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas. Publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs var neinformēt Satversmes aizsardzības biroju par izmaiņām sarakstā, ja iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošā iekārta, tiek uzstādīti esošās programmatūras atjauninājumi vai tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām.

Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs savā kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai. Noteikumu projekts aizliedz publiskā elektronisko sakaru tīkla kritiskajās daļās izmantot tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai. Noteikumu projekts nosaka konkrētus kritērijus, kurus Satversmes aizsardzības birojs vērtē, sagatavojot minēto atzinumu. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs uzrauga šajā Noteikumu projektā publiskajiem elektronisko sakaru tīkliem noteikto drošības prasību piemērošanu, izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību, kā arī nepieciešamības gadījumā var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai.

Ārpakalpojumu prasības
Noteikumu projekts nosaka vispārīgās un īpašās ārpakalpojumu prasības. Noteikumu projekta ietvaros attiecībā uz visiem Nacionālās kiberdrošības likuma subjektiem ir noteikts aizliegums slēgt ārpakalpojuma līgumu par IKT resursa vai pakalpojuma iegādi, ja ārpakalpojuma sniedzējs ir juridiska persona, kas reģistrēta Krievijas Federācijā, Baltkrievijas Republikā vai valstī, kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti, kā arī ja ārpakalpojuma sniedzējs, tā dalībnieks, kapitāla daļu īpašnieks vai patiesais labuma guvējs ir šo valstu pilsonis; ārpakalpojuma sniegšanā ir iesaistīts šo valstu pilsonis vai iegādājamā IKT resursa ražotājs ir šajās valstīs reģistrēta juridiska persona vai šo valstu pilsonis.

Ņemot vērā pastāvošo ģeopolitisko situāciju un Latvijas Republikai tuvumā notiekošo karadarbību, kuru īsteno Krievijas Federācija, ir nepieciešams nodrošināt pašaizsargājošās demokrātijas principa īstenošanu, kas paredz veikt preventīvus pasākumus, lai garantētu demokrātiskās sistēmas stabilitāti un efektivitāti. Eiropas Cilvēktiesību tiesa ir atzinusi, ka valstij ir tiesības veikt īpašus pašaizsardzības pasākumus, lai nodrošinātu demokrātiskās sistēmas stabilitāti un efektivitāti. Demokrātija balstās uz kompromisu, kas no indivīdiem prasa  dažādas  piekāpšanās, un  viņiem  reizēm  ir  jābūt  gataviem ierobežot dažas no savām brīvībām, lai nodrošinātu lielāku visas valsts stabilitāti (skat. Eiropas Cilvēktiesību tiesas Lielās palātas 2006.gada 16.marta sprieduma lietā, pieteikums Nr.58278/00, 100.punktu).

Nav pieļaujama tāda ārpakalpojuma sniedzēja vai attiecīgu personu piesaiste, kas varētu būt tieši saistītas ar valstīm, kuru darbības ir vērstas pret citu valstu suverēnajām tiesībām un teritoriālo integritāti.

Noteikumu projekts nosaka subjektam par pienākumu pirms ārpakalpojuma iegādes apzināt un novērtēt ar ārpakalpojuma iegādi saistītos riskus, tostarp piegādes ķēdes drošības riskus, un noteikt ārpakalpojuma kvalitātes, drošības un pieejamības prasības minēto risku mazināšanai, kā arī ārpakalpojuma izbeigšanas stratēģiju. Noteikumu projekts nosaka, ka subjekts, iegādājoties ārpakalpojumus, paredz ārpakalpojuma aprakstu un precīzas precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti, norādes uz Nacionālās kiberdrošības likumā un šajā noteikumu projektā noteiktajām prasībām un subjekta un ārpakalpojuma sniedzēja tiesības un pienākumus, tostarp subjekta tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti, un tiesības saņemt pakalpojuma uzraudzībai nepieciešamo informāciju, tai skaitā žurnālfailus, ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot subjektam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības, ārpakalpojuma sniedzēja pienākumu informēt subjektu par ārpakalpojuma sniedzēja apakšuzņēmējiem un to atbilstību šajā noteikumu projektā un ārpakalpojuma līgumā noteiktajām prasībām, kā arī konfidencialitātes saistības. Tāpat, iegādājoties ārpakalpojumus, subjekts paredz tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras subjekts ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam, un piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu ārpakalpojuma sniedzējam pēc līguma termiņa beigām pēc subjekta izvēles dzēst ārpakalpojuma sniedzēja rīcībā nonākušos datus vai tos atdot subjektam, dzēšot visas esošās kopijas, izņemot, ja līgums tiek pagarināts. Šādas minimālās kiberdrošības prasības attiecībā uz ārpakalpojumiem ir paredzētas, lai pārvaldītu tādus drošības riskus subjektu IKT infrastruktūrai, kurus varētu radīt nekvalitatīvu vai normatīvo aktu prasībām neatbilstošu ārpakalpojumu saņemšana.

