22-TA-3183: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Noteikumi par minimālajām kiberdrošības prasībām" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
ES dokuments
Apraksts
Ministru kabineta noteikumu "Noteikumi par minimālajām kiberdrošības prasībām" projekts (turpmāk – Noteikumu projekts) ir izstrādāts, pamatojoties uz Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (turpmāk – NIS2 direktīva) 41. panta 1. punktā noteikto, ka dalībvalstis līdz 2024. gada 17. oktobrim pieņem un publicē normatīvos un administratīvos aktus, lai izpildītu NIS2 direktīvas prasības.
Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Noteikumu projekts ir izstrādāts, pamatojoties uz Nacionālā kiberdrošības likuma 9. panta ceturto daļu, 12. panta trešo daļu, 24. panta otro daļu, 25. panta pirmo daļu, 26. pantu, 28. panta otro daļu, 29. pantu, 33. pantu, 34. panta pirmo, septīto un desmito daļu, 36. panta pirmo daļu, 42. panta trešo daļu, 43. panta otro daļu un 44. panta otro daļu un Elektronisko sakaru likuma 8. panta pirmo un otro daļu.
1.2. Mērķis
Mērķa apraksts
Noteikumu projekta mērķis ir uzlabot kiberdrošību Latvijā, sekmējot būtisko pakalpojumu sniedzēju, svarīgo pakalpojumu sniedzēju un informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) kritiskās infrastruktūras noturību pret kiberdrošības apdraudējumiem, kā arī ieviest NIS2 direktīvā noteiktos pasākumus kiberdrošības jomā.
Spēkā stāšanās termiņš
17.10.2024.
Pamatojums
Atbilstoši NIS2 direktīvas 41. panta 1. punktā noteiktajam.
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīva (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (turpmāk – NIS direktīva) bija liels solis kiberdrošības veicināšanā Eiropas līmenī. NIS direktīva noteica pirmos Eiropas Savienības mēroga noteikumus kiberdrošībā, uzlabojot kiberdrošības spējas un stiprinot dalībvalstu sadarbību. Tā noteica vitāli svarīgo nozaru uzņēmumiem veikt attiecīgus drošības pasākumus un par nopietniem kiberincidentiem ziņot attiecīgajai kiberincidentu novēršanas institūcijai. NIS2 direktīvas priekšlikumā tika novērsti vairāki NIS direktīvā konstatētie trūkumi, tostarp, Eiropas Savienībā pastāvošo uzņēmumu zemais kibernoturības līmenis, nekonsekventa kiberdrošība dažādās dalībvalstīs un nozarēs, zems kopējais situācijas izpratnes līmenis un kopīga krīžu reaģēšanas mehānisma trūkums.
Latvijā NIS2 direktīvā ietvertās tiesību normas ir ieviestas ar Nacionālās kiberdrošības likumu, kas aizstāja iepriekš spēkā esošu Informācijas tehnoloģiju drošības likumu. Nacionālās kiberdrošības likuma mērķis ir:
1) uzlabot IKT drošību, tai skaitā nosakot prasības būtisko pakalpojumu un svarīgo pakalpojumu sniegšanai un saņemšanai, kā arī IKT darbībai;
2) noteikt kiberdrošības nodrošināšanas kārtību, paredzot atbildības sadalījumu un Nacionālā kiberdrošības centra kompetenci, sadarbības ietvarus un kiberdrošības veicināšanas uzdevumus;
3) veicināt kiberdrošības pasākumu īstenošanu tā, lai varētu laikus prognozēt un novērst, kā arī pārvarēt kiberapdraudējumu un likvidēt tā sekas, pēc iespējas nodrošinot pakalpojumu konfidencialitātes, integritātes un pieejamības nepārtrauktību.
Vienlaikus Nacionālās kiberdrošības likums paredz, ka Ministru kabinets izdos pakārtotos noteikumus, kas precizēs un papildinās Nacionālās kiberdrošības likumā noteiktās prasības, tostarp noteiks minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošinās savu atbilstību minētajām prasībām.
Latvijā NIS2 direktīvā ietvertās tiesību normas ir ieviestas ar Nacionālās kiberdrošības likumu, kas aizstāja iepriekš spēkā esošu Informācijas tehnoloģiju drošības likumu. Nacionālās kiberdrošības likuma mērķis ir:
1) uzlabot IKT drošību, tai skaitā nosakot prasības būtisko pakalpojumu un svarīgo pakalpojumu sniegšanai un saņemšanai, kā arī IKT darbībai;
2) noteikt kiberdrošības nodrošināšanas kārtību, paredzot atbildības sadalījumu un Nacionālā kiberdrošības centra kompetenci, sadarbības ietvarus un kiberdrošības veicināšanas uzdevumus;
3) veicināt kiberdrošības pasākumu īstenošanu tā, lai varētu laikus prognozēt un novērst, kā arī pārvarēt kiberapdraudējumu un likvidēt tā sekas, pēc iespējas nodrošinot pakalpojumu konfidencialitātes, integritātes un pieejamības nepārtrauktību.
Vienlaikus Nacionālās kiberdrošības likums paredz, ka Ministru kabinets izdos pakārtotos noteikumus, kas precizēs un papildinās Nacionālās kiberdrošības likumā noteiktās prasības, tostarp noteiks minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošinās savu atbilstību minētajām prasībām.
Problēmas un risinājumi
Problēmas apraksts
Atbilstoši Nacionālās kiberdrošības likumā ietvertajam deleģējumam Ministru kabinetam ir jānosaka:
(1) minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk kopā – subjekti);
(2) kārtība, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
(3) prasības un veicamie pasākumi subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
(4) IKT kritiskās infrastruktūras drošības prasības, pasākumi un to plānošanas un īstenošanas kārtība;
(5) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;
(6) prasības subjekta kiberdrošības pārvaldniekam;
(7) veids un formāts, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
(8) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veids un apjoms, kā arī plāna izpildes uzraudzības un kontroles kārtība;
(9) kiberincidentu nozīmīguma kritēriji;
(10) kārtība informēšanai par kiberincidentu, un to kiberincidentu kritēriji, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
(11) agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturs un ziņojuma iesniegšanas kārtība;
(12) kritēriji un kārtība subjekta tīklu un informācijas sistēmu drošības skenēšanai;
(13) kritēriji kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumi;
(14) nosacījumi un kārtība, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
(15) subjekta atbilstības pašvērtējuma ziņojuma veidlapa un tajā iekļaujamās informācijas saturs un apjoms, kā arī pašvērtējuma ziņojuma iesniegšanas termiņš un regularitāte;
(16) subjektiem kiberhigiēnas pasākumu pamatelementi un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
(17) kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtība;
(18) kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;
(19) kārtība ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;
(20) prasības kiberincidentu novēršanas institūcijām.
(1) minimālās kiberdrošības prasības būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem (turpmāk kopā – subjekti);
(2) kārtība, kādā subjekti nodrošina savu tīklu un informācijas sistēmu atbilstību minimālajām kiberdrošības prasībām;
(3) prasības un veicamie pasākumi subjektu tīklu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšanai un datu atjaunošanai;
(4) IKT kritiskās infrastruktūras drošības prasības, pasākumi un to plānošanas un īstenošanas kārtība;
(5) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības;
(6) prasības subjekta kiberdrošības pārvaldniekam;
(7) veids un formāts, kādā subjekts sniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam Nacionālās kiberdrošības likuma 22. panta pirmajā, otrajā un piektajā daļā, 23. panta pirmajā, otrajā un piektajā daļā un 25.panta otrajā un ceturtajā daļā minēto informāciju;
(8) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļaujamās informācijas veids un apjoms, kā arī plāna izpildes uzraudzības un kontroles kārtība;
(9) kiberincidentu nozīmīguma kritēriji;
(10) kārtība informēšanai par kiberincidentu, un to kiberincidentu kritēriji, informācija par kuriem ir sniedzama kompetentajai kiberincidentu novēršanas institūcijai;
(11) agrīnā brīdinājuma, sākotnējā ziņojuma, starpposma ziņojuma, progresa ziņojuma un galaziņojuma par nozīmīgu kiberincidentu saturs un ziņojuma iesniegšanas kārtība;
(12) kritēriji un kārtība subjekta tīklu un informācijas sistēmu drošības skenēšanai;
(13) kritēriji kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā, kā arī agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumi;
(14) nosacījumi un kārtība, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam;
(15) subjekta atbilstības pašvērtējuma ziņojuma veidlapa un tajā iekļaujamās informācijas saturs un apjoms, kā arī pašvērtējuma ziņojuma iesniegšanas termiņš un regularitāte;
(16) subjektiem kiberhigiēnas pasākumu pamatelementi un prasības attiecībā uz kiberhigiēnas pasākumu īstenošanu;
(17) kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtība;
(18) kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā;
(19) kārtība ziņošanai par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātajām publiskajām personām, kuras nepilda Nacionālās kiberdrošības likumā minētos lēmumus, pieprasījumus vai tām uzliktos tiesiskos pienākumus;
(20) prasības kiberincidentu novēršanas institūcijām.
Risinājuma apraksts
Noteikumu projektā ir noteiktas minimālās kiberdrošības prasības subjektiem, kas ir izstrādātas, ņemot vērā aktuālo kiberapdraudējuma līmeni, nozarē izmantotos starptautiskos standartus (piemēram, ISO/IEC 27001:2022, NIST) un praksi, kā arī ekspertu ieteikumus.
Statusa paziņošana
Nacionālās kiberdrošības likums nosaka, ka persona veic pašvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā persona ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka persona, kura atbilst būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam, likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.
Līdzīga statusa paziņošanas kārtība ir noteikta domēnu vārdu reģistrācijas pakalpojumu sniedzējiem. Nacionālās kiberdrošības likums paredz, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs, kurš atbilst domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam un kura lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijas Republikā vai kuram Latvijas Republikā ir vislielākais darbinieku skaits, ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.
Kiberdrošības pārvaldnieks
Nacionālās kiberdrošības likums paredz, ka subjekta vadītājs nosaka atbildīgo personu – kiberdrošības pārvaldnieku –, kas īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā. Noteikumu projekts nosaka prasības kiberdrošības pārvaldniekam, paredzot, ka kiberdrošības pārvaldniekam jābūt pilngadīgam Latvijas Republikas pilsonim, jābūt augstākai vai vidējai profesionālajai izglītībai kiberdrošības pārvaldības vai citā saistītā jomā vai starptautiski atzītajam sertifikātam, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai divu gadu darba pieredzei kiberdrošības pasākumu plānošanā vai īstenošanā, kā arī jāatbilst Noteikumu projektā noteiktajām drošības prasībām. Noteikumu projekts paredz, ka kompetentā valsts drošības iestāde pēc savas iniciatīvas var pārbaudīt jebkura subjekta kiberdrošības pārvaldnieka atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot Nacionālo kiberdrošības centru (ja subjekts nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) un subjekta vadītāju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Tāpat Noteikumu projekts paredz kārtību, kādā subjekts paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par kiberdrošības pārvaldnieka iecelšanu, kā arī ziņo par izmaiņām kiberdrošības pārvaldnieka datos. Noteikumu projekts paredz, ka subjekts likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi.
Kiberdrošības pārvaldības dokumentācijas prasības
Noteikumu projekts paredz, ka katram subjektam jāizstrādā un jāuztur kiberdrošības pārvaldības dokumentācijas kopums. Šajā kopumā ietilpst subjekta kiberdrošības politika, IKT resursu un informācijas sistēmu katalogs, kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns un kiberincidentu žurnāls. Noteikumu projekts paredz, ka subjekts katru minētā kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu, nepieciešamības gadījumā nosakot pieejamības ierobežojumus atsevišķām kopuma daļām, to sadaļām, konkrētiem dokumentiem vai to pielikumiem atbilstoši personu nepieciešamībai iepazīties ar šajos dokumentos ietverto informāciju. Noteikumu projekts paredz, ka kiberdrošības pārvaldības dokumentāciju veido un uztur elektroniskā formātā, to uzglabājot drošā veidā un vietā, kas ir subjekta valdījumā. Noteikumu projekts paredz, ka minēto dokumentu kopijas uzglabā atsevišķi no to oriģināliem, nodrošinot to pieejamību kiberdrošības pārvaldniekam gadījumā, ja dokumentu oriģināli nav pieejami.
Kiberdrošības politika
Kiberdrošības politika ir paredzēta kā galvenais dokuments, kas nosaka, kā tiek organizēti subjekta kiberdrošības pasākumi. Noteikumu projekts paredz, ka kiberdrošības politikā iekļauj:
(1) vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
(2) subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
(3) informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
(4) informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi;
(5) informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu un standartu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām un IKT resursiem.
Subjekts kiberdrošības politikai var pievienot visu spēkā esošo subjekta iekšējo normatīvo aktu un vadlīniju kiberdrošības jomā kopijas, nepieciešamības gadījumā atsevišķi izdalot iekšējos normatīvos aktus un vadlīnijas attiecībā uz konkrētām informācijas sistēmām vai informācijas sistēmu grupām (piemēram, informācijas sistēmas lietošanas noteikumus), Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja pieņemto lēmumu un pieprasījumu kopijas attiecībā uz subjekta kiberdrošību, pēdējo piecu gadu laikā sagatavoto subjekta ikgadējo pašnovērtējuma ziņojumu kopijas, kā arī pēdējo piecu gadu laikā veikto subjekta kiberdrošības auditu ziņojumu kopijas.
IKT resursu un informācijas sistēmu katalogs
Noteikumu projekts paredz, ka subjekts identificē un uzskaita visus tā īpašumā, valdījumā, turējumā un lietošanā esošos IKT resursus, atbilstoši Noteikumu projekta pielikumā ietvertajai metodikai nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai un tajā elektroniski apstrādājamo informācijas resursu kategorijai, kā arī izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu. Noteikumu projekts paredz, ka informācijas sistēmas iedala trīs kategorijās – A (paaugstinātas drošības), B (pamata drošības) un C (minimālās drošības).
Subjekts IKT resursu un informācijas sistēmu katalogu veido atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu resursu uzskaites lietojumprogrammu (datubāzi). IKT resursu un informācijas sistēmu katalogā var iekļaut, piemēram, šādu informāciju:
(1) Informācijas resursu saraksts
– informācijas resursa kategorija (piemēram, saņemtie rēķini par komunālajiem maksājumiem, darbinieku iesniegumi par atvaļinājuma piešķiršanu);
– datu klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija);
– informācijas resursa konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C);
– datu subjektu kategorija (piemēram, uzņēmuma nodarbinātie, klienti) un, ja attiecināms, kategorijas apraksts;
– datu apstrādes nolūks;
– atzīme par to, vai informācijas resurss satur personas datus;
– atzīme par to, vai informācijas resurss satur īpašo kategoriju personas datus;
– atzīme par to, vai informācijas resurss ir datu pirmavots, un ziņas par datu pirmavota fizisko atrašanās vietu, ja attiecināms;
– ziņas par informācijas resursa rezerves kopiju veidošanas biežumu un rezerves kopiju fizisko atrašanās vietu;
– ziņas par informācijas resursa glabāšanas termiņu un arhivēšanu, ja attiecināms.
– ziņas par informācijas resursa īpašnieku (tiesisko valdītāju) un datu pārzini;
– datu aizsardzības speciālista kontaktinformācija;
– ziņas par informācijas resursa turētāju (piemēram, fiziskās personas amats, vārds, uzvārds un kontaktinformācija vai personu grupas (struktūrvienības) nosaukums un kontaktinformācija);
– ziņas par personām (personu grupām), kuras var piekļūt un elektroniski apstrādāt informācijas resursu;
– ziņas par datu saņēmējiem, tostarp trešajām pusēm, ja attiecināms;
(2) Informācijas sistēmu saraksts
– (ziņas par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām)
– informācijas sistēmas nosaukums;
– informācijas sistēmas kategorija (A, B vai C);
– informācijas sistēmai noteiktā konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C);
– informācijas sistēmas funkciju un pakalpojumu uzskaitījums un apraksts;
– informācijas sistēmas darbības nodrošināšanai izmantojamo tehnisko resursu saraksts un shematiskais attēlojums;
– to pakalpojumu un procesu apraksts, kurus var negatīvi ietekmēt informācijas sistēmas konfidencialitātes, integritātes un pieejamības apdraudējums (risku novērtējums);
– ziņas par informācijas sistēmas izstrādātāju;
– ziņas par informācijas sistēmas īpašnieku (tiesisko valdītāju)
– ziņas par informācijas sistēmas procesu turētāju;
– ziņas par informācijas sistēmas tehnisko resursu turētāju;
– ziņas par informācijas sistēmas informācijas resursu turētāju;
– ziņas par ārpakalpojuma sniedzējiem, ja attiecināms.
(3) Tīklu shēma
– tīkla nosaukums;
– tīklam piešķirtais unikālais identifikators (tīkla uzskaites numurs);
– tīkla (tostarp apakštīklu) interneta protokola (IP) adrešu diapazoni;
– tīkla maršrutēšanas domēna (AS) numurs, ja tāds ir piešķirts;
– tīklam pievienoto iekārtu uzskaites numurs;
– tīkla un tam pievienoto iekārtu shematiskais attēlojums;
(4) Aparatūras saraksts
– iekārtai piešķirtais unikālais identifikators (iekārtas uzskaites numurs);
– iekārtas veids (piemēram, serveris, darbstacija, datu nesējs);
– iekārtas nosaukums;
– iekārtas ražotājs, modelis, sērijas numurs (ja attiecināms);
– iekārtā uzstādītās programmatūras nosaukums, versija un programmatūras instanču pēdējās atjaunināšanas datums;
– iekārtas fiziskā atrašanās vieta (piemēram, objekta adrese, telpa);
– ziņas par tīkliem, kuriem iekārta ir pievienota;
– ziņas par iekārtas īpašnieku (tiesisko valdītāju);
– par iekārtas administrēšanu atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija.
– ziņas par fiziskām personām vai personu grupām, kurām ir piekļuve iekārtai, un šo personu piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
(5) Datu nesēju saraksts
– datu nesēja nosaukums;
– datu nesējam piešķirtais unikālais identifikators (datu nesēja uzskaites numurs);
– datu nesēja veids (piemēram, atmiņas karte);
– datu nesēja klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija);
– ziņas par datu nesēja fizisko atrašanās vietu;
– ziņas par datu nesēja īpašnieku;
– par datu nesēja drošību atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija.
