Anotācija (ex-ante)

Latvijas kiberdrošības situācijas analīze liecina par strauju kiberincidentu pieaugumu valsts kopējā kiberdrošības segmentā. 2022. gadā CERT.LV reģistrēto un apstrādāto incidentu skaits pieauga par 40%. Valsts pārvaldes sektorā IKT sistēmu ievainojamību meklēšana augusi 7 reizes, bet kopējais uzbrukumu apjoms ir četrkāršojies. 2022. gads Latvijas kibertelpā pamatoti uzskatāms par izaicinājumiem bagātāko un kiberuzbrukumiem intensīvāko periodu visā CERT.LV pastāvēšanas vēsturē kopš 2011.gada.
Arī LVRTC pārskati liecina par to, ka ir audzis kiberincidentu skaits, kas ir vērsts uz LVRTC pārraudzībā esošajām sistēmām, kā arī vairākkārt audzis izkliedēto pakalpojumatteices uzbrukumu (DDOS) uzbrukumu skaits.  
Saistībā ar Centra kiberdrošību ir identificētas šādas problēmas:
1) Tiek novērots lielāks ievainojamību skaits LVRTC klientu sistēmās, par ko klienti tiek nepārtraukti informēti, bet ievainojamību novēršana dažkārt notiek  pat vairāku mēnešu garumā, kas ļauj uzbrucējiem izmantot sistēmu nepilnības un veikt kiberuzbrukumus Centra lietotāju IKT infrastruktūrai.
2) Uzbrucēji arvien biežāk kompromitētu sistēmu kontrolei izmanto leģitīmu, dažkārt arī kriptogrāfiski parakstītu programmatūru, nevis datorvīrusus un cita veida ļaunatūru.
3) Nepietiekams nodrošinājums ar dažādu kiberdrošības incidentu identificēšanas, pārvaldības un to novēršanas sistēmām (SOC/SIEM/ EDR/XDR un citām), kas tandēmā ar apmācītiem, un praksi ieguvušiem kiberdrošības speciālistiem un pārbaudītiem IT drošības procesiem ļautu stāties pretī jaunajiem kiberdrošības izaicinājumiem un uzbrucēju metodēm, ātrāk identificēt uzbrukuma ķēdes darbības sākumu un iegūt vairāk laika cīņai ar uzbrukumu un draudu riska novēršanai.