Tāpat noteikumu projekts nosaka, ka slēdzot ārpakalpojuma līgumu par jaunas informācijas sistēmas izstrādi vai esošās informācijas sistēmas izmaiņām, subjekts nosaka informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu un paredz iespēju šajā laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma jaunākām versijām. Šāda prasība ir nepieciešama, jo nepieciešamo programmatūras atjauninājumu nepieejamība informācijas sistēmas ekspluatēšanas laikā radītu būtiskus drošības riskus (piemēram, neļautu novērst ievainojamības, par kurām ir publiski zināms, un kuras kibernoziedznieki varētu izmantot kiberuzbrukumu veikšanai).

Ja ārpakalpojuma sniegšanai tiek piesaistīti apakšuzņēmēji, tad ārpakalpojuma sniedzēja pienākums ir nodrošināt, ka apakšuzņēmējs ievēro un atbilst visām prasībām, kas noteiktas ārpakalpojuma sniedzējam. Subjekts un ārpakalpojuma sniedzējs ir atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību un atbilstību šajā nodaļā noteiktajām prasībām. Tāpat noteikumu projekts paredz, ka ārpakalpojuma sniedzējs pirms līguma izpildes uzsākšanas par informācijas sistēmas izstrādi, esošās informācijas sistēmas izmaiņām, informācijas sistēmas uzturēšanu vai IKT resursu apkopi iesniedz subjektam ārpakalpojuma izpildē iesaistīto fizisko personu sarakstu ar skaidrojumu attiecīgās fiziskās personas iesaistei ārpakalpojuma līguma izpildē. Tas ir nepieciešams, lai pārvaldītu drošības riskus, ko radītu nepiederošu personu piekļūšana IKT infrastruktūrai (piemēram, datu zādzības vai spiegošanas riski). Noteikumu projekts nosaka subjektam par pienākumu subjektam noteikt atbildīgo personu par ārpakalpojuma līguma izpildes uzraudzību, kā arī pirms ārpakalpojuma līguma slēgšanas to saskaņot ar subjekta kiberdrošības pārvaldnieku.

Īpašās ārpakalpojumu prasības IKT kritiskajai infrastruktūrai
IKT kritiskās infrastruktūras kibernoturība ir tieši saistīta ar sabiedrībai kritisku pakalpojumu nodrošināšanu, kuru darbības traucējumi radītu būtisku kaitējumu un pat apdraudējumu valsts un sabiedrības interesēm. Līdz ar to, IKT kritiskās infrastruktūras kibernoturība ir daļa no valsts nacionālās drošības interesēm. Atbilstoši Nacionālās drošības likuma 1. pantam nacionālās drošības garantēšana ir valsts pamatpienākums.
Ņemot vērā, ka ārpakalpojuma ietvaros, gan sniedzot attiecīgus pakalpojumus, gan veicot noteiktu tehnisko resursu piegādi, ārpakalpojuma sniedzējam var tikt nodrošināta piekļuve IKT kritiskai infrastruktūrai IKT kritiskās infrastruktūras kibernoturība ir nesaraujami saistīta ar drošības prasību noteikšanu ārpakalpojumu sniedzēju piesaistei.
Ievērojot NIS2 direktīvas prasības, kā arī Nacionālās kiberdrošības likuma anotācijā ietverto likumdevēja mērķi Noteikumu projektā paredzēt prasības ārpakalpojuma piesaistei, Nacionālās kiberdrošības likuma 24. panta otrajā daļā Ministru kabinetam ir ietverts deleģējums noteikt IKT kritiskās infrastruktūras drošības prasības un to pasākumus, kas paredz noteikt kārtību un prasības ārpakalpojuma piesaistei IKT kritiskajā infrastruktūrā.