– ziņas par datu nesēja lietotājiem (personām vai personu grupām);
(6) Programmatūras saraksts
– programmatūras veids (piemēram, sistēmprogramma, lietojumprogramma);
– programmatūras nosaukums;
– programmatūras versija un programmatūras instanču pēdējās atjaunināšanas datums;
– ziņas par programmatūras ražotāju vai atvērto pirmkodu;
– ziņas par programmatūras licenci, licences devēju, licences ņēmēju un licences derīguma termiņu (ja attiecināms);
– katras iekārtas uzskaites numurs, kurā programmatūra ir uzstādīta;
(7) Fiziskās infrastruktūras apraksts
– vispārīga informācija par objektu (piemēram, objekta nosaukums, adrese, ziņas par objekta īpašnieku vai tiesisko valdītāju);
– ziņas par subjekta struktūrvienību vai citu institūciju, kas nodrošina drošības pasākumus objektā;
– ziņas par objekta ārējā perimetra aizsardzības pasākumiem (piemēram, žogi un to izvietojums, apgaismojums un tā izvietojums, videonovērošana, signalizācija);
– ziņas par iekļūšanas kontroli objektā vai tā teritorijā (piemēram, iekļūšanas punkti, to izvietojums, darba laiks, caurlaižu režīms darbiniekiem, apmeklētājiem, transportlīdzekļiem, kravām, caurlaižu paraugi);
– ziņas par ierobežotas piekļuves zonām (ja attiecināms) un to drošības pasākumiem (piemēram, izvietojums, iekļūšanas kontrole darbiniekiem, apmeklētājiem, transportlīdzekļiem);
– ziņas par apsardzes personālu (piemēram, izvietojums, pienākumi, tiesības, patrulēšanas režīms, rīcība apdraudējuma situācijās);
– ziņas par objekta videonovērošanas sistēmām un videonovērošanas sistēmas shēma (ja attiecināms);
– ziņas par objekta fiziskās drošības signalizāciju (ja attiecināms);
– ziņas par objekta plānojumu, tostarp to telpu saraksts un shematiskais attēlojums, kurās ir izvietota aparatūra un citi tīkla elementi;
(8) Cilvēkresursu saraksts
– personas amats, vārds un uzvārds (vai līdzvērtīgs unikāls identifikators, piemēram, dienesta apliecības numurs);
– personas kontaktinformācija;
– ja attiecināms, ziņas par personas piederību konkrētām personāla grupām (piemēram, administratīvais personāls, informācijas tehnoloģiju personāls, vadības personāls) vai struktūrvienībām;
– ziņas par personas piekļuvi tehniskajiem resursiem un šīs piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
datums, kad pēdējo reizi veikta personas apmācība kiberdrošības jautājumos.
Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
Lai mazinātu iespējamos kiberriskus un nepieciešamības gadījumā reaģētu uz kiberincidentiem, ir nepieciešams veikt atbilstošus un samērīgus kiberrisku pārvaldības un darbības nepārtrauktības pasākumus. Noteikumu projekts paredz, ka subjekts izstrādā, uztur, ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Šo plānu var veidot kā vienotu dokumentu vai kā vairāku plānu kopumu, ko subjekts izstrādā dažāda veida informācijas sistēmām vai to elementiem atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Tāpat subjekts var dalīt kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu divos dokumentos – kiberrisku pārvaldības plānā un IKT darbības nepārtrauktības plānā.
Noteikumu projekts paredz, ka subjekts kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
(1) kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, katra analizējamā kiberriska pieļaujamās vērtības, novērtēšanas matrica);
(2) kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu;
(3) kiberrisku mazināšanas pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku mazināšanai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
(4) rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
Tāpat subjekts var iekļaut kiberrisku pārvaldības un IKT darbības nepātrauktības plānā subjektam saistošajos normatīvajos aktos noteikto regulāro darbību uzskaitījumu kiberrisku mazināšanai, atbildīgos par darbību īstenošanu un kontroli, kā arī šo darbību īstenošanas termiņus vai to periodiskumu, kā arī subjekta tehniskā personāla apmācību un mācību plānu darbības nepārtrauktības nodrošināšanai nozīmīga kiberincidenta vai krīzes gadījumā. Nosakot kiberrisku pārvaldības un darbības nepārtrauktības plāna pārskatīšanas un aktualizēšanas periodu, subjekts ņem vērā subjekta tīklu un informācijas sistēmu īpatnības un aktuālos kiberriskus. Izvērtējumu par plāna pārskatīšanas un aktualizēšanas periodu subjekts var iekļaut kiberdrošības politikā.
Noteikumu projekts paredz, ka subjekts, plānojot kiberrisku mazināšanas pasākumus:
(1) apzina savā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu un informācijas resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
(2) paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);
(3) A kategorijas informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) IP adreses vai adrešu apgabalus.
Noteikumu projekts paredz, ka subjekta vadītājs nozīmē atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu. Savukārt subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes kontroli. Noteikumu projekts nosaka subjekta vadītājam par pienākumu nodrošināt, ka kiberdrošības pārvaldniekam un citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai (piemēram, tiesības piekļūt informācijas sistēmas tehniskajiem resursiem).
Kiberincidentu žurnāls
Lai nodrošinātu efektīvu un atbilstošu reaģēšanu uz kiberincidentiem, ir svarīgi nodrošināt kiberincidentu uzskaiti. Tādēļ noteikumu projekts paredz, ka subjekts izstrādā un uztur kiberincidentu žurnālu, kurā iekļauj informāciju par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Kiberincidentu žurnālā norāda šādu informāciju:
(1) kiberincidenta konstatēšanas datums un laiks, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
(2) kiberincidenta veidu atbilstoši Noteikumu projekta pielikumā ietvertajai tipoloģijai;
(3) kiberincidenta vispārīgo aprakstu;
(4) kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
(5) kiberincidenta ietekmes novērtējumu;
(6) atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
(7) atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
(8) aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts");
Subjekts var veidot kiberincidentu žurnālu atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu lietojumprogrammu vai citu tehnoloģisku risinājumu. Noteikumu projekts paredz, ka subjekts bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā.
Noteikumu projekts paredz šādu kiberincidentu tipoloģiju:
Kods 01 – Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs);
Kods 02 – Ļaundabīgs kods;
Kods 03 – Informācijas vākšana;
Kods 04 – Ielaušanās mēģinājums;
Kods 05 – Ielaušanās;
Kods 06 – Pieejamības traucējums;
Kods 07 – Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana);
Kods 08 – Krāpniecība;
Kods 09 – Ievainojamība;
Kods 10 – Cits kiberincidenta veids;
Kods 99 – Pārbaude (mācības).
Lietotāju un piekļuves tiesību pārvaldība
Lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi, Noteikumu projekts paredz, ka subjekts nodrošina lietotāju piekļuves tiesību pārvaldību. Noteikumu projekts paredz, ka subjekts katrai tā īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu kategorijai identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam, nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas drošības klasi, un piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā.
Atšķirībā no Ministru kabineta 2015. gada 28. jūlija noteikumiem Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", Noteikumu projekts nenosaka prasības izmantot konkrētas autentifikācijas metodes vai šo autentifikācijas metožu drošības līmeni (tostarp, piemēram, paroļu garumu). Taču Noteikumu projekts paredz, ka subjektam ir pienākums nodrošināt, ka lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Noteikumu projekts paredz obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu vismaz, lai piekļūtu:
(1) A kategorijas informācijas sistēmas kontam;
(2) B kategorijas informācijas sistēmas administratora lietotāja kontam;
(3) B kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai.
Tāpat noteikumu projekts nosaka prasības attiecībā uz atsevišķu kontu veidu izmantošanu. Noteikumu projekts paredz, ka subjekts nodrošina, ka sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu, un informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus. Tāpat subjekts nodrošina, ka standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai, bet administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu.
Subjektam ir pienākums nodrošināt, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus. Noteikumu projekts paredz, ka subjektam ir pienākums informēt visus reģistrētus informācijas sistēmas lietotājus par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas, kā arī nodrošināt, ka informācijas sistēmas lietošanas noteikumi ir pieejami reģistrētiem informācijas sistēmas lietotājiem visā informācijas sistēmas lietošanas laikā.
Noteikumu projekts paredz, ka subjektam jānodrošina kiberdrošības pārvaldniekam tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ, kā arī tiesības:
(1) nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
(2) pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām;
(3) kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā apturēt saistītos lietotāju kontus un atcelt tiem piešķirtās piekļuves tiesības;
(4) pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu.
Auditācijas pierakstu pārvaldība
Noteikumu projekts paredz, ka subjekts nodrošina informācijas sistēmu auditācijas pierakstu un tīkla plūsmas auditācijas pierakstu veidošanu un uzglabāšanu.
Noteikumu projekts paredz, ka informācijas sistēmu auditācijas pierakstos tiek ietverta informācija par konkrētiem informācijas sistēmas notikumiem, tostarp informācijas sistēmas ieslēgšanu un izslēgšanu, kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām, kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem, datu pievienošanu, izmaiņām un dzēšanu, tehnisko resursu konfigurāciju izmaiņām, kā arī informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par iespējamo kiberincidentu vai citu apdraudējumu (piemēram, tehnoloģisku avāriju) informācijas sistēmas vai informācijas resursa drošībai. Informācijas sistēmas auditācijas pierakstos tiek fiksēts katra šāda IKT notikuma laiks, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, IP adrese, no kuras veikta darbība, darbības apraksts, kā arī informācija par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
Savukārt tīkla plūsmas auditācijas pierakstos tiek ietverta informācija par datu pakešu nosūtīšanas un saņemšanas notikumiem. Tīkla auditācijas pierakstos tiek fiksēts katras datu paketes nosūtīšanas vai saņemšanas datums un laiks, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, datu paketes nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses, avota un galamērķa izmantotie tīkla porti, kas norāda, kādi pakalpojumi vai lietojumprogrammas bija iesaistītas datu pārsūtīšanā (piemēram, HTTP, HTTPS, FTP), avota unikālais identifikators (MAC adrese), izmantotais tīkla protokols (piemēram, TCP, UDP), pārsūtīto (pārraidīto) datu apjoms, datu pārsūtīšanas sesijas ilgums, kā arī interneta plūsmas veids (piemēram, datu plūsma no iekšējā tīkla vai no ārējiem avotiem).
Noteikumu projekts paredz, ka auditācijas pierakstu uzglabāšanas laiks ir:
(1) A kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas;
(2) B kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 12 mēnešus pēc pēdējā ieraksta izdarīšanas;
(3) C kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 6 mēnešus pēc pēdējā ieraksta izdarīšanas.
Noteikumu projekts paredz, ka auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjektam ir pienākums ievērot sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi. Noteikumu projekts paredz, ka subjekts nodrošina auditācijas pierakstu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu, īstenojot atbilstošus drošības pasākumus. Noteikumu projekts nosaka par pienākumu subjektam nozīmēt par auditācijas pierakstu pārvaldību atbildīgās personas, kā arī iekšējos normatīvajos aktos noteikt auditācijas pierakstu pārvaldības kārtību, tostarp auditācijas pierakstu analīzes, pārbaužu kārtību un regularitāti, kā arī auditācijas pierakstu aizsardzības prasības.
Rezerves kopiju pārvaldība
Noteikumi nosaka par pienākumu subjektam iekšējos normatīvajos aktos noteikt rezerves kopiju veidošanas, glabāšanas, pārbaudes un dzēšanas prasības un kārtību, tostarp kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, kā arī nozīmēt par rezerves kopiju veidošanu, glabāšanu un pārbaudi un dzēšanu atbildīgās personas.
Noteikumu projekts paredz, ka subjekts obligāti veido vismaz šādas rezerves kopijas subjekta īpašumā un valdījumā esošajai A un B kategorijas informācijas sistēmai:
(1) informācijas resursu rezerves kopijas;
(2) tehnisko resursu konfigurāciju rezerves kopijas;
(3) auditācijas pierakstu rezerves kopijas.
Rezerves kopiju veidošana C kategorijas informācijas sistēmām nav obligāta, taču subjekts var to darīt. Noteikumu projekts paredz, ka subjekts var noteikt stingrākas prasības informācijas sistēmu vai atsevišķu tajās apstrādāto informācijas resursu rezerves kopiju veidošanai, glabāšanai, pārbaudei un dzēšanai, nekā noteikts šajā Noteikumu projektā.
Noteikumu projekts paredz, ka subjekts, veidojot rezerves kopijas, nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes. Tāpat noteikumu projekts paredz, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija:
(1) A kategorijas informācijas sistēmai – iepriekšējā dienā, iepriekšējā nedēļā, iepriekšējā mēnesī, iepriekšējā gadā;
(2) B kategorijas informācijas sistēmai – iepriekšējā nedēļā, iepriekšējā mēnesī, iepriekšējā gadā;
(3) C kategorijas informācijas sistēmai – iepriekšējā mēnesī, iepriekšējā gadā.
Praksē šāda prasība nozīmētu, ka subjektam, kura īpašumā ir C kategorijas informācijas sistēma, būtu jāuztur vismaz 2 rezerves kopiju instances – viena, kas izveidota iepriekšējā mēnesī, un vēl viena, kas izveidota iepriekšējā gadā.
Noteikumu projekts paredz, ka subjekts nodrošina, ka katrai rezerves kopijas informācijas sistēmas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:
(1) informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
(2) informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
(3) informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas.
Tāpat Noteikumu projekts paredz, ka par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts auditācijas pierakstos, un, ka kiberdrošības pārvaldnieks un citas par rezerves kopijām atbildīgās personas tiek nekavējoties brīdinātas, ja kārtējā rezerves kopijas izveide nav izdevusies. Noteikumu projekts paredz, ka, uzglabājot rezerves kopijas, subjekts nodrošina, ka rezerves kopijas tiek uzglabātas atbilstoši rezerves kopijās glabātās informācijas klasifikācijas līmenim, ievērojot normatīvo aktu prasības par informācijas aizsardzību, un tām var piekļūt (gan fiziski, gan elektroniskajā vidē) var tikai kiberdrošības pārvaldnieks un citas personas, kas atbildīgas par rezerves kopijām. Noteikumu projekts paredz, ka subjekta kiberdrošības pārvaldnieks ir tiesīgs veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam.
Lai nodrošinātu A kategorijas informācijas sistēmas rezerves kopiju satura integritāti, Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma, kas tiek pārbaudīta pēc rezerves kopijas pārvietošanas citā datu nesējā. Tāpat Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai vismaz viena auditācijas pierakstu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), funkcionāli atdalītās telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.
Apmācības
Noteikumu projekts paredz, ka subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, iekšējos normatīvajos aktos nosakot apmācību plānošanas un organizēšanas kārtību, kā arī kārtību, kādā novērtē apmācību efektivitāti (nodarbināto zināšanu un izpratnes līmeni). Noteikumu projekts paredz, ka subjekts, organizējot apmācības, izvēlas tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Subjekts obligāti organizē vismaz šādas apmācības:
(1) visu subjekta nodarbināto instruktāžas, tostarp sākotnējās instruktāžas, kuras veic ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža, kārtējās instruktāžas, kuras veic vismaz reizi kalendārajā gada, un ārkārtas instruktāžas, ko organizē pēc pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
(2) subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai
Noteikumu projekts paredz, ka instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tam ir pienākums informēt kiberdrošības pārvaldnieku un vienoties par instruktāžu citā piemērotā laikā un formātā. Noteikumu projekts paredz, ka kiberdrošības pārvaldniekam ir tiesības apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža. Instruktāžas saturu nosaka subjekts atbilstoši subjekta darbības specifikai. Instruktāža var iekļaut, piemēram, šādus tematus:
(1) valsts kiberdrošības pārvaldības sistēma, atbildīgo institūciju uzdevumi;
(2) subjekta kiberdrošības pārvaldības struktūra, atbildīgo amatpersonu un struktūrvienību funkcijas un pienākumi kiberdrošības jomā;
(3) nodarbinātajiem saistošie normatīvie akti kiberdrošības jomā;
(4) nodarbināto darba (dienesta) pienākumu izpildei izmantojamie resursi, to lietošanas un uzturēšanas kārtība, IKT un fiziskās vides drošības pasākumi;
(5) ja attiecināms, ārējo pakalpojumu sniedzēju uzturēto tīklu, informācijas sistēmu un resursu izmantošanas kārtība;
(6) darbstacijas drošība;
(7) programmatūras izmantošanas kārtība;
(8) drošas autentifikācijas metodes un droša paroļu pārvaldība;
(9) interneta lietošanas kārtība;
(10) bezvadu (WiFi) tīklu droša izmantošana;
(11) e-pasta droša lietošana;
(12) savienoto ierīču (lietu internets) drošība;
(13) mobilo iekārtu un citu viedierīču drošība;
(14) informācijas aizsardzības prasības;
(15) izplatītākie kiberuzbrukumu veidi;
(16) rīcība kiberincidenta gadījumā (gan subjektā, gan ārpus tā);
(17) IKT notikumu (kiberincidenti, aizdomas par kiberincidentu, anomālijas, tehniskās problēmas) pieteikšanas un pieteikumu apstrādes kārtība;
(18) sociālās inženierijas uzbrukumu veidu (piemēram, pikšķerēšana, smikšķerēšana, kvikšķerēšana) atpazīšanas metodes un ieteicamā rīcība šādu uzbrukumu gadījumā;
(19) interneta resursu izmantošana un tajā publicējamā informācija (par subjektu un pašu nodarbināto), sociālo mediju platformu droša lietošana;
(20) medijpratība, tai skaitā mākslīgā intelekta ietekme un informācijas vides drošību;
(21) kiberhigiēnas zināšanu un prasmju pilnveides un apmācību iespējas.