Lai risinātu minētās problēmas un būtiski uzlabotu Centra lietotāju kiberdrošību, ir nepieciešams ieviest vienotu kiberdrošības risinājumu, kas nodrošina:
IKT sistēmu konfigurāciju nepilnību risku mazināšanu;
veiksmīgu ielaušanās gadījumu mazināšanu;
agrīnu ļaundabīgā koda indentificēšanu Centra lietotāju IKT sistēmās;
kopēju Centra lietotāju kiberdrošības noturību un informācijas sistēmu drošības noturību;
padziļinātu kiberincidenta identificēšanu un novēršanu, uzbrukumu un kiberincidentu simulāciju;
Centra lietotāju sistēmu uzvedības parametru reģistrāciju un analīzi, kas veicinātu lietotāju kiberrisku mazināšanu un pikšķerēšanas ietekmes risku mazināšanu.
Vienotā kiberdrošības risinājuma izveidei un uzturēšanai plānotā projekta (turpmāk – projekts) ietvaros tiks ieviesti resursi (tostarp tehniskie resursi) un programmnodrošinājums.
Vienotā kiberdrošības risinājuma ieviešanas rezultātā LVRTC kā Centra nodrošinātājam būs iespēja:
1) Centra lietotājiem sniegt SOC pakalpojumu, papildu SOC pakalpojumu (Threat inteligence, XDR, ievainojamību identificēšana un pielietojamības noteikšana, PIM/PAM), kā arī kiberpoligona mācību un simulācijas pakalpojumu.
2) Ievērot paugstinātas drošības sistēmu prasības atbilstoši normatīvajiem aktiem par kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām, kā arī Eiropas Parlamenta un Padomes 2022. gada 14. decembra direktīvas (ES) 2022/2555 ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (NIS2 direktīvas) prasības.
Kopumā noteikumu projekts veicinās Centra lietotāju digitālās vides integritāti, pieejamību un konfidencialitāti, kas ļauj droši darboties digitāli transformētai publiskai pārvaldei un droši sadarboties ar privāto sektoru gan publisko pakalpojumu sniegšanai, gan drošākai datu apmaiņai. Paaugstinātas drošības pakalpojumi ļaus Centra lietotājiem identificēt savu IKT sistēmu nepilnības, konfigurācijas un ievainojamības pirms to izmantošanas kiberuzbrukumā no kiberuzbrucēju puses, izolēt un novērst kiberapdraudējumus agrīnā fāzē un izolēt tos, lai netiktu ietekmētas paaugstinātas drošības sistēmas, un novērst riskus uzbrukumu tālākai darbībai un atkārtošanās iespējām.
 Mērķgrupa
Pasākuma 1.4.1.4. “Vienotā kiberdrošības infrastruktūra” (turpmāk – pasākums) un tā ietvaros īstenojamā projekta mērķgrupa ir Centra lietotāji. Saskaņā ar VESPC instrukcijas 2.4.apakšpunktu Centra lietotājs ir publiska persona, publiskas personas kapitālsabiedrība, publiskas personas kontrolēta kapitālsabiedrība. Lai izmantotu Centra pakalpojumus, lietotājs slēdz pakalpojuma līgumu atbilstoši VESPC instrukcijas 6.punktam.
Rezultāti
Projektam ir noteikti šādi nacionālie uzraudzības rādītāji:
iznākuma rādītājs – līdz 2029.gada 31.decembrim ieviests vienots kiberdošības risinājums Centra ietvaros;
rezultāta rādītājs – kiberdrošības datu ieguve analīzei no Centra lietotāju iekārtām (iekārtu skaits) -  15 000 iekārtas.
Iznākuma rādītāja sasniegšanu apliecinās noslēgto līgumu ietvaros piegādātās un uzstādītās iekārtas un programmnodrošinājums, ko apliecina pieņemšanas – nodošanas akti.
Rezultāta rādītāja vērtības sasniegšana tiks noteikta saskaņā ar finansējuma saņēmēja sadarbības iestādei sniegto atskaiti par vienotās kiberdrošības infrastruktūras ieviešanas statusu un Centra lietotāju sistēmu iekārtu skaitu, no kurām tiek veikta datu ieguve analīzei attiecīgajā periodā. Rezultāta rādītāja vērtība ir sasniedzama  divu gadu laikā pēc projekta noslēguma maksājuma veikšanas, nepārsniedzot projekta īstenošanas maksimālo termiņu - 2029. gada 31. decembri.
Atbalstāmās darbības un izmaksas
Pasākuma ietvaros plānotās atbalstāmās darbības atbilst ES kohēzijas politikas programmas 2021.–2027.gadam 1.4. prioritātes “Digitālā savienojamība” noteiktajam intervences kodam – 36 IKT: cita veida IKT infrastruktūra (tostarp lielapjoma datorresursi/iekārtas, datu centri, sensori un citas bezvadu iekārtas).
Noteikumu projekts nosaka atbalstāmās darbības un attiecināmās izmaksas. Pasākuma projekta ietvaros attiecināmās izmaksas ir pakārtotas atbalstāmajām darbībām, kas ir saistītas ar paaugstinātas kiberdrošības pakalpojumu Centra ietvaros nodrošināšanu un attīstīšanu.
Noteikumu projektā noteiktas tiešās attiecināmās izmaksas un netiešās attiecināmās izmaksas.
Netiešās attiecināmās izmaksas, kas nav tieši saistītas ar projekta rezultātu sasniegšanu, bet atbalsta un nodrošina atbilstošus apstākļus projekta veicamo darbību realizācijai un projekta rezultātu sasniegšanai. Netiešās attiecināmās izmaksas noteiktas, piemērojot netiešo izmaksu vienoto likmi 15 % apmērā no projekta tiešajām attiecināmajām personāla izmaksām (finansējuma saņēmēja projekta vadības personāla un projekta īstenošanas personāla atlīdzības izmaksas). Netiešās attiecināmās izmaksas ir finansējuma saņēmēja projekta vadības un projekta īstenošanas personāla administratīvās izmaksas, kas paredzētas iestādes ikdienas darbības nodrošināšanai – izmaksas, kuras nepieciešamas, lai organizācija varētu darboties un kuras nav tieši saistītas ar projekta īstenošanu, piemēram, telpu un iekārtu izmantošanas izmaksas, komunālie un sakaru maksājumi, iestādes vadības un atbalsta struktūrvienību izmaksas. Projekta vadības un projekta īstenošanas netiešajās attiecināmajās izmaksās ietilpst: kancelejas preces, biroja piederumi un biroja aprīkojuma īre vai iegāde, telpu noma, komunālie maksājumi un telpu uzturēšanas izmaksas; telekomunikācijas, interneta izmaksas un pasta pakalpojumu izmaksas; informācijas tehnoloģiju uzturēšanas izmaksas (piemēram, nepieciešamās licences un programmatūras atjauninājumi).
Noteikumu projektā noteikti projekta vadības personāla atlīdzības izmaksu pozīciju ierobežojumi.
Noteikumu projekta 17.2. apakšpunkts noteic, ka attiecināmas ir projekta vadības personāla atlīdzības izmaksas, kas radušās uz darba līguma vai uzņēmuma līguma pamata, tostarp piemaksas un nodokļi, ņemot vērā, ka tās nepārsniedz ierobežojumu, kas tiek aprēķināts, pie minimālo izmaksu bāzes 34 422 euro kalendārajā gadā pieskaitot 0,64% no projekta tiešajām attiecināmajām izmaksām, neieskaitot tiešās projekta vadības personāla izmaksas, un summu reizinot ar projekta ilgumu gados (ja projekta tiešās attiecināmās izmaksas ir mazākas par pieciem miljoniem euro).