Noteikuma projekta ietveros ir diferencēta kārtība attiecībā uz ārpakalpojuma sniedzēja piesaisti pakalpojuma sniegšanai saistībā ar IKT kritiskās infrastruktūras A klases informācijas sistēmu un piesaisti IKT kritiskās infrastruktūras A klases informācijas sistēmu tehnisko resursu iegādei. Pirmajā gadījumā, ņemot vērā, ka pakalpojumu sniegšana var būt ilglaicīgs process ar potenciāli padziļinātāku piekļuvi IKT kritiskās infrastruktūras A klases informācijas sistēmai, pirms jebkura šāda veida ārpakalpojuma līguma noslēgšanas ir jāsaņem Satversmes aizsardzības biroja atzinums, izņemot, ja ārpakalpojuma sniedzēja kapitāldaļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona.
Saistībā ar IKT kritiskās infrastruktūras A klases informācijas sistēmas tehnisko resursu iegādi, ir noteikti ārpakalpojuma sniedzēja atbilstības kritēriji, kuriem izpildoties, nav jāsaņem Satversmes aizsardzības biroja atzinums pirms ārpakalpojuma līguma noslēgšanas. Atbilstības kritēriji paredz, ka atzinums nav jāsaņem, ja ārpakalpojuma sniedzējs un tehniskā resursa ražotājs ir juridiska persona, kas reģistrēta NATO, Eiropas Savienības, EBTA vai IP4 valstī; tās valde un padome sastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības, EBTA vai IP4 valstu pilsoņi; tās patiesais labuma guvējs ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsonis (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patiesā labuma guvēju ir iespējams noskaidrot); tās dalībnieki un kapitāla daļu īpašnieki (turētāji) ir juridiskas personas, kuras ir reģistrētas NATO, Eiropas Savienības, EBTA vai IP4 valstī, vai fiziskas personas, kuras ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsoņi; vai ārpakalpojuma sniedzējs ir fiziska persona, kura ir NATO, Eiropas Savienības, EBTA vai IP4 valsts pilsonis.
Ņemot vērā, ka Satversmes aizsardzības biroja atzinums nav nepieciešams, ja ārpakalpojuma sniedzējs atbilst iepriekš norādītājiem kritērijiem, Noteikumu projekta mērķis ir paredzēt, ka tādā gadījumā ārpakalpojuma līgumu par tehnisko resursu iegādi saistībā ar IKT kritiskās infrastruktūras informācijas sistēmu sniedz tāds ārpakalpojuma sniedzējs un tiek iesaistītas tādas personas, kuru demokrātiskās, cilvēka pamattiesību un tiesiskuma kopējās vērtības ir līdzvērtīgas Latvijas Republikas kā valsts kopējām vērtībām. 

NATO un Indijas un Klusā okeāna sadarbības valstu - Austrālija, Japāna, Jaunzēlande un Korejas Republika (IP4 valstis) sadarbība tiek veidota, pamatojoties uz politiskām vienošanām un partnerattiecību deklarācijām, nevis uz juridiski saistošiem līgumiem. Šīs valstis ir pazīstamas kā “IP4” (Indo-Pacific Four), un to sadarbība ar NATO ir vērsta uz kopīgu drošības interešu veicināšanu un globālās stabilitātes stiprināšanu.
Lai gan nav konkrētu juridisku dokumentu, kas formāli nostiprinātu šo sadarbību, tā izpaužas caur regulārām konsultācijām, kopīgām mācībām un informācijas apmaiņu. Šāda veida sadarbība tiek īstenota, balstoties uz savstarpēju sapratni un kopīgām interesēm, nevis uz formāliem juridiskiem līgumiem.
Nacionālās drošības koncepcijā un Valsts aizsardzības koncepcijā, ir uzsvērta nepieciešamība pēc starptautiskās sadarbības aizsardzības jomā, īpaši ar NATO dalībvalstīm un partneriem.