Noteikumu projekts paredz, ka IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs samazināt apmācību periodiskumu (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu), ņemot vērā aktuālo kiberapdraudējuma līmeni un subjekta darbības specifiku. IKT personāla apmācību saturu nosaka subjekts, ņemot vērā subjekta darbības un IKT infrastruktūras specifiku. IKT personāla apmācības var ietvert, piemēram, šādus tematus:
(1) ārējie normatīvie akti, kas regulē subjekta kiberdrošību (tostarp Nacionālais kiberdrošības likums un šie noteikumi);
(2) subjekta iekšējie normatīvie akti kiberdrošības jomā, kiberdrošības pārvaldības dokumentācijas kopums;
(3) subjekta kiberdrošības politika;
(4) resursu klasifikācijas un uzskaites pamatprincipi, subjekta IKT resursu un informācijas sistēmu katalogs;
(5) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
lietotāju piekļuves tiesību pārvaldība un nulles uzticēšanās (zero trust) modelis;
(6) tīkla segmentācija un konfigurēšana;
(7) tehnisko resursu administrēšana un pārvaldība;
(8) žurnālfailu pārvaldība;
(9) šifrēšanas prasības;
(10) rezerves kopiju pārvaldība;
(11) ielaušanās testi un drošības skenēšana;
(12) ārpakalpojumu un piegādes ķēžu drošība;
(13) kiberincidentu veidi un kiberincidentu nozīmīguma kritēriji;
(14) rīcība kiberincidenta vai ievainojamības konstatēšanas gadījumā;
(15) kiberincidentu ziņošanas kārtība;
(16) kiberincidentu un ievainojamību žurnāla veidošanas pamatprincipi;
(17) rīcība nozīmīga kiberincidenta vai kiberdrošības krīzes gadījumā, darbības nepārtrauktības procedūras;
(18) sadarbība ar kiberincidentu novēršanas institūcijām, uzraugošajām iestādēm un sadarbības partneriem;
(19) IKT personāla profesionālās kvalifikācijas pilnveides un apmācību iespējas.
Noteikumu projekts paredz, ka subjekts uzskaita organizētās apmācības. Šim nolūkam subjekts var izveidot un uzturēt apmācību žurnālu, tajā iekļaujot, piemēram, šādu informāciju:
(1) apmācības datums un veids (piemēram, sākotnējā, kārtējā vai ārkārtas instruktāža vai IKT personāla apmācība);
(2) apmācības tēma;
(3) par apmācību atbildīgās personas identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs);
(4) apmācāmo nodarbināto identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs).
Šifrēšanas prasības
Noteikumu projekts paredz augstākas kiberdrošības prasības būtisko pakalpojumu sniedzējiem. Viena no šādām prasībām ir saistīta ar šifrēšanas risinājumu izmantošanu, lai nodrošinātu informācijas resursu konfidencialitāti. Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs, ja vien tas ir tehniski iespējams, pielieto šifrēšanas risinājumus vismaz:
(1) A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei (in-transit) publiskajā vidē un iekšējos IKT infrastruktūras bezvadu tīklos;
(2) A konfidencialitātes klases informācijas resursu glabāšanai (at-rest).
Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju līdz 2025. gada 1. jūlijam izstrādās un publicēs savā mājaslapā internetā vadlīnijas šifrēšanas risinājumu izmantošanai. Šifrēšanas vadlīnijas tiks pārskatītas vismaz reizi gadā un nepieciešamības gadījumā aktualizētas. Savukārt būtisko pakalpojumu sniedzējam būs pienākums savos iekšējos normatīvajos aktos noteikt:
(1) minimālo pieļaujamo kriptogrāfijas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni un Nacionālā kiberdrošības centra šifrēšanas vadlīniju aktuālos ieteikumus;
(2) šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
(3) prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.
Prasības IKT infrastruktūrai, kura pilda datu centra funkcijas
Vēl viena papildu prasība būtisko pakalpojumu sniedzējiem ir saistīta ar IKT infrastruktūru, kurā uztur būtisko pakalpojumu sniedzēja īpašumā un valdījumā esošās informācijas sistēmas. Nacionālas kiberdrošības likums nosaka, ka subjekts savas informācijas sistēmas uztur savā IKT infrastruktūrā, kas atbilst šajā Noteikumu projektā noteiktajām prasībām, vai Ministru kabineta noteiktajām prasībām atbilstošos datu centros. Noteikumu projekts paredz, ka gadījumā, ja būtisko pakalpojumu sniedzējs izvēlas savā īpašumā vai valdījumā esošās A vai B kategorijas informācijas sistēmas uzturēt savā IKT infrastruktūrā, tam ir jānodrošina, ka:
(1) aparatūra ir izvietota atsevišķā slēdzamā telpā vai slēdzamās statnēs (skapjos);
(2) katrai telpai vai statnei ir apmeklētāju žurnāls;
(3) būtisko pakalpojumu sniedzēja vadītājs vai vadītāja pilnvarotā persona (piemēram, drošības daļas vadītājs) apstiprina sarakstu ar personām, kurām ir tiesības piekļūt IKT aparatūras telpām un statnēm;
(4) telpas ir nodrošinātas ar atbilstošiem klimata uzraudzības un kontroles mehānismiem, kas nodrošina telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%, gaisa temperatūru no 18 līdz 27 Celsija grādiem un trokšņa līmeni līdz 70 Db;
(5) telpās netiek glabāti ugunsnedrošas mantas vai atkritumi;
(6) telpas ir nodrošinātas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu;
(7) atbildīgie nodarbinātie ir informēti par kārtību un rīcību ugunsgrēka gadījumā;
(8) ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
(9) kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu;
(10) atbildīgie nodarbinātie ir informēti par kārtību un rīcību neparedzētu notikumu gadījumā, nodarbinātajiem ir zināmi apsardzes, ugunsdzēsības, elektroapgādes un klimata kontroles apkalpojošā personāla vai pakalpojuma sniedzēja kontaktinformācija.
Papildus minētajam, ja subjekts savā IKT infrastruktūrā uztur A kategorijas informācijas sistēmu, tas nodrošina, ka IKT infrastruktūra ir aprīkota ar nepārtrauktās elektrības barošanas iekārtu, rezerves elektrības pieslēgumu un alternatīvu elektrības padeves rezerves risinājumu (piemēram, izmantojot elektrības ģeneratoru).
Prasības publiskajiem elektronisko sakaru tīkliem
Ņemot vērā, ka elektronisko sakaru komersanti saskaņā ar Nacionālo kiberdrošības likumu ir būtisko pakalpojumu sniedzēji, Noteikumu projekts nosaka papildu drošības prasības publiskajiem elektronisko sakaru tīkliem, pārstrādājot jau šobrīd spēkā esošās prasības, kas noteiktas Ministru kabineta 2023. gada 28. februāra noteikumos Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības", lai izvairītos no tiesību normu pārklāšanās un atvieglotu administratīvo slogu publisko elektronisko sakaru tīklu īpašniekiem un tiesiskajiem valdītājiem.
Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šī Noteikumu projekta pielikumu, nepieciešamības gadījumā identificējot kā kritiskas arī citas tīkla daļas, un iesniedz Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem. Saskaņā ar Noteikumu projektu publiskā elektronisko sakaru tīkla īpašniekam vai tiesiskajam valdītājam ir pienākums informēt Satversmes aizsardzības biroju par izmaiņām šajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas. Publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs var neinformēt Satversmes aizsardzības biroju par izmaiņām sarakstā, ja iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošā iekārta, tiek uzstādīti esošās programmatūras atjauninājumi vai tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām.
Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs savā kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai. Noteikumu projekts aizliedz publiskā elektronisko sakaru tīkla kritiskajās daļās izmantot tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai. Noteikumu projekts nosaka konkrētus kritērijus, kurus Satversmes aizsardzības birojs vērtē, sagatavojot minēto atzinumu. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs uzrauga šajā Noteikumu projektā publiskajiem elektronisko sakaru tīkliem noteikto drošības prasību piemērošanu, izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību, kā arī nepieciešamības gadījumā var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai.
Ārpakalpojumu prasības
Noteikumu projekts nosaka vispārīgās un īpašās ārpakalpojumu prasības būtisko pakalpojumu sniedzējiem. Vispārīgās prasības nosaka, ka būtisko pakalpojumu sniedzējs, slēdzot ārpakalpojuma līgumu par IKT produktu vai pakalpojumu iegādi, iepirkuma specifikācijā un ārpakalpojuma līgumā iekļauj ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par kiberincidentiem un atklātajām produkta vai pakalpojuma ievainojamībām, to novēršanas pasākumiem un termiņiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
Noteikumu projekts paredz, ka gadījumā, ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam (turpmāk – apakšuzņēmējs), apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Noteikumu projekts nosaka, ka ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Tāpat Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējam, izmantojot ārpakalpojumu, ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Noteikumu projekts nosaka, ka ārpakalpojuma saņemšana neatbrīvo būtisko pakalpojumu sniedzēju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības, un būtisko pakalpojumu sniedzējs ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. Noteikumu projekts paredz, ka informācijas sistēmas vai publiskā elektronisko sakaru tīkla drošības līmenis, ja to attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par būtisko pakalpojumu sniedzēja noteikto, un, ka būtisko pakalpojumu sniedzēja klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs pirms lēmuma pieņemšanas par ārpakalpojuma iegādi izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes, drošības un pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju. Gadījumā, ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par jaunas informācijas sistēmas izstrādi, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības, kā arī paredz:
(1) noteiktu informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;
(2) informācijas sistēmas programmatūras pirmkoda un tā izmantošanas tiesību nodošanu būtisko pakalpojumu sniedzējam ne vēlāk kā pēc uzturēšanas un atbalsta nodrošināšanas laikposma beigām, kā arī pēc katru izmaiņu vai uzlabojumu veikšanas tajā;
(3) iespēju uzturēšanas un atbalsta nodrošināšanas laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma (piemēram, operētājsistēma, datubāžu vadības sistēma, interpretators) jaunākām versijām.
Tāpat gadījumā, ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par esošās informācijas sistēmas uzlabojumiem, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības. Savukārt gadījuma, ja būtisko pakalpojumu sniedzējs slēdz ārpakalpojuma līgumu par tīkla vai informācijas sistēmas uzturēšanu, līgumā iekļauj kiberdrošības prasības, kuras nav zemākas par šajos noteikumos noteiktajām prasībām, kā arī ārpakalpojuma līgumā iekļauj:
(1) ārpakalpojuma aprakstu un precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;
(2) būtisko pakalpojumu sniedzēja un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:
– būtisko pakalpojumu sniedzēja tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
– būtisko pakalpojumu sniedzēja tiesības dot ārpakalpojuma sniedzējam obligāti izpildāmus norādījumus jautājumos, kas saistīti ar godprātīgu, kvalitatīvu, savlaicīgu un normatīvo aktu prasībām atbilstošu ārpakalpojuma izpildi,
– būtisko pakalpojumu sniedzēja tiesības iesniegt ārpakalpojuma sniedzējam pamatotu rakstisku pieprasījumu nekavējoties izbeigt ārpakalpojuma līgumu, ja būtisko pakalpojumu sniedzējs konstatējis, ka ārpakalpojuma sniedzējs nepilda ārpakalpojuma līgumā noteiktās prasības attiecībā uz ārpakalpojuma apjomu vai kvalitāti,
– ārpakalpojuma sniedzēja pienākumu nodrošināt būtisko pakalpojumu sniedzējam iespēju pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
– ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības,
- ārpakalpojuma sniedzēja pienākumu informēt būtisko pakalpojumu sniedzēju par apakšuzņēmēju un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;
(3) tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras būtisko pakalpojumu sniedzējs ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;
(4) piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu.
Noteikumu projekts nosaka kiberdrošības pārvaldniekam par pienākumu uzraudzīt ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi.
Noteikumu projekts nosaka īpašās ārpakalpojumu prasības, kas ir veidotas pēc līdzības ar Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" paaugstinās drošības informācijas sistēmām noteiktajām prasībām, un ir pilnveidotas, ņemot vērā aktuālos kiberdrošības un nacionālās drošības apdraudējumus. Noteikumu projekts paredz, ka līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
(1) juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
– tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
– tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis;
– tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
– tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām;
(2) fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
(3) citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.
Tāpat īpašās ārpakalpojumu prasības paredz, ka A kategorijas informācijas sistēmas vai tās elementu izvietošana ārpakalpojuma sniedzēja nodrošinātos tehniskajos resursos ir atļauta tikai tad, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek tikai NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valstu teritorijā, vai, ja ir saņemta kompetentās valsts drošības iestādes atļauja, citas valsts teritorijā. Šādas īpašās ārpakalpojumu prasības ir attiecināmas arī uz ārpakalpojuma līgumiem par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, paredzot, ka auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst minētajām prasībām, auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību, kā arī auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā.
Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver norādi uz minētajiem ierobežojumiem, kā arī ārpakalpojuma līgumā nosaka ārpakalpojuma sniedzēja pienākumu līguma darbības laikā nekavējoties informēt būtisko pakalpojumu sniedzēju par jebkurām izmaiņām, kas var ietekmēt ārpakalpojuma sniedzēja un apakšuzņēmēju atbilstību minētajām prasībām. Noteikumu projekts paredz, ka ārpakalpojuma līgumu izbeidz, ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām vai, ja ir saņēmts kompetentās valsts drošības iestādes atzinums, ka līguma turpināšana ir pretrunā ar nacionālās drošības interesēm.
Papildu prasības IKT kritiskajai infrastruktūrai
Noteikumu projekts nosaka papildu prasības IKT kritiskajai infrastruktūrai, paredzot, ka uz visiem IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem attiecas tādas pašas prasības, kādas šajā Noteikumu projektā ir noteiktas būtisko pakalpojumu sniedzējiem, kā arī papildu prasības. Papildu prasības ietver kiberdrošības pārvaldnieka kandidatūras saskaņošanu ar Satversmes aizsardzības biroju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību šo Noteikumu prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Tāpat Satversmes aizsardzības birojs var pārbaudīt IKT kritiskās infrastruktūras nodarbinātos, kā arī, ja komersants sniedz pakalpojumus kritiskajā infrastruktūrā, komersanta īpašnieku, valdes locekļus un nodarbinātos, kuriem ir pieeja kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām vai kuri sniedz kritiskās infrastruktūras funkcionēšanai nozīmīgus pakalpojumus, un izvērtēt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju. Pamatojoties uz pārbaudes rezultātiem, Satversmes aizsardzības birojs var sniegt IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ieteikumus par drošības pasākumu veikšanu. Papildu prasības IKT kritiskajai infrastruktūrai paredz arī, ka IKT kritiskās infrastruktūras kiberdrošības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors, bet ielaušanās testus IKT kritiskajā infrastruktūrā – ar Satversmes aizsardzības biroju saskaņots ielaušanās testu veicējs.
Papildu prasības kiberincidentu novēršanas institūcijām
Saskaņā ar Nacionālās kiberdrošības likumā noteikto, kiberincidentu novēršanas institūciju uzdevumus veic Militārās izlūkošanas un drošības dienests un Latvijas Universitātes Matemātikas un informātikas institūts. Nacionālās kiberdrošības likumā ir noteikti arī kiberincidentu novēršanas institūciju uzdevumi un tiesības. Attiecībā uz minētajām institūcijām ir piemērojamas šajos noteikumis noteiktās prasības, vienlaikus attiecībā uz šīm institūcijām atbilstoši NIS2 direktīvā noteiktajam ir piemērojamas papildu prasības. Jau pašlaik kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas Ministru kabineta 2025. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", taču līdz šim nacionālajā tiesiskajā regulējumā nav bijušas definētas specifiskas prasības, kas attiektos tikai uz kiberincidentu novēršanas institūcijām.
Līdz ar to, Noteikumu projektā ietvertas papildu prasības kiberincidentu novēršanas institūcijām, lai tās varētu kvalitatīvi veikt Nacionālās kiberdrošības likumā noteiktos uzdevumus un īstenot tām noteiktās prasības, tostarp prasības, kas izriet no NIS2 direktīvas 10. un 11. pantā noteiktās prasības. Ar šo Noteikumu projektu tiek pārņemtas NIS2 direktīvas prasības datordrošības incidentu reaģēšanas vienībām (CSIRT) jeb nacionāli - kiberincidentu novēršanas institūcijām. Prasības paredz kiberincidentu novēršanas institūcijām nodrošināt savu sakaru kanālu augstu pieejamības līmeni, drošas telpas un pietiekamu darbinieku skaitu, lai nepieciešamības gadījumā spētu nodrošināt sev noteikto uzdevumu izpildi un darbības nepārtrauktību.
Kiberincidentu vadība
Noteikumu projekts nosaka kiberincidentu nozīmīguma kritērijus, paredzot, ka par nozīmīgu kiberincidentu tiek uzskatīts kiberincidents, kurš atbilst vismaz vienai no šādām pazīmēm:
(1) kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
(2) kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām;
(3) kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
(4) kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
(5) kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
(6) kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.
Noteikumu projekts paredz, ka atkarībā no nozīmīgā kiberincidenta veida, tā intensitātes un ietekmes, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs var izsludināt kiberdrošības krīzi, lai nodrošinātu ar nozīmīgā kiberincidenta risināšanu un tā seku likvidēšanu saistīto pasākumu īstenošanu saskaņā ar Nacionālo kiberincidentu krīzes vadības plānu.
Tāpat Noteikumu projekts nosaka, ka subjekts, konstatējot kiberincidentu, subjekts nekavējoties novērtē tā nozīmīgumu un Nacionālās kiberdrošības likumā noteiktajos termiņos par nozīmīgajiem kiberincidentiem ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi elektroniski aizpildītu noteiktas formas un satura veidlapu (agrīnā brīdinājuma veidlapu, sākotnējā ziņojuma veidlapu, progresa ziņojuma veidlapu, starpposma ziņojuma veidlapu vai galaziņojuma veidlapu). Savukārt par tādu kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjektam ir pienākums ziņot kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.
Atbilstības audits
Atbilstoši Nacionālā kiberdrošības likumā noteiktajam Noteikumu projekts nosaka kiberdrošības auditoriem izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību. Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā reģistrē auditoru, kurš atbilst šādām prasībām:
(1) auditors ir juridiska vai fiziska persona, kura atbilst šī Noteikuma projekta 76. punkta prasībām (īpašās ārpakalpojumu prasības);
(2) auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
(3) auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām;
(4) auditora reģistrācija nav pretrunā ar nacionālās drošības interesēm.
Noteikumu projekts paredz, ka, lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu un minēto sertifikātu kopijas. Noteikumu projekts paredz, ka auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību izvirzītajām prasībām. Noteikumu projekts nosaka, ka Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
(1) saņemts auditora iesniegums par izslēgšanu no saraksta;
(2) konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
(3) auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
(4) pastāv objektīvas bažas par auditora zināšanas kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
(5) saņemts kompetentās valsts drošības atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;
(6) publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
(7) publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.
Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komitejas lēmums par auditora reģistrāciju, auditora reģistrācijas datu precizēšanu vai izslēgšanu no auditoru saraksta ir administratīvais akts, un, ka auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.
Drošības skenēšana
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kritērijus un kārtību, kādā veic subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu. Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros vai pēc subjekta pieprasījuma.