Minētie ierobežojumi noteikti saskaņā ar Finanšu ministrijas vadlīniju Nr. 1.2. “Vadlīnijas attiecināmo izmaksu noteikšanai Eiropas Savienības Kohēzijas politikas programmas 2021.-2027. gada plānošanas periodā” 21.zemsvītras piezīmi. Ņemot vērā informāciju par kiberuzbrukumu un incidentu pieaugumu un projekta specifiku, kas saistīta ar Centra lietotāju kiberdrošības nodrošināšanu, projekta personāla izmaksu segšana pēc faktiskajām izmaksām veicinās sekmīgu projekta ieviešanu, piesaistot kvalificētu darbaspēku. Ņemot vērā minēto, vadības personāla izmaksām  vienkāršoto izmaksu iespējas netiek izmantotas, un atlīdzība var tikt rēķināta pēc faktiskajām izmaksām, kur Eiropas Reģionālās attīstības fonda (turpmāk – ERAF) līdzfinansētajiem projektiem tiek noteikts maksimālais ierobežojums tiešajām projekta vadības personāla atlīdzības izmaksām līdz fiksētajai summai. Projektos, kuros tiešās attiecināmās izmaksas ir līdz 5 milj. euro (ieskaitot), ierobežojums tiek aprēķināts pie minimālo izmaksu bāzes 34 422 EUR kalendārajā gadā, pieskaitot 0,64% no projekta tiešajām attiecināmajām izmaksām, neieskaitot tiešās projekta vadības personāla izmaksas, un summu reizinot ar projekta ilgumu.