Vērtējot iespējamo ārpakalpojuma sniedzēju tiesību ierobežojumu veikt saimniecisko darbību, ir jāņem vērā, ka IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs ir īpašā valsts aizsardzībā esoša subjektu kategorija, kuru sniegtie pakalpojumi ir kritiski valsts funkciju īstenošanai un sabiedrības interesēm, līdz ar to šo subjektu aizsardzība ir valsts pienākums un leģitīma interese.  
Lai mazinātu iespējamo ietekmi uz ārpakalpojuma sniedzēja kā privātpersonas tiesībām uz īpašumu un tiesībām nodarboties ar saimniecisko darbību, pirmkārt, Noteikumu projekta ietvaros izstrādātais mehānisms un ārpakalpojuma sniedzēja pārbaude ir attiecināta tikai uz tiem pakalpojumiem un tehniskā resursa iegādēm, kas saistītas ar IKT kritiskās infrastruktūras A klases informācijas sistēmām, kas pēc būtības nodrošina IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja funkcionēšanu un tā sniegto pakalpojumu pieejamību.
Otrkārt, ir būtiski norādīt, ka Noteikumu projekta 94. punktā noteiktie kritēriji pēc būtības nav ar absolūtu diskvalificējošu raksturu un ārpakalpojuma sniedzēja neatbilstības gadījumā ir iespēja saņemt Satversmes aizsardzības biroja pozitīvu atzinumu un noslēgt līgumu ar attiecīgo ārpakalpojuma sniedzēju.
Izskatot iespēju noteikt saudzējošākus privātpersonu tiesību ierobežojošus līdzekļus, piemēram, ņemt vērā tikai tehniskajam resursam izsniegtos drošības sertifikātus (CE marķējums, ENISA kiberdrošības shēmas), ir jānorāda, ka Noteikumu projektā ietvertās prasības ārpakalpojuma sniedzējiem ir noteiktas ar mērķi aizsargāt nacionālo drošību. Attiecīgi šāda mērķa izvirzīšana pārsniedz tehniskās atbilstības prasības, kas izriet no sertifikācijas procesa. Tādejādi Eiropas Savienības sertifikācija var kalpot kā pamata drošības garantija, taču tā nav pietiekama IKT kritiskās infrastruktūras aizsardzības kontekstā.
Eiropas Savienības mērogā piemērojamie drošības sertifikāti apliecina, ka produkts atbilst noteiktiem tehniskiem drošības kritērijiem, tomēr nesniedz izvērtējumu par piegādātāja uzticamību, valsts saistībām vai iespējamu ārvalstu kontroles risku. Savukārt Noteikumu projekta 94. punktā uzsvars ir uz ārvalstu ietekmes riska izvērtējumu, ilgtermiņa nacionālās drošības interešu aizsardzību, kā arī ārpakalpojumu uzticamību.
Līdz ar to, ir secināms, ka Noteikumu projekta ietvaros ieviestās drošības prasības ārpakalpojuma sniedzēja piesaistei, jo īpaši paredzot Satversmes aizsardzības birojam iespēju veikt attiecīgā ārpakalpojuma sniedzēja individuālu izvērtējumu, ir vērtējamas kā iespējami saudzējošākās, lai vienlaicīgi sasniegtu identificēto mērķi, t.i., IKT kritiskajai infrastruktūrai piesaistīt tādu ārpakalpojuma sniedzēju, kas nerada apdraudējumu IKT kritiskās infrastruktūras funkciju nodrošināšanai un sniegto pakalpojumu pieejamībai, tādējādi aizsargājot nacionālo drošību, kas ir valsts pamatpienākums un līdz ar to arī leģitīma interese.

Noteikumu projekts paredz, ka Satversmes aizsardzības birojs, sagatavojot atzinumu, var ņemt vērā šādu informāciju par ārpakalpojuma sniedzēju un ar to saistītajām personām:
a) par juridisku personu:
(1) juridiskās personas reģistrācijas valsti,
(2) juridiskās personas valdes locekļu, dalībnieku, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju izcelsmes valsti,
(3) informāciju par juridiskās personas darbības laikā konstatētajiem un ar to saistītajiem kiberincidentiem,
(4) informāciju par juridiskās personas, tās valdes locekļu, dalībnieku, kapitāla daļu īpašnieku (turētāju), patieso labuma guvēju un netiešās ietekmes guvēju komercdarbības veikšanu Krievijas Federācijā vai Baltkrievijas Republikā, vai dalību biedrībās, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku,
(5) citu Satversmes aizsardzības biroja rīcībā esošu negatīvu informāciju;

b) par fizisku personu:
(1) pilsonību;
(2) sodāmību;
(3) piederību vai atbalsta sniegšanu aizliegtām organizācijām;
(4) informāciju, kas liecina, ka fiziskā persona varētu būt pakļauta tādai ārvalstu, organizāciju vai citu personu ietekmei, kas var radīt apdraudējumu nacionālās drošības interesēm;
(5) informāciju par fiziskās personas veikto saimniecisko darbību Krievijas Federācijā vai Baltkrievijas Republikā, vai dalību biedrības, nodibinājumos vai citās juridiskās personās, kuru darbība ir saistīta ar Krievijas Federāciju vai Baltkrievijas Republiku;
(6) pēdējo piecu gadu laikā diagnosticētus psihiskus traucējumus vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarību;
(7) citu Satversmes aizsardzības biroja rīcībā esošu negatīvu informāciju.