Noteikumu projekts nosaka, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs, vērtējot drošības skenēšanas nepieciešamību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
Noteikumu projekts paredz, ka gadījumā, ja drošības skenēšanu veic pēc subjekta pieprasījuma, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs par drošības skenēšanas rezultātiem informē kompetento kiberincidentu novēršanas institūciju un attiecīgo subjektu, ja vien tas nav pretrunā ar nacionālās drošības interesēm. Noteikumu projekts nosaka, ka drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
Agrās brīdināšanas sensori
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kiberdrošības agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus, kā arī kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā. Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.
Noteikumu projekts paredz, ka agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija. Agrās brīdināšanas sensorus izvieto, ievērojot šādu prioritāro kārtību: (1) IKT kritiskā infrastruktūra; (2) būtisko pakalpojumu sniedzēju IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmas; (3) pārējā būtisko pakalpojumu sniedzēju IKT infrastruktūra; (4) svarīgo pakalpojumu sniedzēju IKT infrastruktūra. Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija, vērtējot agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
Noteikumu projekts paredz, ka gadījumā, ja kiberincidentu novēršanas institūcijas vērtējumā agrās brīdināšanas sensora turpmākā izmantošana nav nepieciešama vai nav lietderīga, subjekta IKT infrastruktūrā uzstādīto agrās brīdināšanas sensoru demontē. Tāpat Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija savlaicīgi informē subjektu par agrās brīdināšanas sensora uzstādīšanu subjekta IKT infrastruktūrā, agrās brīdināšanas sensora uzturēšanai nepieciešamajiem apkopes darbiem un agrās brīdināšanas sensora demontāžu. Subjektam ir pienākums pēc kiberncidentu novēršanas institūcijas pieprasījuma nodrošināt tai netraucētu piekļuvi savai IKT infrastruktūrai, lai nodrošinātu netraucētu agrās brīdināšanas sensora uzstādīšanu, apkopi un demontāžu.
Pašvērtējums
Saskaņā ar Nacionālās kiberdrošības likumu Noteikumu projekts nosaka subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti. Noteikumu projekts paredz, ka subjekts, kurš ir ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma, veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām reizi gadā, bet pārēji subjekti – reizi trijos gados, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk. Noteikumu projekts nosaka, ka pašvērtējuma ziņojumu sagatavo atbilstoši Noteikumu projekta pielikumā ietvertajai veidlapai, un to iesniedz līdz attiecīgā kalendārā gada 1. oktobrim.
Neatbilstību novēršana valsts un pašvaldību institūcijās
Noteikumu projekts paredz, ka gadījumā, ja subjekts, kurš ir valsts vai pašvaldības institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo faktu ziņo attiecīgajai amatpersonai. Noteikumu projekts nosaka, ka gadījumā, ja subjekts ir tiešās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Šādā gadījumā Ministru kabineta loceklis izvērtē nepieciešamību ierosināt disciplinārlietu un lemj par turpmāko rīcību neatbilstības novēršanai. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam. Tāpat gadījumā, ja subjekts ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē viedās administrācijas un reģionālās attīstības ministru. Savukārt gadījumā, ja subjekts ir cita valsts vai pašvaldības institūcija, Nacionālais kiberdrošības centrs par neatbilstību ziņo Ministru kabinetam, kurš lemj par turpmāko rīcību neatbilstības novēršanai.
Piekļuves slēgšana elektronisko sakaru tīklam
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam Noteikumu projekts nosaka nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam. Noteikumu projekts paredz, ka pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju. Noteikumu projekts nosaka par pienākumu elektronisko sakaru komersantam atslēgt lietotāju no elektronisko sakaru tīkla nekavējoties pēc piekļuves slēgšanas pieprasījuma saņemšanas, un, ja tas ir noteikts piekļuves slēgšanas pieprasījumā, pārvirzīt lietotāja IP adreses vai domēna vārda pieprasījumus uz noteiktu informatīvu vietni. Noteikumu projekts paredz, ka lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju, kā arī pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām minēto piekļuvi atjauno, ja vien nepastāv kādi objektīvi iemesli piekļuves neatjaunošanai. Šādi objektīvi iemesli varētu būt, piemēram, ja piekļuves slēgšanas laika posmā ir ticis lauzts vai zaudējis spēku starp elektronisko sakaru komersantu un lietotāju noslēgtais līgums par elektronisko sakaru pakalpojumu.
Statusa paziņošana
Nacionālās kiberdrošības likums nosaka, ka persona veic pašvērtējumu, nosakot savu atbilstību būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam. Atbilstības gadījumā persona ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka persona, kura atbilst būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusam, likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu būtisko vai svarīgo pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par būtisko pakalpojumu sniedzēja vai svarīgo pakalpojumu sniedzēja statusa zaudēšanu.
Līdzīga statusa paziņošanas kārtība ir noteikta domēnu vārdu reģistrācijas pakalpojumu sniedzējiem. Nacionālās kiberdrošības likums paredz, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs, kurš atbilst domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam un kura lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijas Republikā vai kuram Latvijas Republikā ir vislielākais darbinieku skaits, ne vēlāk kā mēneša laikā par to paziņo Nacionālajam kiberdrošības centram, kā arī nekavējoties, bet ne vēlāk kā divu nedēļu laikā paziņo Nacionālajam kiberdrošības centram par jebkādām minētajā statusa paziņojumā norādīto ziņu izmaiņām. Šajā Noteikumu projektā noteikta paziņošanas kārtība, paredzot, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi. Tāda pati kārtība ir paredzēta, lai paziņotu Nacionālajam kiberdrošības centram par izmaiņām domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa reģistrācijas veidlapā norādītajās ziņās vai par domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusa zaudēšanu.
Kiberdrošības pārvaldnieks
Nacionālās kiberdrošības likums paredz, ka subjekta vadītājs nosaka atbildīgo personu – kiberdrošības pārvaldnieku –, kas īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā. Noteikumu projekts nosaka prasības kiberdrošības pārvaldniekam, paredzot, ka kiberdrošības pārvaldniekam jābūt pilngadīgam Latvijas Republikas pilsonim, jābūt augstākai vai vidējai profesionālajai izglītībai kiberdrošības pārvaldības vai citā saistītā jomā vai starptautiski atzītajam sertifikātam, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP), vai divu gadu darba pieredzei kiberdrošības pasākumu plānošanā vai īstenošanā, kā arī jāatbilst Noteikumu projektā noteiktajām drošības prasībām. Noteikumu projekts paredz, ka kompetentā valsts drošības iestāde pēc savas iniciatīvas var pārbaudīt jebkura subjekta kiberdrošības pārvaldnieka atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot Nacionālo kiberdrošības centru (ja subjekts nav IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs) un subjekta vadītāju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību minētajām prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Tāpat Noteikumu projekts paredz kārtību, kādā subjekts paziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam par kiberdrošības pārvaldnieka iecelšanu, kā arī ziņo par izmaiņām kiberdrošības pārvaldnieka datos. Noteikumu projekts paredz, ka subjekts likumā noteiktajā termiņā iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam elektroniski aizpildītu un parakstītu ar drošu elektronisko parakstu kiberdrošības pārvaldnieka paziņojuma veidlapu, to nosūtot uz Nacionālā kiberdrošības centra norādīto elektroniskā pasta adresi.
Kiberdrošības pārvaldības dokumentācijas prasības
Noteikumu projekts paredz, ka katram subjektam jāizstrādā un jāuztur kiberdrošības pārvaldības dokumentācijas kopums. Šajā kopumā ietilpst subjekta kiberdrošības politika, IKT resursu un informācijas sistēmu katalogs, kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns un kiberincidentu žurnāls. Noteikumu projekts paredz, ka subjekts katru minētā kopuma daļu var veidot kā vienotu dokumentu vai vairāku tematiski saistītu dokumentu kopu, nepieciešamības gadījumā nosakot pieejamības ierobežojumus atsevišķām kopuma daļām, to sadaļām, konkrētiem dokumentiem vai to pielikumiem atbilstoši personu nepieciešamībai iepazīties ar šajos dokumentos ietverto informāciju. Noteikumu projekts paredz, ka kiberdrošības pārvaldības dokumentāciju veido un uztur elektroniskā formātā, to uzglabājot drošā veidā un vietā, kas ir subjekta valdījumā. Noteikumu projekts paredz, ka minēto dokumentu kopijas uzglabā atsevišķi no to oriģināliem, nodrošinot to pieejamību kiberdrošības pārvaldniekam gadījumā, ja dokumentu oriģināli nav pieejami.
Kiberdrošības politika
Kiberdrošības politika ir paredzēta kā galvenais dokuments, kas nosaka, kā tiek organizēti subjekta kiberdrošības pasākumi. Noteikumu projekts paredz, ka kiberdrošības politikā iekļauj:
(1) vispārīgu informāciju par subjektu, tā darbības jomu, sniegtajiem pakalpojumiem un procesiem, kurus var ietekmēt kiberapdraudējums;
(2) subjekta kiberdrošības pārvaldības mērķus, principus un vispārīgas pamatnostādnes;
(3) informāciju par subjekta kiberdrošības pārvaldības struktūru, atbildīgo amatpersonu un struktūrvienību funkcijām un pienākumiem kiberdrošības jomā, sadarbību ar citiem subjektiem un institūcijām;
(4) informāciju par nozīmīgākajiem kiberapdraudējumu veidiem, kuriem ir pakļauti subjekta īpašumā, valdījumā, turējumā un lietošanā esošie IKT resursi;
(5) informāciju par Nacionālās kiberdrošības likuma, šo noteikumu un citu subjektam saistošo normatīvo aktu un standartu prasībām kiberdrošības jomā, kuras attiecas uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām un IKT resursiem.
Subjekts kiberdrošības politikai var pievienot visu spēkā esošo subjekta iekšējo normatīvo aktu un vadlīniju kiberdrošības jomā kopijas, nepieciešamības gadījumā atsevišķi izdalot iekšējos normatīvos aktus un vadlīnijas attiecībā uz konkrētām informācijas sistēmām vai informācijas sistēmu grupām (piemēram, informācijas sistēmas lietošanas noteikumus), Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja pieņemto lēmumu un pieprasījumu kopijas attiecībā uz subjekta kiberdrošību, pēdējo piecu gadu laikā sagatavoto subjekta ikgadējo pašnovērtējuma ziņojumu kopijas, kā arī pēdējo piecu gadu laikā veikto subjekta kiberdrošības auditu ziņojumu kopijas.
IKT resursu un informācijas sistēmu katalogs
Noteikumu projekts paredz, ka subjekts identificē un uzskaita visus tā īpašumā, valdījumā, turējumā un lietošanā esošos IKT resursus, atbilstoši Noteikumu projekta pielikumā ietvertajai metodikai nosaka konfidencialitātes, integritātes un pieejamības drošības klasi (A, B vai C) katrai subjekta īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai un tajā elektroniski apstrādājamo informācijas resursu kategorijai, kā arī izveido, uztur, pārskata un izmaiņu gadījumā nekavējoties, bet ne vēlāk kā viena mēneša laikā aktualizē IKT resursu un informācijas sistēmu katalogu. Noteikumu projekts paredz, ka informācijas sistēmas iedala trīs kategorijās – A (paaugstinātas drošības), B (pamata drošības) un C (minimālās drošības).
Subjekts IKT resursu un informācijas sistēmu katalogu veido atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu resursu uzskaites lietojumprogrammu (datubāzi). IKT resursu un informācijas sistēmu katalogā var iekļaut, piemēram, šādu informāciju:
(1) Informācijas resursu saraksts
– informācijas resursa kategorija (piemēram, saņemtie rēķini par komunālajiem maksājumiem, darbinieku iesniegumi par atvaļinājuma piešķiršanu);
– datu klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija);
– informācijas resursa konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C);
– datu subjektu kategorija (piemēram, uzņēmuma nodarbinātie, klienti) un, ja attiecināms, kategorijas apraksts;
– datu apstrādes nolūks;
– atzīme par to, vai informācijas resurss satur personas datus;
– atzīme par to, vai informācijas resurss satur īpašo kategoriju personas datus;
– atzīme par to, vai informācijas resurss ir datu pirmavots, un ziņas par datu pirmavota fizisko atrašanās vietu, ja attiecināms;
– ziņas par informācijas resursa rezerves kopiju veidošanas biežumu un rezerves kopiju fizisko atrašanās vietu;
– ziņas par informācijas resursa glabāšanas termiņu un arhivēšanu, ja attiecināms.
– ziņas par informācijas resursa īpašnieku (tiesisko valdītāju) un datu pārzini;
– datu aizsardzības speciālista kontaktinformācija;
– ziņas par informācijas resursa turētāju (piemēram, fiziskās personas amats, vārds, uzvārds un kontaktinformācija vai personu grupas (struktūrvienības) nosaukums un kontaktinformācija);
– ziņas par personām (personu grupām), kuras var piekļūt un elektroniski apstrādāt informācijas resursu;
– ziņas par datu saņēmējiem, tostarp trešajām pusēm, ja attiecināms;
(2) Informācijas sistēmu saraksts
– (ziņas par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajām informācijas sistēmām)
– informācijas sistēmas nosaukums;
– informācijas sistēmas kategorija (A, B vai C);
– informācijas sistēmai noteiktā konfidencialitātes, integritātes un pieejamības drošības klase (A, B vai C);
– informācijas sistēmas funkciju un pakalpojumu uzskaitījums un apraksts;
– informācijas sistēmas darbības nodrošināšanai izmantojamo tehnisko resursu saraksts un shematiskais attēlojums;
– to pakalpojumu un procesu apraksts, kurus var negatīvi ietekmēt informācijas sistēmas konfidencialitātes, integritātes un pieejamības apdraudējums (risku novērtējums);
– ziņas par informācijas sistēmas izstrādātāju;
– ziņas par informācijas sistēmas īpašnieku (tiesisko valdītāju)
– ziņas par informācijas sistēmas procesu turētāju;
– ziņas par informācijas sistēmas tehnisko resursu turētāju;
– ziņas par informācijas sistēmas informācijas resursu turētāju;
– ziņas par ārpakalpojuma sniedzējiem, ja attiecināms.
(3) Tīklu shēma
– tīkla nosaukums;
– tīklam piešķirtais unikālais identifikators (tīkla uzskaites numurs);
– tīkla (tostarp apakštīklu) interneta protokola (IP) adrešu diapazoni;
– tīkla maršrutēšanas domēna (AS) numurs, ja tāds ir piešķirts;
– tīklam pievienoto iekārtu uzskaites numurs;
– tīkla un tam pievienoto iekārtu shematiskais attēlojums;
(4) Aparatūras saraksts
– iekārtai piešķirtais unikālais identifikators (iekārtas uzskaites numurs);
– iekārtas veids (piemēram, serveris, darbstacija, datu nesējs);
– iekārtas nosaukums;
– iekārtas ražotājs, modelis, sērijas numurs (ja attiecināms);
– iekārtā uzstādītās programmatūras nosaukums, versija un programmatūras instanču pēdējās atjaunināšanas datums;
– iekārtas fiziskā atrašanās vieta (piemēram, objekta adrese, telpa);
– ziņas par tīkliem, kuriem iekārta ir pievienota;
– ziņas par iekārtas īpašnieku (tiesisko valdītāju);
– par iekārtas administrēšanu atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija.
– ziņas par fiziskām personām vai personu grupām, kurām ir piekļuve iekārtai, un šo personu piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
(5) Datu nesēju saraksts
– datu nesēja nosaukums;
– datu nesējam piešķirtais unikālais identifikators (datu nesēja uzskaites numurs);
– datu nesēja veids (piemēram, atmiņas karte);
– datu nesēja klasifikācijas līmenis (piemēram, vispārpieejamā informācija, ierobežotas pieejamības informācija);
– ziņas par datu nesēja fizisko atrašanās vietu;
– ziņas par datu nesēja īpašnieku;
– par datu nesēja drošību atbildīgās fiziskās personas (administratora) identificējošā informācija (piemēram, amats, vārds un uzvārds) un kontaktinformācija.
– ziņas par datu nesēja lietotājiem (personām vai personu grupām);
(6) Programmatūras saraksts
– programmatūras veids (piemēram, sistēmprogramma, lietojumprogramma);
– programmatūras nosaukums;
– programmatūras versija un programmatūras instanču pēdējās atjaunināšanas datums;
– ziņas par programmatūras ražotāju vai atvērto pirmkodu;
– ziņas par programmatūras licenci, licences devēju, licences ņēmēju un licences derīguma termiņu (ja attiecināms);
– katras iekārtas uzskaites numurs, kurā programmatūra ir uzstādīta;
(7) Fiziskās infrastruktūras apraksts
– vispārīga informācija par objektu (piemēram, objekta nosaukums, adrese, ziņas par objekta īpašnieku vai tiesisko valdītāju);
– ziņas par subjekta struktūrvienību vai citu institūciju, kas nodrošina drošības pasākumus objektā;
– ziņas par objekta ārējā perimetra aizsardzības pasākumiem (piemēram, žogi un to izvietojums, apgaismojums un tā izvietojums, videonovērošana, signalizācija);
– ziņas par iekļūšanas kontroli objektā vai tā teritorijā (piemēram, iekļūšanas punkti, to izvietojums, darba laiks, caurlaižu režīms darbiniekiem, apmeklētājiem, transportlīdzekļiem, kravām, caurlaižu paraugi);
– ziņas par ierobežotas piekļuves zonām (ja attiecināms) un to drošības pasākumiem (piemēram, izvietojums, iekļūšanas kontrole darbiniekiem, apmeklētājiem, transportlīdzekļiem);
– ziņas par apsardzes personālu (piemēram, izvietojums, pienākumi, tiesības, patrulēšanas režīms, rīcība apdraudējuma situācijās);
– ziņas par objekta videonovērošanas sistēmām un videonovērošanas sistēmas shēma (ja attiecināms);
– ziņas par objekta fiziskās drošības signalizāciju (ja attiecināms);
– ziņas par objekta plānojumu, tostarp to telpu saraksts un shematiskais attēlojums, kurās ir izvietota aparatūra un citi tīkla elementi;
(8) Cilvēkresursu saraksts
– personas amats, vārds un uzvārds (vai līdzvērtīgs unikāls identifikators, piemēram, dienesta apliecības numurs);
– personas kontaktinformācija;
– ja attiecināms, ziņas par personas piederību konkrētām personāla grupām (piemēram, administratīvais personāls, informācijas tehnoloģiju personāls, vadības personāls) vai struktūrvienībām;
– ziņas par personas piekļuvi tehniskajiem resursiem un šīs piekļuves tiesību līmeni (piemēram, administratora tiesības, lietotāja tiesības);
datums, kad pēdējo reizi veikta personas apmācība kiberdrošības jautājumos.
Kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns
Lai mazinātu iespējamos kiberriskus un nepieciešamības gadījumā reaģētu uz kiberincidentiem, ir nepieciešams veikt atbilstošus un samērīgus kiberrisku pārvaldības un darbības nepārtrauktības pasākumus. Noteikumu projekts paredz, ka subjekts izstrādā, uztur, ne retāk kā reizi gadā pārskata un nepieciešamības gadījumā aktualizē kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu. Šo plānu var veidot kā vienotu dokumentu vai kā vairāku plānu kopumu, ko subjekts izstrādā dažāda veida informācijas sistēmām vai to elementiem atbilstoši subjekta darbības specifikai (piemēram, valsts informācijas sistēmai, subjekta datu centram). Tāpat subjekts var dalīt kiberrisku pārvaldības un IKT darbības nepārtrauktības plānu divos dokumentos – kiberrisku pārvaldības plānā un IKT darbības nepārtrauktības plānā.
Noteikumu projekts paredz, ka subjekts kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā iekļauj:
(1) kiberrisku novērtēšanas metodiku, kas ietver analizējamo kiberrisku uzskaitījumu un metodoloģijas aprakstu šo risku nozīmīguma novērtēšanai (piemēram, katra analizējamā kiberriska pieļaujamās vērtības, novērtēšanas matrica);
(2) kiberrisku novērtējumu, kas ietver identificēto kiberrisku uzskaitījumu un analīzi, katra kiberriska nozīmīguma novērtējumu attiecībā uz subjekta īpašumā, valdījumā, turējumā un lietošanā esošajiem tīkliem, informācijas sistēmām un ar tiem saistītajiem IKT resursiem, kā arī salīdzinājumu ar iepriekšējā perioda kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto kiberrisku novērtējumu;
(3) kiberrisku mazināšanas pasākumu plānu, kas ietver identificēto kiberrisku uzskaitījumu, konkrētus pasākumus šo kiberrisku mazināšanai, atbildīgos par pasākumu īstenošanu un kontroli, kā arī šo pasākumu īstenošanas termiņus vai to periodiskumu;
(4) rīcības plānu darbības nepārtrauktības nodrošināšanai, kas ietver tīklu, informācijas sistēmu vai to veidojošo elementu darbības nepārtrauktības raksturlielumus (piemēram, RPO, RTO, MTD), šo raksturlielumu uzraudzības metodiku un rīcības plānu šo raksturlielumu pārsniegšanas gadījumā, tostarp rīcības plānu darbības atjaunošanai nozīmīga kiberincidenta vai krīzes gadījumā.
Tāpat subjekts var iekļaut kiberrisku pārvaldības un IKT darbības nepātrauktības plānā subjektam saistošajos normatīvajos aktos noteikto regulāro darbību uzskaitījumu kiberrisku mazināšanai, atbildīgos par darbību īstenošanu un kontroli, kā arī šo darbību īstenošanas termiņus vai to periodiskumu, kā arī subjekta tehniskā personāla apmācību un mācību plānu darbības nepārtrauktības nodrošināšanai nozīmīga kiberincidenta vai krīzes gadījumā. Nosakot kiberrisku pārvaldības un darbības nepārtrauktības plāna pārskatīšanas un aktualizēšanas periodu, subjekts ņem vērā subjekta tīklu un informācijas sistēmu īpatnības un aktuālos kiberriskus. Izvērtējumu par plāna pārskatīšanas un aktualizēšanas periodu subjekts var iekļaut kiberdrošības politikā.
Noteikumu projekts paredz, ka subjekts, plānojot kiberrisku mazināšanas pasākumus:
(1) apzina savā īpašumā, valdījumā, turējumā un lietošanā esošo informācijas sistēmu un informācijas resursu nozīmīgumu un vērtību, tai skaitā potenciālo zaudējumu un ietekmes apjomu kiberincidenta gadījumā;
(2) paredz rezerves IKT resursus darbības nepārtrauktības nodrošināšanai nozīmīgā kiberincidenta vai krīzes gadījumā (piemēram, galvenā ugunsmūra rezerves risinājums, rezerves interneta pieslēgums);
(3) A kategorijas informācijas sistēmām iespēju robežās nodrošina no interneta piekļuves pakalpojuma sniedzēja neatkarīgas (autonomas) IP adreses vai adrešu apgabalus.
Noteikumu projekts paredz, ka subjekta vadītājs nozīmē atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu. Savukārt subjekta kiberdrošības pārvaldnieks nodrošina kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izpildes kontroli. Noteikumu projekts nosaka subjekta vadītājam par pienākumu nodrošināt, ka kiberdrošības pārvaldniekam un citām par darbības nepārtrauktības pasākumu īstenošanu atbildīgajām personām, ir nepieciešamās zināšanas un pilnvaras, lai nekavējoties veiktu tūlītējās nepieciešamās darbības kiberapdraudējuma novēršanai (piemēram, tiesības piekļūt informācijas sistēmas tehniskajiem resursiem).
Kiberincidentu žurnāls
Lai nodrošinātu efektīvu un atbilstošu reaģēšanu uz kiberincidentiem, ir svarīgi nodrošināt kiberincidentu uzskaiti. Tādēļ noteikumu projekts paredz, ka subjekts izstrādā un uztur kiberincidentu žurnālu, kurā iekļauj informāciju par subjekta īpašumā, valdījumā, turējumā un lietošanā esošajos tīklos un informācijas sistēmās konstatētajiem kiberincidentiem. Kiberincidentu žurnālā norāda šādu informāciju:
(1) kiberincidenta konstatēšanas datums un laiks, kā arī kiberincidenta datumu un laiku, ja tāds ir zināms;
(2) kiberincidenta veidu atbilstoši Noteikumu projekta pielikumā ietvertajai tipoloģijai;
(3) kiberincidenta vispārīgo aprakstu;
(4) kiberincidenta cēloņus un kompromitēšanas indikatorus, ja tādi ir zināmi;
(5) kiberincidenta ietekmes novērtējumu;
(6) atzīmi par to, vai kiberincidents uzskatāms par nozīmīgu kiberincidentu.
(7) atzīmi par kiberincidenta paziņošanu kiberincidentu novēršanas institūcijai (nozīmīga kiberincidenta gadījumā – arī par agrīnā brīdinājuma, sākotnējā ziņojuma, gala ziņojuma, progresa ziņojuma, starpposma ziņojuma iesniegšanu);
(8) aktuālo kiberincidenta risināšanas statusu (piemēram, "neiesākts", "procesā", "atrisināts");
Subjekts var veidot kiberincidentu žurnālu atbilstoši nozarē pieņemtajai praksei, piemēram, izmantojot speciālu lietojumprogrammu vai citu tehnoloģisku risinājumu. Noteikumu projekts paredz, ka subjekts bez nepamatotas kavēšanas, bet ne vēlāk kā 24 stundu laikā pēc jebkādām izmaiņām aktualizē informāciju kiberincidentu žurnālā.
Noteikumu projekts paredz šādu kiberincidentu tipoloģiju:
Kods 01 – Neatbilstošs saturs (piemēram, mēstule, nelegāls saturs);
Kods 02 – Ļaundabīgs kods;
Kods 03 – Informācijas vākšana;
Kods 04 – Ielaušanās mēģinājums;
Kods 05 – Ielaušanās;
Kods 06 – Pieejamības traucējums;
Kods 07 – Datu drošības pārkāpums (piemēram, nesankcionēta piekļuve vai modificēšana);
Kods 08 – Krāpniecība;
Kods 09 – Ievainojamība;
Kods 10 – Cits kiberincidenta veids;
Kods 99 – Pārbaude (mācības).
Lietotāju un piekļuves tiesību pārvaldība
Lai nodrošinātu tīklu un informācijas sistēmu aizsardzību, kā arī informācijas resursu kontrolētu un izsekojamu elektronisko apstrādi, Noteikumu projekts paredz, ka subjekts nodrošina lietotāju piekļuves tiesību pārvaldību. Noteikumu projekts paredz, ka subjekts katrai tā īpašumā, valdījumā, turējumā un lietošanā esošajai informācijas sistēmai, loģiski nodalītai informācijas sistēmas daļai (modulim) un informācijas sistēmā elektroniski apstrādājamo informācijas resursu kategorijai identificē lietotāju grupas, izvērtējot lietotāju nepieciešamību piekļūt informācijas resursam, nosaka identificēto lietotāju piekļuves tiesību līmeni un autentifikācijas metodes, ņemot vērā informācijas resursa veidu un informācijas sistēmas drošības klasi, un piešķir lietotāju kontiem piekļuves tiesības, ievērojot principu "nepieciešamība zināt" (need to know) un mazāko privilēģiju principu (principle of least privilege), nodrošinot tikai minimāli nepieciešamo piekļuves tiesību līmeni lietotāja kontam, lai lietotājs spētu veikt subjekta noteiktās darbības informācijas sistēmā.
Atšķirībā no Ministru kabineta 2015. gada 28. jūlija noteikumiem Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", Noteikumu projekts nenosaka prasības izmantot konkrētas autentifikācijas metodes vai šo autentifikācijas metožu drošības līmeni (tostarp, piemēram, paroļu garumu). Taču Noteikumu projekts paredz, ka subjektam ir pienākums nodrošināt, ka lietotājs var veikt darbības ar informācijas resursiem informācijas sistēmā tikai pēc veiksmīgas autentifikācijas ar viņam piešķirto lietotāja kontu. Noteikumu projekts paredz obligātu daudzfaktoru autentifikācijas (multi-factor authentication) izmantošanu vismaz, lai piekļūtu:
(1) A kategorijas informācijas sistēmas kontam;
(2) B kategorijas informācijas sistēmas administratora lietotāja kontam;
(3) B kategorijas informācijas sistēmas standarta lietotāja kontam, ja tiek izmantota attālinātā piekļuve informācijas sistēmai.
Tāpat noteikumu projekts nosaka prasības attiecībā uz atsevišķu kontu veidu izmantošanu. Noteikumu projekts paredz, ka subjekts nodrošina, ka sistēmkontiem ir tikai tādas tiesības tehniskajos resursos, kādas nepieciešamas, lai nodrošinātu tīkla vai informācijas sistēmas darbību, tehniskā resursa funkciju vai pakalpojumu, un informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus. Tāpat subjekts nodrošina, ka standarta lietotāja kontu neizmanto tīklu, informācijas sistēmu vai tehnisko resursu administrēšanai, bet administratora lietotāja kontu neizmanto ikdienas darbam ar informācijas sistēmu vai IKT resursu.
Subjektam ir pienākums nodrošināt, ka visi reģistrēti informācijas sistēmas lietotāji pārzina un izprot informācijas sistēmas lietošanas noteikumus. Noteikumu projekts paredz, ka subjektam ir pienākums informēt visus reģistrētus informācijas sistēmas lietotājus par informācijas sistēmas lietošanas noteikumiem pirms informācijas sistēmas lietošanas uzsākšanas, kā arī nodrošināt, ka informācijas sistēmas lietošanas noteikumi ir pieejami reģistrētiem informācijas sistēmas lietotājiem visā informācijas sistēmas lietošanas laikā.
Noteikumu projekts paredz, ka subjektam jānodrošina kiberdrošības pārvaldniekam tehniskas iespējas apturēt jebkura konta darbību, ja tas ir nepieciešams drošības apsvērumu dēļ, kā arī tiesības:
(1) nepieciešamības gadījumā pārbaudīt lietotāju kontus un tiem piešķirtās piekļuves tiesības;
(2) pārbaudīt un analizēt auditācijas pierakstu ierakstus par lietotāju veiktajām darbībām;
(3) kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā apturēt saistītos lietotāju kontus un atcelt tiem piešķirtās piekļuves tiesības;
(4) pārbaudīt reģistrēto lietotāju zināšanas par informācijas sistēmas lietošanas noteikumiem un nepieciešamības gadījumā organizēt papildu apmācības, lai šīs zināšanas pilnveidotu.
Auditācijas pierakstu pārvaldība
Noteikumu projekts paredz, ka subjekts nodrošina informācijas sistēmu auditācijas pierakstu un tīkla plūsmas auditācijas pierakstu veidošanu un uzglabāšanu.
Noteikumu projekts paredz, ka informācijas sistēmu auditācijas pierakstos tiek ietverta informācija par konkrētiem informācijas sistēmas notikumiem, tostarp informācijas sistēmas ieslēgšanu un izslēgšanu, kontu izveidi, grozīšanu vai dzēšanu, kontu piekļuves tiesību izmaiņām, kontu piekļuvi informācijas resursiem, tostarp neveiksmīgiem piekļuves mēģinājumiem, datu pievienošanu, izmaiņām un dzēšanu, tehnisko resursu konfigurāciju izmaiņām, kā arī informācijas sistēmas paziņojumiem, brīdinājumiem un citiem IKT notikumiem, kas varētu liecināt par iespējamo kiberincidentu vai citu apdraudējumu (piemēram, tehnoloģisku avāriju) informācijas sistēmas vai informācijas resursa drošībai. Informācijas sistēmas auditācijas pierakstos tiek fiksēts katra šāda IKT notikuma laiks, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, IP adrese, no kuras veikta darbība, darbības apraksts, kā arī informācija par darbības iniciatoru (piemēram, lietotāja identifikators, pieslēguma metadati).
Savukārt tīkla plūsmas auditācijas pierakstos tiek ietverta informācija par datu pakešu nosūtīšanas un saņemšanas notikumiem. Tīkla auditācijas pierakstos tiek fiksēts katras datu paketes nosūtīšanas vai saņemšanas datums un laiks, kas sakrīt ar faktiskā notikuma koordinēto pasaules laiku (UTC) ar vienas sekundes precizitāti, datu paketes nosūtītāja (avota) un saņēmēja (galamērķa) IP adreses, avota un galamērķa izmantotie tīkla porti, kas norāda, kādi pakalpojumi vai lietojumprogrammas bija iesaistītas datu pārsūtīšanā (piemēram, HTTP, HTTPS, FTP), avota unikālais identifikators (MAC adrese), izmantotais tīkla protokols (piemēram, TCP, UDP), pārsūtīto (pārraidīto) datu apjoms, datu pārsūtīšanas sesijas ilgums, kā arī interneta plūsmas veids (piemēram, datu plūsma no iekšējā tīkla vai no ārējiem avotiem).
Noteikumu projekts paredz, ka auditācijas pierakstu uzglabāšanas laiks ir:
(1) A kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 18 mēnešus pēc pēdējā ieraksta izdarīšanas;
(2) B kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 12 mēnešus pēc pēdējā ieraksta izdarīšanas;
(3) C kategorijas informācijas sistēmām un to darbību nodrošinošiem tīkliem – vismaz 6 mēnešus pēc pēdējā ieraksta izdarīšanas.
Noteikumu projekts paredz, ka auditācijas pierakstus veido mašīnlasāmā formātā. Pārvaldot auditācijas pierakstus, subjektam ir pienākums ievērot sistēmiskus drošības principus, lai nodrošinātu ticamu IKT notikumu reģistrēšanu un efektīvu kiberincidentu analīzi. Noteikumu projekts paredz, ka subjekts nodrošina auditācijas pierakstu aizsardzību pret neautorizētu piekļuvi, ierakstu izmainīšanu un dzēšanu, īstenojot atbilstošus drošības pasākumus. Noteikumu projekts nosaka par pienākumu subjektam nozīmēt par auditācijas pierakstu pārvaldību atbildīgās personas, kā arī iekšējos normatīvajos aktos noteikt auditācijas pierakstu pārvaldības kārtību, tostarp auditācijas pierakstu analīzes, pārbaužu kārtību un regularitāti, kā arī auditācijas pierakstu aizsardzības prasības.
Rezerves kopiju pārvaldība
Noteikumi nosaka par pienākumu subjektam iekšējos normatīvajos aktos noteikt rezerves kopiju veidošanas, glabāšanas, pārbaudes un dzēšanas prasības un kārtību, tostarp kārtību, kādā pārbauda, vai, izmantojot rezerves kopijas, iespējams atjaunot informācijas resursus un informācijas sistēmas darbību, kā arī nozīmēt par rezerves kopiju veidošanu, glabāšanu un pārbaudi un dzēšanu atbildīgās personas.
Noteikumu projekts paredz, ka subjekts obligāti veido vismaz šādas rezerves kopijas subjekta īpašumā un valdījumā esošajai A un B kategorijas informācijas sistēmai:
(1) informācijas resursu rezerves kopijas;
(2) tehnisko resursu konfigurāciju rezerves kopijas;
(3) auditācijas pierakstu rezerves kopijas.
Rezerves kopiju veidošana C kategorijas informācijas sistēmām nav obligāta, taču subjekts var to darīt. Noteikumu projekts paredz, ka subjekts var noteikt stingrākas prasības informācijas sistēmu vai atsevišķu tajās apstrādāto informācijas resursu rezerves kopiju veidošanai, glabāšanai, pārbaudei un dzēšanai, nekā noteikts šajā Noteikumu projektā.
Noteikumu projekts paredz, ka subjekts, veidojot rezerves kopijas, nodrošina, ka rezerves kopija satur visus nepieciešamos datus, lai varētu atjaunot informācijas sistēmas darbību pilnā apjomā uz to brīdi, kad tika izveidota rezerves kopija, tai skaitā informācijas sistēmā glabātos datus, izpildāmo kodu, atbalsta programmatūru, automatizēto darbību skriptus, tehniskajos resursos regulāri veicamās darbības, operētājsistēmas uzdevumu pārvaldnieka komandas un izpildāmās datnes. Tāpat noteikumu projekts paredz, ka rezerves kopiju veidošanas periodiskums un uzglabāšanas laiks ļauj atjaunot informācijas sistēmas vai informācijas resursa versiju vismaz tādā stāvoklī, kāds bija:
(1) A kategorijas informācijas sistēmai – iepriekšējā dienā, iepriekšējā nedēļā, iepriekšējā mēnesī, iepriekšējā gadā;
(2) B kategorijas informācijas sistēmai – iepriekšējā nedēļā, iepriekšējā mēnesī, iepriekšējā gadā;
(3) C kategorijas informācijas sistēmai – iepriekšējā mēnesī, iepriekšējā gadā.