Projekta īstenošanas nosacījumi
Noteikumu projektā noteikti projekta īstenošanas nosacījumi, tostarp projekta īstenošanas termiņš, informācijas un publicitātes pasākumu nodrošināšanas nosacījumi, pasākuma rezultātu ilgtspējas un uzturēšanas nodrošināšanas nosacījumi.
Projekta ietvaros, veicot iepirkuma procedūru, atbalstāma ir  vides prasību integrācija preču un pakalpojumu iepirkumos - zaļais publiskais iepirkums. Finansējuma saņēmējam vienlaikus nepieciešams ievērot obligātos kritērijus saskaņā ar Ministru kabineta 2017. gada 20. jūnija noteikumu Nr.353 “Prasības zaļajam publiskajam iepirkumam un to piemērošanas kārtība” 1. pielikumu "Preču un pakalpojumu grupas, kurām obligāti piemērojams zaļais publiskais iepirkums", kur noteiktas zaļā iepirkuma prasības un kritēriji, kurus izmanto to preču un pakalpojumu publiskajā iepirkumā, kam zaļais iepirkums piemērojams obligāti.
Finansējuma saņēmējs nodrošina informācijas un publicitātes pasākumus saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2021/1060 (2021. gada 24. jūnijs), ar ko paredz kopīgus noteikumus par Eiropas Reģionālās attīstības fondu, Eiropas Sociālo fondu Plus, Kohēzijas fondu,  Taisnīgas pārkārtošanās fondu un Eiropas Jūrlietu, zvejniecības un akvakultūras fondu un finanšu noteikumus attiecībā uz tiem un uz Patvēruma, migrācijas un integrācijas fondu, Iekšējās drošības fondu un Finansiāla atbalsta instrumentu robežu pārvaldībai un vīzu politikai 47. un 50. pantu un normatīvajiem aktiem par kārtību, kādā Eiropas Savienības fondu vadībā iesaistītās institūcijas nodrošina šo fondu ieviešanu 2021.–2027. gada plānošanas periodā.
Finansējums
Pasākuma plānotais kopējais attiecināmais finansējums ir ne mazāk kā 4 350 000 euro, tai skaitā ERAF finansējums 3 697 500 euro (tai skaitā elastības finansējuma apjoms 583 189 euro) un privātais finansējums – ne mazāks par 652 500 euro.
Maksimālais attiecināmais ERAF finansējuma apmērs nepārsniedz  85 procentus no projekta kopējā attiecināmā finansējuma.
Līdz 2025. gada 31. decembrim, lai  slēgtu līgumu par projekta īstenošanu, ir pieejams finansējums ne mazāks kā 3 663 895 euro, tai skaitā ERAF finansējums – 3 114 311 euro un privātais līdzfinansējums – ne mazāks kā 549 584  euro.
Projekta iesniedzējs projekta īstenošanā var piesaistīt papildu privātos līdzekļus  attiecināmo izmaksu segšanai, tai skaitā elastības finansējuma priekšfinansēšanai.
Pēc 2026. gada 1. janvāra atbildīgā iestāde atbilstoši Eiropas Komisijas lēmumam par vidusposma pārskatu var ierosināt sadarbības iestādei palielināt projektam pieejamo ERAF finansējumu, nepārsniedzot projektam noteikto maksimālo ERAF finansējuma apmēru.
Citi nosacījumi
Projekta darbības un izmaksas nepārklājas ar citiem LVRTC plānotajiem Eiropas Savienības fondu finansētajiem projektiem, tostarp Atveseļošanas un noturības mehānisma investīcijām, jo projektā paredzētās darbības ir orientētas uz kiberaizsardzības spēju palielināšanu.

Pasākumā komercdarbības atbalsts nav paredzēts. Pasākums tiek īstenots deleģētā valsts pārvaldes uzdevuma ietvaros saskaņā ar Deleģēšanas līgumu par valsts elektronisko sakaru pakalpojumu centra izveidošanu, uzturēšanu un darbības nodrošināšanu Nr.SAM 2019/31, kas noslēgts starp Satiksmes ministriju un  LVRTC.

Pasākumam nav ietekmes uz horizontālajiem principiem “Vienlīdzība, iekļaušana, nediskriminācija un pamattiesību ievērošana”, “Klimatdrošināšana”, “un “Energoefektivitāte pirmajā vietā”.

Attiecībā uz horizontālo principu “Nenodarīt būtisku kaitējumu” (NBK) un “Energoefektivitāte pirmajā vietā” pasākumam nav paredzamas ietekmes uz vides mērķi vai paredzamā ietekme ir nebūtiska saistībā ar pasākuma tiešajām un primārajām netiešajam sekām visā tā dzīves ciklā, ņemot vērā tā būtību, un tādējādi tas tiek uzskatīts par atbilstīgu NBK attiecībā uz attiecīgo mērķi. Pasākums netieši atbalsta Atveseļošanas fonda 2.1.1.1.i “Pārvaldes modernizācija un pakalpojumu digitālā transformācija, tai skaitā uzņēmējdarbības vide”, 2.1.2.1.i “Pārvaldes centrālizētās platformas un sistēmas”, 2.1.3.1.i “Datu pieejamība, koplietošana un analītika” investīciju vērtējumos minēto, veicinot valsts pārvaldes pakalpojumu drošību. 

Projekta ietvaros ieviešamā vienotā kiberdrošības risinājuma tehniskā specifikācija tiks saskaņota ar Aizsardzības ministriju un CERT.LV.