Noteikumu projekts paredz, ka minētā Satversmes aizsardzības biroja atzinuma saņemšana ir attiecināma ne tikai uz pašu ārpakalpojuma sniedzēju, bet arī uz tā piesaistītajiem apakšuzņēmējiem. Noteikumu projekts nosaka par pienākumu IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam, slēdzot vispārīgo vienošanos, ietvert atsauci attiecīgi uz minētajiem ierobežojumiem, kas piemērojami vispārīgās vienošanās ietvaros slēdzot ārpakalpojuma līgumus. Tāpat noteikumu projekts nosaka par pienākumu IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam nekavējoties, bet ne vēlāk kā 10 darba dienu laikā no informācijas iegūšanas brīža informēt Satversmes aizsardzības biroju par IKT kritiskās infrastruktūras informācijas sistēmu ārpakalpojuma sniedzēja vai apakšuzņēmēja neatbilstību minētajām prasībām.

Saistībā ar Satversmes aizsardzības biroja atzinuma tiesiskuma kontroli ir jānorāda, ka valsts drošības iestāžu atzinumi daudzās valstīs (tai skaitā Eiropas Savienības līmenī) nav tieši pārsūdzami, jo: tie nav saistoši lēmumi, bet informējoši vai ieteikuma rakstura dokumenti, tie nesatur faktisku sodu vai administratīvo sankciju, bet kalpo kā riska novērtējums.
Tomēr svarīgi ir, lai gala lēmums, kas balstīts uz šādu atzinumu, būtu pārsūdzams. EST ir atzinusi (piemēram, ZZ proti. Ministre de l’Intérieur, C-300/11), ka tiesību uz aizstāvību ievērošana nav absolūta. Valsts drošības nolūkos var ierobežot informācijas pieejamību, ja tiek saglabāts iespējamais kontroles mehānism Nacionālā kiberdrošības likuma 12. panta piektajā daļā ir noteikts kā var tikt apstrīdēti Nacionālās kiberdrošības centra un Satversmes aizsardzības biroja lēmumi, pieprasījumi vai tiesiskie pienākumi.
Papildus nepieciešams norādīt, ka arī Satversmes tiesa ir atzinusi, ka valsts drošības interešu aizsardzības nolūkā var būt pieļaujami ierobežojumi tiesību aizsardzības līdzekļiem, ja tiek nodrošināta iespēja pārsūdzēt gala lēmumu. Piemēram, lietā par Imigrācijas likuma normām tiesa norādīja, ka: “Ievērojot nepieciešamību nodrošināt šādas informācijas aizsardzību, Imigrācijas likuma VIII¹ nodaļā noteiktā kārtība, kādā izskatāmi tie iekšlietu ministra lēmumi, kas nav pieņemti, pamatojoties uz valsts drošības iestādes izlūkošanas vai pretizlūkošanas darbību rezultātā iegūto informāciju, nevar tikt pilnībā attiecināta uz apstrīdētajā normā noteikto lēmumu pārsūdzības procesu.”[1]. Arī Augstākā tiesa ir norādījusi, ka drošības iestāžu atzinumi, kas balstīti uz operatīvās darbības informāciju, var nebūt tieši pārsūdzami. Tomēr, ja šāds atzinums kalpo par pamatu iestādes lēmumam, tad šis lēmums ir pārsūdzams tiesā.

[1] Satversmes tiesas spriedums lietā Nr. 2019-35-01, 2020. gada 14. maijā

Potenciālie valsts drošības apdraudējuma cēloņi, kā arī personas veiktās darbības atrodas nepārtrauktā attīstībā, līdz ar to, Noteikumu projekta ietvaros ir jāparedz kārtība, kādā Satversmes aizsardzības birojs var pārliecināties, ka personas un ārpakalpojuma sniedzēji, to piesaistītie apakšuzņēmēji, kuri attiecīgi jau sniedz pakalpojumu vai piekļūst IKT kritiskai infrastruktūrai nerada riskus valsts drošībai. Šāda kārtība ir jāparedz, ievērojot, ka personu un ārpakalpojuma sniedzēju darbību ietekmē var tikt radīts būtisks kaitējums IKT kritiskai infrastruktūrai, ierobežojot vai pārtraucot attiecīgu pakalpojumu sniegšanu un funkciju īstenošanu. Līdz ar to noteikumu projektā ir ietvertas prasības un kritēriji, kā potenciālie ārpakalpojuma sniedzēji un to piesaistītie apakšuzņēmēji un to darbinieki, ir jāsaskaņo ar Satversmes aizsardzības biroju.