Praksē šāda prasība nozīmētu, ka subjektam, kura īpašumā ir C kategorijas informācijas sistēma, būtu jāuztur vismaz 2 rezerves kopiju instances – viena, kas izveidota iepriekšējā mēnesī, un vēl viena, kas izveidota iepriekšējā gadā.
Noteikumu projekts paredz, ka subjekts nodrošina, ka katrai rezerves kopijas informācijas sistēmas versijai ir pieejamas saistīto IKT resursu rezerves kopijas, tostarp:
(1) informācijas sistēmas tehniskās dokumentācijas rezerves kopijas;
(2) informācijas sistēmas versijas un saistīto bibliotēku versiju pirmkoda (source code) rezerves kopijas;
(3) informācijas sistēmas darbību nodrošinošo tehnisko resursu konfigurāciju rezerves kopijas.
Tāpat Noteikumu projekts paredz, ka par katru rezerves kopijas izveides gadījumu tiek veikts atbilstošs ieraksts auditācijas pierakstos, un, ka kiberdrošības pārvaldnieks un citas par rezerves kopijām atbildīgās personas tiek nekavējoties brīdinātas, ja kārtējā rezerves kopijas izveide nav izdevusies. Noteikumu projekts paredz, ka, uzglabājot rezerves kopijas, subjekts nodrošina, ka rezerves kopijas tiek uzglabātas atbilstoši rezerves kopijās glabātās informācijas klasifikācijas līmenim, ievērojot normatīvo aktu prasības par informācijas aizsardzību, un tām var piekļūt (gan fiziski, gan elektroniskajā vidē) var tikai kiberdrošības pārvaldnieks un citas personas, kas atbildīgas par rezerves kopijām. Noteikumu projekts paredz, ka subjekta kiberdrošības pārvaldnieks ir tiesīgs veikt rezerves kopiju pārbaudi izlases kārtā izvēlētai informācijas sistēmai, informācijas resursam vai tehniskajam resursam.
Lai nodrošinātu A kategorijas informācijas sistēmas rezerves kopiju satura integritāti, Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma, kas tiek pārbaudīta pēc rezerves kopijas pārvietošanas citā datu nesējā. Tāpat Noteikumu projekts paredz, ka A kategorijas informācijas sistēmai vismaz viena auditācijas pierakstu versija tiek uzglabāta no informācijas sistēmas atdalītos tehniskajos resursos (piemēram, datu nesējos), funkcionāli atdalītās telpās, kas aizsargātas pret nesankcionētu piekļuvi un aprīkotas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu.
Apmācības
Noteikumu projekts paredz, ka subjekts organizē tā nodarbināto apmācību kiberdrošības jautājumos, iekšējos normatīvajos aktos nosakot apmācību plānošanas un organizēšanas kārtību, kā arī kārtību, kādā novērtē apmācību efektivitāti (nodarbināto zināšanu un izpratnes līmeni). Noteikumu projekts paredz, ka subjekts, organizējot apmācības, izvēlas tādu apmācības veidu, kas atbilst nodarbināto profesionālajai sagatavotībai, ņemot vērā nodarbināto izglītību, iepriekšējo apmācību, darba pieredzi un spējas, kā arī subjekta darbības specifiku. Subjekts obligāti organizē vismaz šādas apmācības:
(1) visu subjekta nodarbināto instruktāžas, tostarp sākotnējās instruktāžas, kuras veic ne vēlāk kā viena mēneša laikā no nodarbinātā darba (dienesta) pienākumu veikšanas uzsākšanas brīža, kārtējās instruktāžas, kuras veic vismaz reizi kalendārajā gada, un ārkārtas instruktāžas, ko organizē pēc pēc kiberdrošības pārvaldnieka ieskatiem (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu, paredzot normatīvo aktu prasību izmaiņas, plānojot vai veicot nozīmīgas izmaiņas IKT infrastruktūrā, programmatūrā vai biznesa procesos);
(2) subjekta nodarbinātā IKT personāla apmācības kiberrisku pārvaldības un darbības nepārtrauktības plānā ietverto pasākumu efektīvai īstenošanai
Noteikumu projekts paredz, ka instruktāžas ir obligātas visiem subjekta nodarbinātajiem. Gadījumā, ja nodarbinātais nevar piedalīties instruktāžā, tam ir pienākums informēt kiberdrošības pārvaldnieku un vienoties par instruktāžu citā piemērotā laikā un formātā. Noteikumu projekts paredz, ka kiberdrošības pārvaldniekam ir tiesības apturēt nodarbinātā piekļuvi tam piešķirtajam informācijas sistēmas lietotāja kontam, kamēr nav veikta nodarbinātā instruktāža. Instruktāžas saturu nosaka subjekts atbilstoši subjekta darbības specifikai. Instruktāža var iekļaut, piemēram, šādus tematus:
(1) valsts kiberdrošības pārvaldības sistēma, atbildīgo institūciju uzdevumi;
(2) subjekta kiberdrošības pārvaldības struktūra, atbildīgo amatpersonu un struktūrvienību funkcijas un pienākumi kiberdrošības jomā;
(3) nodarbinātajiem saistošie normatīvie akti kiberdrošības jomā;
(4) nodarbināto darba (dienesta) pienākumu izpildei izmantojamie resursi, to lietošanas un uzturēšanas kārtība, IKT un fiziskās vides drošības pasākumi;
(5) ja attiecināms, ārējo pakalpojumu sniedzēju uzturēto tīklu, informācijas sistēmu un resursu izmantošanas kārtība;
(6) darbstacijas drošība;
(7) programmatūras izmantošanas kārtība;
(8) drošas autentifikācijas metodes un droša paroļu pārvaldība;
(9) interneta lietošanas kārtība;
(10) bezvadu (WiFi) tīklu droša izmantošana;
(11) e-pasta droša lietošana;
(12) savienoto ierīču (lietu internets) drošība;
(13) mobilo iekārtu un citu viedierīču drošība;
(14) informācijas aizsardzības prasības;
(15) izplatītākie kiberuzbrukumu veidi;
(16) rīcība kiberincidenta gadījumā (gan subjektā, gan ārpus tā);
(17) IKT notikumu (kiberincidenti, aizdomas par kiberincidentu, anomālijas, tehniskās problēmas) pieteikšanas un pieteikumu apstrādes kārtība;
(18) sociālās inženierijas uzbrukumu veidu (piemēram, pikšķerēšana, smikšķerēšana, kvikšķerēšana) atpazīšanas metodes un ieteicamā rīcība šādu uzbrukumu gadījumā;
(19) interneta resursu izmantošana un tajā publicējamā informācija (par subjektu un pašu nodarbināto), sociālo mediju platformu droša lietošana;
(20) medijpratība, tai skaitā mākslīgā intelekta ietekme un informācijas vides drošību;
(21) kiberhigiēnas zināšanu un prasmju pilnveides un apmācību iespējas.
Noteikumu projekts paredz, ka IKT personāla apmācības organizē vismaz reizi gadā, taču kiberdrošības pārvaldnieks ir tiesīgs samazināt apmācību periodiskumu (piemēram, identificējot būtisku jaunu risku, ievainojamību vai kiberapdraudējumu), ņemot vērā aktuālo kiberapdraudējuma līmeni un subjekta darbības specifiku. IKT personāla apmācību saturu nosaka subjekts, ņemot vērā subjekta darbības un IKT infrastruktūras specifiku. IKT personāla apmācības var ietvert, piemēram, šādus tematus:
(1) ārējie normatīvie akti, kas regulē subjekta kiberdrošību (tostarp Nacionālais kiberdrošības likums un šie noteikumi);
(2) subjekta iekšējie normatīvie akti kiberdrošības jomā, kiberdrošības pārvaldības dokumentācijas kopums;
(3) subjekta kiberdrošības politika;
(4) resursu klasifikācijas un uzskaites pamatprincipi, subjekta IKT resursu un informācijas sistēmu katalogs;
(5) subjekta kiberrisku pārvaldības un IKT darbības nepārtrauktības plāns;
lietotāju piekļuves tiesību pārvaldība un nulles uzticēšanās (zero trust) modelis;
(6) tīkla segmentācija un konfigurēšana;
(7) tehnisko resursu administrēšana un pārvaldība;
(8) žurnālfailu pārvaldība;
(9) šifrēšanas prasības;
(10) rezerves kopiju pārvaldība;
(11) ielaušanās testi un drošības skenēšana;
(12) ārpakalpojumu un piegādes ķēžu drošība;
(13) kiberincidentu veidi un kiberincidentu nozīmīguma kritēriji;
(14) rīcība kiberincidenta vai ievainojamības konstatēšanas gadījumā;
(15) kiberincidentu ziņošanas kārtība;
(16) kiberincidentu un ievainojamību žurnāla veidošanas pamatprincipi;
(17) rīcība nozīmīga kiberincidenta vai kiberdrošības krīzes gadījumā, darbības nepārtrauktības procedūras;
(18) sadarbība ar kiberincidentu novēršanas institūcijām, uzraugošajām iestādēm un sadarbības partneriem;
(19) IKT personāla profesionālās kvalifikācijas pilnveides un apmācību iespējas.
Noteikumu projekts paredz, ka subjekts uzskaita organizētās apmācības. Šim nolūkam subjekts var izveidot un uzturēt apmācību žurnālu, tajā iekļaujot, piemēram, šādu informāciju:
(1) apmācības datums un veids (piemēram, sākotnējā, kārtējā vai ārkārtas instruktāža vai IKT personāla apmācība);
(2) apmācības tēma;
(3) par apmācību atbildīgās personas identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs);
(4) apmācāmo nodarbināto identificējošā informācija (piemēram, vārds, uzvārds, amata nosaukums vai dienesta apliecības numurs).
Šifrēšanas prasības
Noteikumu projekts paredz augstākas kiberdrošības prasības būtisko pakalpojumu sniedzējiem. Viena no šādām prasībām ir saistīta ar šifrēšanas risinājumu izmantošanu, lai nodrošinātu informācijas resursu konfidencialitāti. Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs, ja vien tas ir tehniski iespējams, pielieto šifrēšanas risinājumus vismaz:
(1) A un B konfidencialitātes klases informācijas resursu pārsūtīšanai un pārraidei (in-transit) publiskajā vidē un iekšējos IKT infrastruktūras bezvadu tīklos;
(2) A konfidencialitātes klases informācijas resursu glabāšanai (at-rest).
Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs sadarbībā ar Satversmes aizsardzības biroju līdz 2025. gada 1. jūlijam izstrādās un publicēs savā mājaslapā internetā vadlīnijas šifrēšanas risinājumu izmantošanai. Šifrēšanas vadlīnijas tiks pārskatītas vismaz reizi gadā un nepieciešamības gadījumā aktualizētas. Savukārt būtisko pakalpojumu sniedzējam būs pienākums savos iekšējos normatīvajos aktos noteikt:
(1) minimālo pieļaujamo kriptogrāfijas aizsardzības (noturības) līmeni, ņemot vērā informācijas resursu konfidencialitātes līmeni un Nacionālā kiberdrošības centra šifrēšanas vadlīniju aktuālos ieteikumus;
(2) šifrēšanas atslēgu pārvaldības politiku, lai nodrošinātu, ka tikai autorizētas personas var atšifrēt datus;
(3) prasības drošai šifrēšanas atslēgu izveidošanai, uzstādīšanai, glabāšanai, nomaiņai un likvidēšanai, tai skaitā fiziskās un digitālās drošības prasības.
Prasības IKT infrastruktūrai, kura pilda datu centra funkcijas
Vēl viena papildu prasība būtisko pakalpojumu sniedzējiem ir saistīta ar IKT infrastruktūru, kurā uztur būtisko pakalpojumu sniedzēja īpašumā un valdījumā esošās informācijas sistēmas. Nacionālas kiberdrošības likums nosaka, ka subjekts savas informācijas sistēmas uztur savā IKT infrastruktūrā, kas atbilst šajā Noteikumu projektā noteiktajām prasībām, vai Ministru kabineta noteiktajām prasībām atbilstošos datu centros. Noteikumu projekts paredz, ka gadījumā, ja būtisko pakalpojumu sniedzējs izvēlas savā īpašumā vai valdījumā esošās A vai B kategorijas informācijas sistēmas uzturēt savā IKT infrastruktūrā, tam ir jānodrošina, ka:
(1) aparatūra ir izvietota atsevišķā slēdzamā telpā vai slēdzamās statnēs (skapjos);
(2) katrai telpai vai statnei ir apmeklētāju žurnāls;
(3) būtisko pakalpojumu sniedzēja vadītājs vai vadītāja pilnvarotā persona (piemēram, drošības daļas vadītājs) apstiprina sarakstu ar personām, kurām ir tiesības piekļūt IKT aparatūras telpām un statnēm;
(4) telpas ir nodrošinātas ar atbilstošiem klimata uzraudzības un kontroles mehānismiem, kas nodrošina telpas ventilāciju un gaisa mitruma līmeni no 40% līdz 70%, gaisa temperatūru no 18 līdz 27 Celsija grādiem un trokšņa līmeni līdz 70 Db;
(5) telpās netiek glabāti ugunsnedrošas mantas vai atkritumi;
(6) telpas ir nodrošinātas ar automātisko ugunsgrēka atklāšanas un trauksmes signalizācijas sistēmu;
(7) atbildīgie nodarbinātie ir informēti par kārtību un rīcību ugunsgrēka gadījumā;
(8) ir izvērtēti elektoapgādes pārtraukuma (pārrāvuma) riski;
(9) kabelējums ir aizsargāts pret tīšu vai nejaušu bojāšanu;
(10) atbildīgie nodarbinātie ir informēti par kārtību un rīcību neparedzētu notikumu gadījumā, nodarbinātajiem ir zināmi apsardzes, ugunsdzēsības, elektroapgādes un klimata kontroles apkalpojošā personāla vai pakalpojuma sniedzēja kontaktinformācija.
Papildus minētajam, ja subjekts savā IKT infrastruktūrā uztur A kategorijas informācijas sistēmu, tas nodrošina, ka IKT infrastruktūra ir aprīkota ar nepārtrauktās elektrības barošanas iekārtu, rezerves elektrības pieslēgumu un alternatīvu elektrības padeves rezerves risinājumu (piemēram, izmantojot elektrības ģeneratoru).
Prasības publiskajiem elektronisko sakaru tīkliem
Ņemot vērā, ka elektronisko sakaru komersanti saskaņā ar Nacionālo kiberdrošības likumu ir būtisko pakalpojumu sniedzēji, Noteikumu projekts nosaka papildu drošības prasības publiskajiem elektronisko sakaru tīkliem, pārstrādājot jau šobrīd spēkā esošās prasības, kas noteiktas Ministru kabineta 2023. gada 28. februāra noteikumos Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības", lai izvairītos no tiesību normu pārklāšanās un atvieglotu administratīvo slogu publisko elektronisko sakaru tīklu īpašniekiem un tiesiskajiem valdītājiem.
Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs identificē publiskā elektronisko sakaru tīkla kritiskās daļas saskaņā ar šī Noteikumu projekta pielikumu, nepieciešamības gadījumā identificējot kā kritiskas arī citas tīkla daļas, un iesniedz Satversmes aizsardzības birojam sarakstu ar publiskā elektronisko sakaru tīkla kritiskajās daļās izmantotajām iekārtām, programmatūru un ārpakalpojumiem. Saskaņā ar Noteikumu projektu publiskā elektronisko sakaru tīkla īpašniekam vai tiesiskajam valdītājam ir pienākums informēt Satversmes aizsardzības biroju par izmaiņām šajā sarakstā vismaz vienu mēnesi pirms jauna publiskā elektronisko sakaru tīkla vai tā daļas būvniecības, pārbūves vai atsevišķas iekārtas, programmatūras vai ārpakalpojuma sniedzēja nomaiņas. Publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs var neinformēt Satversmes aizsardzības biroju par izmaiņām sarakstā, ja iekārta tiek nomainīta pret tāda paša modeļa vai tā paša ražotāja iekārtu ar līdzīgām funkcijām kā jau ekspluatācijā esošā iekārta, tiek uzstādīti esošās programmatūras atjauninājumi vai tiek paplašināta tīkla jauda, izmantojot tāda paša modeļa vai tā paša ražotāja iekārtas ar līdzīgām funkcijām kā jau ekspluatācijā esošajām iekārtām.
Noteikumu projekts paredz, ka publiskā elektronisko sakaru tīkla īpašnieks vai tiesiskais valdītājs savā kiberrisku pārvaldības un IKT darbības nepārtrauktības plānā identificē un novērtē riskus, kas var ietekmēt publiskā elektronisko sakaru tīkla drošību, kā arī plāno un īsteno atbilstošus un samērīgus drošības pasākumus minēto risku mazināšanai. Noteikumu projekts aizliedz publiskā elektronisko sakaru tīkla kritiskajās daļās izmantot tādu iekārtu, programmatūru un ārpakalpojumu, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka tā izmantošana var radīt draudus nacionālajai drošībai. Noteikumu projekts nosaka konkrētus kritērijus, kurus Satversmes aizsardzības birojs vērtē, sagatavojot minēto atzinumu. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs uzrauga šajā Noteikumu projektā publiskajiem elektronisko sakaru tīkliem noteikto drošības prasību piemērošanu, izvērtē publisko elektronisko sakaru tīklu kritiskajās daļās izmantoto iekārtu, programmatūru un ārpakalpojumu iespējamo ietekmi uz nacionālo drošību, kā arī nepieciešamības gadījumā var noteikt ierobežojumus publisko elektronisko sakaru tīklu kritiskajās daļās izmantot tādas iekārtas, programmatūru un ārpakalpojumus, kas var radīt draudus nacionālajai drošībai.
Ārpakalpojumu prasības
Noteikumu projekts nosaka vispārīgās un īpašās ārpakalpojumu prasības būtisko pakalpojumu sniedzējiem. Vispārīgās prasības nosaka, ka būtisko pakalpojumu sniedzējs, slēdzot ārpakalpojuma līgumu par IKT produktu vai pakalpojumu iegādi, iepirkuma specifikācijā un ārpakalpojuma līgumā iekļauj ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par kiberincidentiem un atklātajām produkta vai pakalpojuma ievainojamībām, to novēršanas pasākumiem un termiņiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
Noteikumu projekts paredz, ka gadījumā, ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam (turpmāk – apakšuzņēmējs), apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Noteikumu projekts nosaka, ka ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Tāpat Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējam, izmantojot ārpakalpojumu, ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Noteikumu projekts nosaka, ka ārpakalpojuma saņemšana neatbrīvo būtisko pakalpojumu sniedzēju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības, un būtisko pakalpojumu sniedzējs ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu. Noteikumu projekts paredz, ka informācijas sistēmas vai publiskā elektronisko sakaru tīkla drošības līmenis, ja to attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par būtisko pakalpojumu sniedzēja noteikto, un, ka būtisko pakalpojumu sniedzēja klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs pirms lēmuma pieņemšanas par ārpakalpojuma iegādi izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes, drošības un pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju. Gadījumā, ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par jaunas informācijas sistēmas izstrādi, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības, kā arī paredz:
(1) noteiktu informācijas sistēmas uzturēšanas un atbalsta nodrošināšanas (tai skaitā informācijas sistēmas drošības nepilnību novēršanas) laikposmu;
(2) informācijas sistēmas programmatūras pirmkoda un tā izmantošanas tiesību nodošanu būtisko pakalpojumu sniedzējam ne vēlāk kā pēc uzturēšanas un atbalsta nodrošināšanas laikposma beigām, kā arī pēc katru izmaiņu vai uzlabojumu veikšanas tajā;
(3) iespēju uzturēšanas un atbalsta nodrošināšanas laikposmā turpināt informācijas sistēmas ekspluatēšanu ar informācijas sistēmas funkcionēšanai obligāti nepieciešamā programmnodrošinājuma (piemēram, operētājsistēma, datubāžu vadības sistēma, interpretators) jaunākām versijām.
Tāpat gadījumā, ja būtisko pakalpojumu sniedzējs uzsāk iepirkumu par esošās informācijas sistēmas uzlabojumiem, tas iepirkuma specifikācijā iekļauj informācijas sistēmas veidam atbilstošas kiberdrošības prasības. Savukārt gadījuma, ja būtisko pakalpojumu sniedzējs slēdz ārpakalpojuma līgumu par tīkla vai informācijas sistēmas uzturēšanu, līgumā iekļauj kiberdrošības prasības, kuras nav zemākas par šajos noteikumos noteiktajām prasībām, kā arī ārpakalpojuma līgumā iekļauj:
(1) ārpakalpojuma aprakstu un precīzas prasības attiecībā uz ārpakalpojuma apjomu un kvalitāti;
(2) būtisko pakalpojumu sniedzēja un ārpakalpojuma sniedzēja tiesības un pienākumus, tai skaitā:
– būtisko pakalpojumu sniedzēja tiesības pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
– būtisko pakalpojumu sniedzēja tiesības dot ārpakalpojuma sniedzējam obligāti izpildāmus norādījumus jautājumos, kas saistīti ar godprātīgu, kvalitatīvu, savlaicīgu un normatīvo aktu prasībām atbilstošu ārpakalpojuma izpildi,
– būtisko pakalpojumu sniedzēja tiesības iesniegt ārpakalpojuma sniedzējam pamatotu rakstisku pieprasījumu nekavējoties izbeigt ārpakalpojuma līgumu, ja būtisko pakalpojumu sniedzējs konstatējis, ka ārpakalpojuma sniedzējs nepilda ārpakalpojuma līgumā noteiktās prasības attiecībā uz ārpakalpojuma apjomu vai kvalitāti,
– ārpakalpojuma sniedzēja pienākumu nodrošināt būtisko pakalpojumu sniedzējam iespēju pastāvīgi uzraudzīt ārpakalpojuma sniegšanas kvalitāti,
– ārpakalpojuma sniedzēja pienākumu nekavējoties ziņot kompetentajai kiberincidentu novēršanas institūcijai un būtisko pakalpojumu sniedzējam par konstatēto kiberincidentu, kā arī veikt visas kiberincidenta novēršanai nepieciešamās darbības,
- ārpakalpojuma sniedzēja pienākumu informēt būtisko pakalpojumu sniedzēju par apakšuzņēmēju un viņa atbilstību šajos noteikumos un ārpakalpojuma līgumā noteiktajām prasībām;
(3) tīklam vai informācijas sistēmai veicamās pārbaudes, tostarp Nacionālajā kiberdrošības likumā un šajos noteikumos noteiktās obligātās pārbaudes, kā arī pārbaudes, kuras būtisko pakalpojumu sniedzējs ir noteicis atbilstoši kiberdrošības politikai un kiberrisku pārvaldības un IKT darbības nepārtrauktības plānam;
(4) piekļuves prasības datiem un to uzglabāšanai, kā arī pienākumu piegādātājam pēc līguma termiņa beigām dzēst viņa rīcībā nonākušos datus, izņemot gadījumu, ja atkārtoti slēdz līgumu ar to pašu pakalpojuma sniedzēju par to pašu līguma priekšmetu.
Noteikumu projekts nosaka kiberdrošības pārvaldniekam par pienākumu uzraudzīt ārpakalpojuma līguma par tīkla vai informācijas sistēmas uzturēšanu izpildi.
Noteikumu projekts nosaka īpašās ārpakalpojumu prasības, kas ir veidotas pēc līdzības ar Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" paaugstinās drošības informācijas sistēmām noteiktajām prasībām, un ir pilnveidotas, ņemot vērā aktuālos kiberdrošības un nacionālās drošības apdraudējumus. Noteikumu projekts paredz, ka līgumu par IKT pakalpojumu, visu veidu tehnisko resursu iegādi un uzturēšanu A kategorijas informācijas sistēmām, kā arī līgumu par maršrutētāju, komutatoru, ārējo ugunsmūru, ielaušanās atklāšanas sistēmu, pretielaušanās sistēmu, antivīrusu programmatūru iegādi, kā arī par tādu pakalpojumu, programmatūru vai iekārtu iegādi, kas nodrošina B kategorijas informācijas sistēmu aizsardzības un uzraudzības funkcijas, atļauts slēgt tikai ar:
(1) juridisku personu, kura vienlaikus atbilst šādiem nosacījumiem:
– tā ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī,
– tās patiesais labuma guvējs ir NATO, Eiropas Savienības, Eiropas Ekonomikas zonas valsts pilsonis;
– tās pakalpojuma nodrošināšanai izmantoto programmatūru vai iekārtu ražotājs ir juridiskā persona, kura ir reģistrēta NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalstī, vai fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
– tās dalībnieks ir fiziska persona, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis, vai juridiska persona, kura atbilst šā apakšpunkta prasībām;
(2) fizisku personu, kura ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valsts pilsonis;
(3) citu personu, ja ir saņemta kompetentās valsts drošības iestādes atļauja.
Tāpat īpašās ārpakalpojumu prasības paredz, ka A kategorijas informācijas sistēmas vai tās elementu izvietošana ārpakalpojuma sniedzēja nodrošinātos tehniskajos resursos ir atļauta tikai tad, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek tikai NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas valstu teritorijā, vai, ja ir saņemta kompetentās valsts drošības iestādes atļauja, citas valsts teritorijā. Šādas īpašās ārpakalpojumu prasības ir attiecināmas arī uz ārpakalpojuma līgumiem par A kategorijas informācijas sistēmas kiberdrošības atbilstības auditu, paredzot, ka auditors un tā nodarbinātais personāls, kurš ir iesaistīts audita veikšanā, atbilst minētajām prasībām, auditoram ir nepieciešamās zināšanas, prasmes un pieredze, lai sniegtu neatkarīgu, objektīvu un vispusīgu vērtējumu par A kategorijas informācijas sistēmas kiberdrošību, kā arī auditors apstrādā audita ietvaros iegūto informāciju vienīgi NATO, Eiropas Savienības un Eiropas Ekonomikas zonas valstu teritorijā.
Noteikumu projekts paredz, ka būtisko pakalpojumu sniedzējs, slēdzot vispārīgo vienošanos, ietver norādi uz minētajiem ierobežojumiem, kā arī ārpakalpojuma līgumā nosaka ārpakalpojuma sniedzēja pienākumu līguma darbības laikā nekavējoties informēt būtisko pakalpojumu sniedzēju par jebkurām izmaiņām, kas var ietekmēt ārpakalpojuma sniedzēja un apakšuzņēmēju atbilstību minētajām prasībām. Noteikumu projekts paredz, ka ārpakalpojuma līgumu izbeidz, ja ārpakalpojuma sniedzējs neatbilst šo noteikumu prasībām vai, ja ir saņēmts kompetentās valsts drošības iestādes atzinums, ka līguma turpināšana ir pretrunā ar nacionālās drošības interesēm.
Papildu prasības IKT kritiskajai infrastruktūrai
Noteikumu projekts nosaka papildu prasības IKT kritiskajai infrastruktūrai, paredzot, ka uz visiem IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem attiecas tādas pašas prasības, kādas šajā Noteikumu projektā ir noteiktas būtisko pakalpojumu sniedzējiem, kā arī papildu prasības. Papildu prasības ietver kiberdrošības pārvaldnieka kandidatūras saskaņošanu ar Satversmes aizsardzības biroju. Noteikumu projekts paredz, ka Satversmes aizsardzības birojs pārbauda IKT kritiskās infrastruktūras kiberdrošības pārvaldnieka kandidāta atbilstību šo Noteikumu prasībām, par pārbaudes rezultātiem informējot attiecīgā subjekta vadītāju. Tāpat Satversmes aizsardzības birojs var pārbaudīt IKT kritiskās infrastruktūras nodarbinātos, kā arī, ja komersants sniedz pakalpojumus kritiskajā infrastruktūrā, komersanta īpašnieku, valdes locekļus un nodarbinātos, kuriem ir pieeja kritiskās infrastruktūras funkcionēšanai nozīmīgai informācijai vai tehnoloģiskajām iekārtām vai kuri sniedz kritiskās infrastruktūras funkcionēšanai nozīmīgus pakalpojumus, un izvērtēt informāciju attiecībā uz personas sodāmību par tīšu noziedzīgu nodarījumu un faktiem, kas dod pamatu apšaubīt tās spēju saglabāt ierobežotas pieejamības vai klasificētu informāciju. Pamatojoties uz pārbaudes rezultātiem, Satversmes aizsardzības birojs var sniegt IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ieteikumus par drošības pasākumu veikšanu. Papildu prasības IKT kritiskajai infrastruktūrai paredz arī, ka IKT kritiskās infrastruktūras kiberdrošības auditus veic ar Satversmes aizsardzības biroju saskaņots auditors, bet ielaušanās testus IKT kritiskajā infrastruktūrā – ar Satversmes aizsardzības biroju saskaņots ielaušanās testu veicējs.
Papildu prasības kiberincidentu novēršanas institūcijām
Saskaņā ar Nacionālās kiberdrošības likumā noteikto, kiberincidentu novēršanas institūciju uzdevumus veic Militārās izlūkošanas un drošības dienests un Latvijas Universitātes Matemātikas un informātikas institūts. Nacionālās kiberdrošības likumā ir noteikti arī kiberincidentu novēršanas institūciju uzdevumi un tiesības. Attiecībā uz minētajām institūcijām ir piemērojamas šajos noteikumis noteiktās prasības, vienlaikus attiecībā uz šīm institūcijām atbilstoši NIS2 direktīvā noteiktajam ir piemērojamas papildu prasības. Jau pašlaik kiberincidentu novēršanas institūcijām ir jāievēro prasības, kas noteiktas Ministru kabineta 2025. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", taču līdz šim nacionālajā tiesiskajā regulējumā nav bijušas definētas specifiskas prasības, kas attiektos tikai uz kiberincidentu novēršanas institūcijām.
Līdz ar to, Noteikumu projektā ietvertas papildu prasības kiberincidentu novēršanas institūcijām, lai tās varētu kvalitatīvi veikt Nacionālās kiberdrošības likumā noteiktos uzdevumus un īstenot tām noteiktās prasības, tostarp prasības, kas izriet no NIS2 direktīvas 10. un 11. pantā noteiktās prasības. Ar šo Noteikumu projektu tiek pārņemtas NIS2 direktīvas prasības datordrošības incidentu reaģēšanas vienībām (CSIRT) jeb nacionāli - kiberincidentu novēršanas institūcijām. Prasības paredz kiberincidentu novēršanas institūcijām nodrošināt savu sakaru kanālu augstu pieejamības līmeni, drošas telpas un pietiekamu darbinieku skaitu, lai nepieciešamības gadījumā spētu nodrošināt sev noteikto uzdevumu izpildi un darbības nepārtrauktību.
Kiberincidentu vadība
Noteikumu projekts nosaka kiberincidentu nozīmīguma kritērijus, paredzot, ka par nozīmīgu kiberincidentu tiek uzskatīts kiberincidents, kurš atbilst vismaz vienai no šādām pazīmēm:
(1) kiberincidents apdraud sabiedrības veselību vai drošību, valsts drošību, ekonomisko drošību, valsts reputāciju, ārējās attiecības, pilsonisko brīvību vai pamattiesības;
(2) kiberincidents rada mantiskus zaudējumus subjektam, citiem subjektiem, Latvijas Republikai, pakalpojumu saņēmējiem vai citām personām;
(3) kiberincidents rada vai var radīt kaitējumu fiziskās personas dzīvībai vai veselībai;
(4) kiberincidents rada vai var radīt ietekmi uz ierobežotas pieejamības vai klasificētās informācijas konfidencialitāti, integritāti vai pieejamību;
(5) kiberincidents ir izraisījis vai var izraisīt būtiskā vai svarīgā pakalpojuma saņemšanas vai IKT kritiskās infrastruktūras funkcionēšanas traucējumus;
(6) kiberincidents ir pārrobežu kiberincidents Nacionālā kiberdrošības likuma 1. panta 21. punkta izpratnē.
Noteikumu projekts paredz, ka atkarībā no nozīmīgā kiberincidenta veida, tā intensitātes un ietekmes, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs var izsludināt kiberdrošības krīzi, lai nodrošinātu ar nozīmīgā kiberincidenta risināšanu un tā seku likvidēšanu saistīto pasākumu īstenošanu saskaņā ar Nacionālo kiberincidentu krīzes vadības plānu.
Tāpat Noteikumu projekts nosaka, ka subjekts, konstatējot kiberincidentu, subjekts nekavējoties novērtē tā nozīmīgumu un Nacionālās kiberdrošības likumā noteiktajos termiņos par nozīmīgajiem kiberincidentiem ziņo kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi elektroniski aizpildītu noteiktas formas un satura veidlapu (agrīnā brīdinājuma veidlapu, sākotnējā ziņojuma veidlapu, progresa ziņojuma veidlapu, starpposma ziņojuma veidlapu vai galaziņojuma veidlapu). Savukārt par tādu kiberincidentu, kurš nav uzskatāms par nozīmīgu kiberincidentu, subjektam ir pienākums ziņot kompetentajai kiberincidentu novēršanas institūcijai, nosūtot uz tās norādīto elektroniskā pasta adresi kiberincidenta aprakstu brīvā formā.
Atbilstības audits
Atbilstoši Nacionālā kiberdrošības likumā noteiktajam Noteikumu projekts nosaka kiberdrošības auditoriem izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību. Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komiteja kiberdrošības auditoru sarakstā reģistrē auditoru, kurš atbilst šādām prasībām:
(1) auditors ir juridiska vai fiziska persona, kura atbilst šī Noteikuma projekta 76. punkta prasībām (īpašās ārpakalpojumu prasības);
(2) auditoram vai tā nodarbinātajam personālam ir nepieciešamās zināšanas kiberdrošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA, ISO/IEC 27001 Lead Auditor, CISSP);
(3) auditoram ir tehniskas iespējas noteikt subjekta tīklu, informācijas sistēmu, IKT resursu un procedūru drošību atbilstību normatīvo aktu prasībām;
(4) auditora reģistrācija nav pretrunā ar nacionālās drošības interesēm.
Noteikumu projekts paredz, ka, lai auditors tiktu reģistrēts auditoru sarakstā, tas iesniedz Digitālās drošības uzraudzības komitejai aizpildītu un parakstītu kiberdrošības auditora reģistrācijas pieteikuma veidlapu un minēto sertifikātu kopijas. Noteikumu projekts paredz, ka auditoru sarakstā reģistrētajam auditoram ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā ziņot Digitālās drošības uzraudzības komitejai par jebkādām izmaiņām auditora reģistrācijas pieteikuma anketā norādītajos datos. Ja nepieciešams, Digitālās drošības uzraudzības komiteja var precizēt auditoru sarakstā iekļautās ziņas par auditoru, ja minētās izmaiņas pēc būtības neietekmē auditora atbilstību izvirzītajām prasībām. Noteikumu projekts nosaka, ka Digitālās drošības uzraudzības komiteja izslēdz auditoru no auditoru saraksta, ja:
(1) saņemts auditora iesniegums par izslēgšanu no saraksta;
(2) konstatēts, ka auditors neatbilst Nacionālajā kiberdrošības likumā vai šajos noteikumos noteiktajām prasībām;
(3) auditors Digitālās drošības uzraudzības komitejai sniedzis nepatiesas ziņas;
(4) pastāv objektīvas bažas par auditora zināšanas kiberdrošības audita jomā vai spēju nodrošināt atbilstības audita veikšanu (piemēram, ja pēcpārbaudes ietvaros tiek atklāts, ka auditors ir nekvalitatīvi veicis savus pienākumus);
(5) saņemts kompetentās valsts drošības atzinums, ka auditora reģistrācija neatbilst valsts drošības interesēm;
(6) publiskos reģistros konstatēts, ka auditors – juridiskā persona – ir likvidēta;
(7) publiskos reģistros konstatēts, ka auditors – fiziskā persona – ir mirusi.
Noteikumu projekts paredz, ka Digitālās drošības uzraudzības komitejas lēmums par auditora reģistrāciju, auditora reģistrācijas datu precizēšanu vai izslēgšanu no auditoru saraksta ir administratīvais akts, un, ka auditoru sarakstu publicē Nacionālā kiberdrošības centra tīmekļa vietnē internetā.
Drošības skenēšana
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kritērijus un kārtību, kādā veic subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu. Noteikumu projekts paredz, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja iniciatīvas pārbaudes ietvaros vai pēc subjekta pieprasījuma.
Noteikumu projekts nosaka, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs, vērtējot drošības skenēšanas nepieciešamību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
Noteikumu projekts paredz, ka gadījumā, ja drošības skenēšanu veic pēc subjekta pieprasījuma, Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs par drošības skenēšanas rezultātiem informē kompetento kiberincidentu novēršanas institūciju un attiecīgo subjektu, ja vien tas nav pretrunā ar nacionālās drošības interesēm. Noteikumu projekts nosaka, ka drošības skenēšanu veic Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja amatpersonas, vai ar Satversmes aizsardzības biroju saskaņoti eksperti.