Īpašās ārpakalpojumu prasības būtisko pakalpojumu sniedzējiem

Pēc līdzības ar IKT kritisko infrastruktūru, arī būtisko pakalpojumu sniedzējiem noteikumu projekts nosaka minimālās kiberdrošības prasības attiecībā uz ārpakalpojumiem, lai mazinātu ar nedrošu ārpakalpojumu saņemšanu saistītos kiberdraudus. Vienlaikus noteikumu projekts paredz gradāciju attiecībā uz ārpakalpojumiem, ievērojot samērīguma principu. Noteikumu projekts paredz, ka būtisko pakalpojuma sniedzējam, kas nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, ārpakalpojuma līgumu saistībā ar tehnisko resursu iegādi A klases informācijas sistēmu atļauts slēgt, ja ārpakalpojuma sniedzējs tehniskā resursa iegādei ir fiziska persona, kura ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonis vai juridiskā persona, kura vienlaikus atbilst šādām prasībām:
(1) tā ir reģistrēta NATO, Eiropas Savienības vai EBTA dalībvalstī,
(2) tās valde sastāv no fiziskām personām, kuras ir NATO, Eiropas Savienības vai EBTA dalībvalstu pilsoņi,
(3) tās patiesais labuma guvējs ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonis (ja saskaņā ar Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumu patiesā labuma guvēju ir iespējams noskaidrot), un
(4) tās dalībnieki un kapitāla daļu īpašnieki (turētāji) ir juridiskas personas, kuras ir reģistrētas NATO, Eiropas Savienības vai EBTA dalībvalstī, vai fiziskas personas, kuras ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsoņi.

Analoģiskas prasības ir noteiktas arī ārpakalpojumu sniedzējam pakalpojumu sniegšanai saistībā ar A klases informācijas sistēmu, vienlaikus nosakot, ka šāda ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, Eiropas Savienības vai EBTA dalībvalsts pilsonis. Šādas pašas prasības ir noteiktas arī attiecībā uz ārpakalpojuma līguma slēgšanu par publiskā elektronisko sakaru tīkla kritiskajās daļās izmantojamo tehnisko resursu vai pakalpojumu iegādi. Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējiem, kuri nav IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji, minētos ierobežojumus attiecībā uz ārpakalpojumiem nepiemēro, ja ārpakalpojuma sniedzēja kapitāla daļu turētājs vai netiešās ietekmes guvējs ir Valsts pārvaldes iekārtas likumā noteiktā publiskā persona, vai ja pēc būtisko pakalpojumu sniedzēja pieprasījuma ir saņemts Satversmes aizsardzības biroja atzinums, ka tā rīcībā nav negatīvas informācijas par ārpakalpojuma sniedzēju. Šādu atzinumu būtisko pakalpojumu sniedzējs varēs pieprasīt un saņemt tādā pašā kārtībā, kāda ir noteikta IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem. Noteikumu projekts nosaka par pienākumu būtisko pakalpojumu sniedzējam, uz kuru attiecināmi minētie ierobežojumi, slēdzot vispārīgo vienošanos, ietvert atsauci uz šiem ierobežojumiem, kas piemērojami vienošanās ietvaros slēdzot ārpakalpojuma līgumus. Tāpat noteikumu projekts nosaka par pienākumu būtisko pakalpojumu sniedzējam nekavējoties, bet ne vēlāk kā 10 darba dienu laikā no informācijas iegūšanas brīža informēt Satversmes aizsardzības biroju par ārpakalpojuma sniedzēja vai apakšuzņēmēja neatbilstību minētajām prasībām.

Papildu prasības IKT kritiskajai infrastruktūrai
Atbilstoši Nacionālās drošības likums 22.² panta sestajai daļai Ministru kabinetam ir jānosaka kritiskās infrastruktūras, līdz ar to, arī IKT kritiskās infrastruktūras drošības pasākumi, kas sevī ietver arī attiecīgu personu un komersantu pārbaudi, kuri potenciāli piekļūs vai jau piekļūst IKT kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām.
Noteikumu projekts paredz prasību IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam izstrādāt visaptverošu darbības nepārtrauktības plānu, tā apstiprināšanas kārtību u.c. prasības minētajam plānam.

Papildu prasības kiberincidentu novēršanas institūcijām
Saskaņā ar Nacionālās kiberdrošības likumā noteikto, kiberincidentu novēršanas institūciju uzdevumus veic Militārās izlūkošanas un drošības dienests un Latvijas Universitātes Matemātikas un informātikas institūts. Nacionālās kiberdrošības likumā ir noteikti arī kiberincidentu novēršanas institūciju uzdevumi un tiesības. Attiecībā uz minētajām institūcijām ir piemērojamas šajos noteikumis noteiktās prasības, vienlaikus attiecībā uz šīm institūcijām atbilstoši NIS2 direktīvā noteiktajam ir piemērojamas papildu prasības. Jau pašlaik kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas Ministru kabineta 2025. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", taču līdz šim nacionālajā tiesiskajā regulējumā nav bijušas definētas specifiskas prasības, kas attiektos tikai uz kiberincidentu novēršanas institūcijām.

Līdz ar to, Noteikumu projektā ietvertas papildu prasības kiberincidentu novēršanas institūcijām, lai tās varētu kvalitatīvi veikt Nacionālās kiberdrošības likumā noteiktos uzdevumus un īstenot tām noteiktās prasības, tostarp prasības, kas izriet no NIS2 direktīvas 10. un 11. pantā noteiktās prasības. Ar šo Noteikumu projektu tiek pārņemtas NIS2 direktīvas prasības datordrošības incidentu reaģēšanas vienībām (CSIRT) jeb nacionāli - kiberincidentu novēršanas institūcijām. Prasības paredz kiberincidentu novēršanas institūcijām nodrošināt savu sakaru kanālu augstu pieejamības līmeni, drošas telpas un pietiekamu darbinieku skaitu, lai nepieciešamības gadījumā spētu nodrošināt sev noteikto uzdevumu izpildi un darbības nepārtrauktību.

Kiberincidentu vadība
Noteikumu projekts nosaka kiberincidentu nozīmīguma kritērijus. Paredzot, ka kiberincidents ir uzskatāms par nozīmīgu, ja tas atbilst būtiska kiberincidenta definīcijai Eiropas Komisijas 2024. gada 17. oktobra īstenošanas regulas (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku (turpmāk - regula 2024/2690/ES), 3. panta 1. punkta izpratnē, attiecībā uz tiem subjektiem, kam adresēta regula, proti, attiecībā uz Nacionālās kiberdrošības likuma 20. panta 1. punktā, 2. punktā, 4. punktā, 8. punkta “s”, “t”, “u” un “v” apakšpunktā, 21. panta pirmās daļas 2. punkta “l”, “m”, “n” apakšpunktā un 6. punktā minētajiem subjektiem.
Attiecībā uz visiem pārējiem subjektiem ir noteikts, ka kiberincidents ir uzskatāms par nozīmīgu, ja:
tas atbilst vismaz vienai no šādām pazīmēm:
-kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
-kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām vismaz 500 000 euro vai 5% apmērā no subjekta pēdējā finanšu gada apgrozījuma (atkarībā no tā, kura summa ir mazāka);
 -kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
 -kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
 -kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.

Tāpat Noteikumu projekts nosaka, ka subjekts, konstatējot kiberincidentu, subjekts nekavējoties novērtē tā nozīmīgumu un Nacionālās kiberdrošības likumā noteiktajos termiņos par nozīmīgajiem kiberincidentiem ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi elektroniski aizpildītu noteiktas formas un satura veidlapu (agrīnā brīdinājuma veidlapu, sākotnējā ziņojuma veidlapu, progresa ziņojuma veidlapu, starpposma ziņojuma veidlapu vai galaziņojuma veidlapu). Savukārt par tādu kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjektam ir pienākums ziņot kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.

Atbilstības audits
Atbilstoši Nacionālā kiberdrošības likumā noteiktajam Noteikumu projekts nosaka kiberdrošības auditoriem izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību. Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā reģistrē auditoru, kurš atbilst šādām prasībām:
(1) auditors ir juridiska vai fiziska persona, kura atbilst šī Noteikuma projekta 76. punkta prasībām (īpašās ārpakalpojumu prasības);
(2) auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
(3) auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām;
(4) auditora reģistrācija nav pretrunā ar nacionālās drošības interesēm.

Noteikumu projekts paredz, ka, lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu un minēto sertifikātu kopijas. Noteikumu projekts paredz, ka auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību izvirzītajām prasībām. Noteikumu projekts nosaka, ka Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
(1) saņemts auditora iesniegums par izslēgšanu no saraksta;
(2) konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
(3) auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
(4) pastāv objektīvas bažas par auditora zināšanas kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
(5) saņemts kompetentās valsts drošības atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;
(6) publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
(7) publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.

Papildus Noteikumu projekts paredz prasības auditoram, kurš ir tiesīgs veikt mākoņdatošanas pakalpojumu vai datu centru pakalpojumu sniedzēja atbilstības auditu.

Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komitejas lēmums par auditora reģistrāciju, auditora reģistrācijas datu precizēšanu vai izslēgšanu no auditoru saraksta ir administratīvais akts, un, ka auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.

Drošības skenēšana
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kritērijus un kārtību, kādā veic subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu. Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros vai pēc subjekta pieprasījuma.

Noteikumu projekts nosaka, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs, vērtējot drošības skenēšanas nepieciešamību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.

Noteikumu projekts paredz, ka gadījumā, ja drošības skenēšanu veic pēc subjekta pieprasījuma, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs par drošības skenēšanas rezultātiem informē kompetento kiberincidentu novēršanas institūciju un attiecīgo subjektu, ja vien tas nav pretrunā ar nacionālās drošības interesēm. Noteikumu projekts nosaka, ka drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
Noteikumu projekts paredz kārtību, kādā veic skenēšanu, ja to veic kompetentā kiberincidentu novēršanas institūcija pēc Satversmes aizsardzības biroja pieprasījuma vai cita persona, par kuru ir saņemts Satversmes aizsardzības biroja atzinums.

Pašvērtējums
Saskaņā ar Nacionālās kiberdrošības likumu Noteikumu projekts nosaka subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti. Noteikumu projekts paredz, ka subjekts, kurš ir ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma, veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām reizi gadā, bet pārēji subjekti – reizi trijos gados, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk. Noteikumu projekts nosaka, ka pašvērtējuma ziņojumu sagatavo atbilstoši Noteikumu projekta pielikumā ietvertajai veidlapai, un to iesniedz līdz attiecīgā kalendārā gada 1. oktobrim.

Neatbilstību novēršana valsts un pašvaldību institūcijās
Noteikumu projekts paredz, ka gadījumā, ja subjekts, kurš ir valsts vai pašvaldības institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo faktu ziņo attiecīgajai amatpersonai. Noteikumu projekts nosaka, ka gadījumā, ja subjekts ir tiešās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam. Tāpat gadījumā, ja subjekts ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kā arī informē viedās administrācijas un reģionālās attīstības ministru. Savukārt gadījumā, ja subjekts ir cita valsts vai pašvaldības institūcija, Nacionālais kiberdrošības centrs par neatbilstību ziņo Ministru kabinetam.

Piekļuves slēgšana elektronisko sakaru tīklam
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam Noteikumu projekts nosaka nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam. Noteikumu projekts paredz, ka pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam  Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju. Noteikumu projekts nosaka par pienākumu elektronisko sakaru komersantam atslēgt lietotāju no elektronisko sakaru tīkla nekavējoties pēc piekļuves slēgšanas pieprasījuma saņemšanas, un, ja tas ir noteikts piekļuves slēgšanas pieprasījumā, pārvirzīt lietotāja IP adreses vai domēna vārda pieprasījumus uz noteiktu informatīvu vietni. Noteikumu projekts paredz, ka lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju, kā arī pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām minēto piekļuvi atjauno, ja vien nepastāv kādi objektīvi iemesli piekļuves neatjaunošanai. Šādi objektīvi iemesli varētu būt, piemēram, ja piekļuves slēgšanas laika posmā ir ticis lauzts vai zaudējis spēku starp elektronisko sakaru komersantu un lietotāju noslēgtais līgums par elektronisko sakaru pakalpojumu.

Uzlabota būtisko un svarīgo pakalpojumu sniedzēju un IKT kritiskās infrastruktūras kiberdrošība.

Subjektu skaits, kuri atbilst noteikumu projektā ietvertajām kiberdrošības prasībām, attiecībā pret kopējo subjektu skaitu.