Agrās brīdināšanas sensori
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam šis Noteikumu projekts nosaka kiberdrošības agrās brīdināšanas sensoru uzstādīšanas un izmantošanas noteikumus, kā arī kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu IKT infrastruktūrā. Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija izmanto agrās brīdināšanas sensorus, lai iegūtu drošības telemetrijas datus par IKT notikumiem un procesiem subjekta IKT infrastruktūrā ar mērķi savlaicīgi identificēt kiberapdraudējuma pazīmes.
Noteikumu projekts paredz, ka agrās brīdināšanas sensorus subjekta IKT infrastruktūrā izvieto, uztur un demontē kompetentā kiberincidentu novēršanas institūcija. Agrās brīdināšanas sensorus izvieto, ievērojot šādu prioritāro kārtību: (1) IKT kritiskā infrastruktūra; (2) būtisko pakalpojumu sniedzēju IKT infrastruktūra, kurā uztur A kategorijas informācijas sistēmas; (3) pārējā būtisko pakalpojumu sniedzēju IKT infrastruktūra; (4) svarīgo pakalpojumu sniedzēju IKT infrastruktūra. Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija, vērtējot agrās brīdināšanas sensoru uzstādīšanas nepieciešamību un lietderību, ņem vērā vismaz vienu no šādiem apsvērumiem:
(1) subjekta veidu un darbības jomu;
(2) subjekta IKT infrastruktūras kritiskumu un tajā uzturēto informācijas sistēmu kategoriju (A, B vai C);
(3) subjekta sniegtā būtiskā vai svarīgā pakalpojuma nozīmīgumu, tostarp ietekmi uz nacionālo drošību, IKT kritiskās infrastruktūras darbības nepārtrauktību, citiem būtiskajiem un svarīgajiem pakalpojumiem;
(4) pēdējo trīs gadu laikā subjekta IKT infrastruktūrā konstatēto kiberincidentu nozīmīgumu un apjomu;
(5) uzraudzības procesa ietvaros iegūto informāciju par subjekta kiberdrošības brieduma līmeni, atklātajām ievainojamībām un nepieciešamajiem uzlabojumiem;
(6) no citām kompetentajām iestādēm (tostarp ārvalstu partnerdienestiem) saņemto informāciju par iespējamo kiberapdraudējumu.
Noteikumu projekts paredz, ka gadījumā, ja kiberincidentu novēršanas institūcijas vērtējumā agrās brīdināšanas sensora turpmākā izmantošana nav nepieciešama vai nav lietderīga, subjekta IKT infrastruktūrā uzstādīto agrās brīdināšanas sensoru demontē. Tāpat Noteikumu projekts paredz, ka kiberincidentu novēršanas institūcija savlaicīgi informē subjektu par agrās brīdināšanas sensora uzstādīšanu subjekta IKT infrastruktūrā, agrās brīdināšanas sensora uzturēšanai nepieciešamajiem apkopes darbiem un agrās brīdināšanas sensora demontāžu. Subjektam ir pienākums pēc kiberncidentu novēršanas institūcijas pieprasījuma nodrošināt tai netraucētu piekļuvi savai IKT infrastruktūrai, lai nodrošinātu netraucētu agrās brīdināšanas sensora uzstādīšanu, apkopi un demontāžu.
Pašvērtējums
Saskaņā ar Nacionālās kiberdrošības likumu Noteikumu projekts nosaka subjekta atbilstības pašvērtējuma ziņojuma veidlapu un tajā iekļaujamās informācijas saturu un apjomu, kā arī pašvērtējuma ziņojuma iesniegšanas termiņu un regularitāti. Noteikumu projekts paredz, ka subjekts, kurš ir ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, vai kura īpašumā, valdījumā, turējumā vai lietošanā ir vismaz viena A kategorijas informācijas sistēma, veic pašvērtējumu par savu atbilstību Nacionālajā kiberdrošības likumā un šajos noteikumos ietvertajām prasībām reizi gadā, bet pārēji subjekti – reizi trijos gados, ja vien Nacionālais kiberdrošības centrs nav noteicis citādāk. Noteikumu projekts nosaka, ka pašvērtējuma ziņojumu sagatavo atbilstoši Noteikumu projekta pielikumā ietvertajai veidlapai, un to iesniedz līdz attiecīgā kalendārā gada 1. oktobrim.
Neatbilstību novēršana valsts un pašvaldību institūcijās
Noteikumu projekts paredz, ka gadījumā, ja subjekts, kurš ir valsts vai pašvaldības institūcija, neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, Nacionālais kiberdrošības centrs par šo faktu ziņo attiecīgajai amatpersonai. Noteikumu projekts nosaka, ka gadījumā, ja subjekts ir tiešās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgajam Ministru kabineta loceklim. Šādā gadījumā Ministru kabineta loceklis izvērtē nepieciešamību ierosināt disciplinārlietu un lemj par turpmāko rīcību neatbilstības novēršanai. Atbildīgais Ministru kabineta loceklis par neatbilstības novēršanas gaitu ziņo Ministru kabinetam. Tāpat gadījumā, ja subjekts ir pašvaldība vai pašvaldības dibināta pastarpinātās pārvaldes iestāde, Nacionālais kiberdrošības centrs par neatbilstību ziņo attiecīgās pašvaldības domes priekšsēdētājam, kuri lemj par pašvaldību institūciju un amatpersonu (darbinieku) atbildību Pašvaldību likumā noteiktajā kārtībā, kā arī informē viedās administrācijas un reģionālās attīstības ministru. Savukārt gadījumā, ja subjekts ir cita valsts vai pašvaldības institūcija, Nacionālais kiberdrošības centrs par neatbilstību ziņo Ministru kabinetam, kurš lemj par turpmāko rīcību neatbilstības novēršanai.
Piekļuves slēgšana elektronisko sakaru tīklam
Atbilstoši Nacionālās kiberdrošības likumā noteiktajam Noteikumu projekts nosaka nosacījumus un kārtību, kādā lietotājam tiek slēgta piekļuve elektronisko sakaru tīklam. Noteikumu projekts paredz, ka pieprasījumu slēgt lietotājam piekļuvi elektronisko sakaru tīklam Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs nosūta uz elektronisko sakaru komersanta oficiālo elektronisko adresi vai, ja tas nav iespējams, uz elektronisko sakaru komersanta elektroniskā pasta adresi, kā arī par piekļuves slēgšanas pieprasījuma nosūtīšanas faktu telefoniski informē attiecīgo elektronisko sakaru komersantu un Valsts policiju. Noteikumu projekts nosaka par pienākumu elektronisko sakaru komersantam atslēgt lietotāju no elektronisko sakaru tīkla nekavējoties pēc piekļuves slēgšanas pieprasījuma saņemšanas, un, ja tas ir noteikts piekļuves slēgšanas pieprasījumā, pārvirzīt lietotāja IP adreses vai domēna vārda pieprasījumus uz noteiktu informatīvu vietni. Noteikumu projekts paredz, ka lietotāju atslēdz no elektronisko sakaru tīkla tā, lai šī darbība skartu pēc iespējas mazāku skaitu citu lietotāju, kā arī pēc piekļuves slēgšanas pieprasījumā norādītā laikposma beigām minēto piekļuvi atjauno, ja vien nepastāv kādi objektīvi iemesli piekļuves neatjaunošanai. Šādi objektīvi iemesli varētu būt, piemēram, ja piekļuves slēgšanas laika posmā ir ticis lauzts vai zaudējis spēku starp elektronisko sakaru komersantu un lietotāju noslēgtais līgums par elektronisko sakaru pakalpojumu.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
JāIetekmes apraksts
Noteikumu projekts ietekmēs fiziskas personas, kuras Nacionālās kiberdrošības likuma izpratnē ir subjekti – būtisko pakalpojumu sniedzēji, svarīgo pakalpojumu sniedzēji vai IKT kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji. Tāpat Noteikumu projekts ietekmēs fiziskās personas – subjekta vadītāju, subjekta kiberdrošības pārvaldnieku, subjekta nodarbinātos, kiberdrošības auditorus, ielaušanās testu veicējus un ārpakalpojuma sniedzējus.
Juridiskās personas
- lielie uzņēmumi
- mazie uzņēmumi
- vidējie uzņēmumi
- informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji
- citas valsts institūcijas
- pastarpinātās pārvaldes iestādes
- tiešās pārvaldes iestādes
- atvasinātas publiskās personas
Ietekmes apraksts
Likumprojekts ietekmēs:
1) uzraudzības iestādes (Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju), kuras veiks subjektu uzraudzību atbilstoši Nacionālās kiberdrošības likumā noteiktajam uzraugošo iestāžu dalījumam. Noteikumu projekts precizē un papildina Nacionālās kiberdrošības likumā ietvertās tiesību normas attiecībā uz uzraudzības iestāžu funkcijām un uzdevumiem, cita starpā nosakot kritērijus un kārtību, kādā Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu, kārtību, kādā Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs slēdz lietotājam piekļuvi elektronisko sakaru tīklam, kārtību, kādā Nacionālais kiberdrošības centrs ziņo par valsts un pašvaldību institūcijām, kuras nepilda nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai.
2) kiberincidentu novēršanas institūcijas, kuras īstenos Nacionālās kiberdrošības likumā noteiktos uzdevumus. Noteikumu projekts cita starpā nosaka kārtību, kādā kiberincidentu novēršanas institūcija izmanto (tai skaitā izvieto, uztur un demontē) agrās brīdināšanas sensorus subjektu IKT infrastruktūrā, kiberincidentu nozīmīguma kritērijus, kā arī kārtību un formātu (tai skaitā noteiktas formas veidlapas), kādā kiberincidentu novēršanas institūcija saņem agrīno brīdinājumu, sākotnējo ziņojumu, starpposma ziņojumu, progresa ziņojumu un galaziņojumu par nozīmīgu kiberincidentu.
3) subjektus – būtisko pakalpojumu sniedzējus, svarīgo pakalpojumu sniedzējus un IKT kritiskās infrastruktūras īpašniekus un tiesiskos valdītājus, kuriem būs nepieciešams ievērot Nacionālās kiberdrošības likumā un šajā Noteikumu projektā noteiktos atbilstības un ziņošanas pienākumus. Tāpat Noteikumu projekts paredz veidlapas būtisko pakalpojumu sniedzēju un svarīgo pakalpojumu sniedzēju reģistrācijai Nacionālās kiberdrošības centra uzturētajā sarakstā, kā arī nosaka kārtību šo veidlapu iesniegšanai
4) domēnu vārdu reģistrācijas pakalpojumu sniedzējus, kuriem saskaņā ar Nacionālās kiberdrošības likumu būs jāreģistrējas Nacionālās kiberdrošības centra uzturētajā sarakstā. Noteikumu projekts paredz veidlapas domēnu vārdu reģistrācijas pakalpojumu sniedzēju reģistrācijai, kā arī nosaka kārtību šo veidlapu iesniegšanai.
5) kiberdrošības auditorus – komersantus, kuriem saskaņā ar Nacionālās kiberdrošības likumā un šajos noteikumos noteikto būs tiesības veikt subjektu kiberdrošības atbilstības auditu. Noteikumu projekts nosaka prasības kiberdrošības auditoriem un kiberdrošības auditoru reģistrācijas kārtību, tostarp noteiktas formas veidlapas un kārtību šo veidlapu un apliecinošo dokumentu iesniegšanai Digitālās drošības uzraudzības komitejai.
6) ārpakalpojumu sniedzējus, kuri nodrošina procesu, sniedz pakalpojumu vai veic citu darbību, kas nepieciešama būtisko pakalpojumu sniedzēja darbības nodrošināšanai. Noteikumu projekts nosaka ārpakalpojumu drošības prasības būtisko pakalpojumu sniedzējiem, kas ir līdzvērtīgas pašreiz spēkā esošajām prasībām valsts un pašvaldību institūcijām, kas noteiktas Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām".
Ņemot vērā, ka Nacionālās kiberdrošības likumā ietvertais regulējums nenosaka precīzu subjektu skaitu, administratīvās izmaksas nav iespējams precīzi noteikt.
1) uzraudzības iestādes (Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju), kuras veiks subjektu uzraudzību atbilstoši Nacionālās kiberdrošības likumā noteiktajam uzraugošo iestāžu dalījumam. Noteikumu projekts precizē un papildina Nacionālās kiberdrošības likumā ietvertās tiesību normas attiecībā uz uzraudzības iestāžu funkcijām un uzdevumiem, cita starpā nosakot kritērijus un kārtību, kādā Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt subjekta elektronisko sakaru tīklu un informācijas sistēmu drošības skenēšanu, kārtību, kādā Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs slēdz lietotājam piekļuvi elektronisko sakaru tīklam, kārtību, kādā Nacionālais kiberdrošības centrs ziņo par valsts un pašvaldību institūcijām, kuras nepilda nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai.
2) kiberincidentu novēršanas institūcijas, kuras īstenos Nacionālās kiberdrošības likumā noteiktos uzdevumus. Noteikumu projekts cita starpā nosaka kārtību, kādā kiberincidentu novēršanas institūcija izmanto (tai skaitā izvieto, uztur un demontē) agrās brīdināšanas sensorus subjektu IKT infrastruktūrā, kiberincidentu nozīmīguma kritērijus, kā arī kārtību un formātu (tai skaitā noteiktas formas veidlapas), kādā kiberincidentu novēršanas institūcija saņem agrīno brīdinājumu, sākotnējo ziņojumu, starpposma ziņojumu, progresa ziņojumu un galaziņojumu par nozīmīgu kiberincidentu.
3) subjektus – būtisko pakalpojumu sniedzējus, svarīgo pakalpojumu sniedzējus un IKT kritiskās infrastruktūras īpašniekus un tiesiskos valdītājus, kuriem būs nepieciešams ievērot Nacionālās kiberdrošības likumā un šajā Noteikumu projektā noteiktos atbilstības un ziņošanas pienākumus. Tāpat Noteikumu projekts paredz veidlapas būtisko pakalpojumu sniedzēju un svarīgo pakalpojumu sniedzēju reģistrācijai Nacionālās kiberdrošības centra uzturētajā sarakstā, kā arī nosaka kārtību šo veidlapu iesniegšanai
4) domēnu vārdu reģistrācijas pakalpojumu sniedzējus, kuriem saskaņā ar Nacionālās kiberdrošības likumu būs jāreģistrējas Nacionālās kiberdrošības centra uzturētajā sarakstā. Noteikumu projekts paredz veidlapas domēnu vārdu reģistrācijas pakalpojumu sniedzēju reģistrācijai, kā arī nosaka kārtību šo veidlapu iesniegšanai.
5) kiberdrošības auditorus – komersantus, kuriem saskaņā ar Nacionālās kiberdrošības likumā un šajos noteikumos noteikto būs tiesības veikt subjektu kiberdrošības atbilstības auditu. Noteikumu projekts nosaka prasības kiberdrošības auditoriem un kiberdrošības auditoru reģistrācijas kārtību, tostarp noteiktas formas veidlapas un kārtību šo veidlapu un apliecinošo dokumentu iesniegšanai Digitālās drošības uzraudzības komitejai.
6) ārpakalpojumu sniedzējus, kuri nodrošina procesu, sniedz pakalpojumu vai veic citu darbību, kas nepieciešama būtisko pakalpojumu sniedzēja darbības nodrošināšanai. Noteikumu projekts nosaka ārpakalpojumu drošības prasības būtisko pakalpojumu sniedzējiem, kas ir līdzvērtīgas pašreiz spēkā esošajām prasībām valsts un pašvaldību institūcijām, kas noteiktas Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām".
Ņemot vērā, ka Nacionālās kiberdrošības likumā ietvertais regulējums nenosaka precīzu subjektu skaitu, administratīvās izmaksas nav iespējams precīzi noteikt.
Nozare
Ieguves rūpniecība un karjeru izstrāde, Apstrādes rūpniecība, Elektroenerģija, gāzes apgāde, siltumapgāde un gaisa kondicionēšana, Ūdens apgāde; notekūdeņu, atkritumu apsaimniekošana un sanācija, Vairumtirdzniecība un mazumtirdzniecība; automobiļu un motociklu remonts, Transports un uzglabāšana, Informācijas un komunikācijas pakalpojumi, Finanšu un apdrošināšanas darbības, Profesionālie, zinātniskie un tehniskie pakalpojumi, Administratīvo un apkalpojošo dienestu darbība, Valsts pārvalde un aizsardzība; obligātā sociālā apdrošināšana, Izglītība, Veselība un sociālā aprūpe, Citi pakalpojumi
Nozaru ietekmes apraksts
Noteikumu projekts attieksies uz subjektiem nozarēs, kuras ir noteiktas Nacionālās kiberdrošības likuma 20. un 21. pantā.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Jā
2.2.1. uz makroekonomisko vidi:
Nē2.2.2. uz nozaru konkurētspēju:
Nē2.2.3. uz uzņēmējdarbības vidi:
Nē2.2.4. uz mazajiem un vidējiem uzņēmējiem:
Jā
Ietekmes apraksts
Subjektu kopums aptver dažādas sabiedrībai svarīgas nozares tostarp enerģētika, transports, bankas, finanšu tirgus infrastruktūra, veselības un citas (skat. Nacionālās kiberdrošības likuma 20. un 21. pantu). Šiem pakalpojumiem ir būtiska loma un ir sabiedrības interesēs, lai šo nozaru pakalpojuma sniedzēji ievēro informācijas un komunikācijas tehnoloģiju, tostarp tīklu un informācijas sistēmu, kiberdrošību un ziņo par kiberdrošības incidentiem. Nosakot minimālās drošības prasības būtisko un svarīgo pakalpojumu sniedzējiem, tas nodrošinās sabiedrībai svarīgu pakalpojumu nepārtrauktību, mazinās risku, ka kiberdrošības incidentu rezultātā netiks neatgriezeniski vai ilglaicīgi traucēta sabiedrībai kritiski svarīgu pakalpojumu saņemšana, un citu negatīvo ietekmi uz sabiedrībai ikdienā svarīgiem pakalpojumiem.
2.2.5. uz konkurenci:
Nē2.2.6. uz nodarbinātību:
Nē2.3. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
2.4. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Jā
Sabiedrības grupa
Vai ietekmē?
Izmaksas par vienību - euro
Vienību skaits
Atbilstības izmaksas - euro
Aprēķinu skaidrojums
Juridiskās personas
Kopā (juridiskās personas)
0,00
lielie uzņēmumi
Jā
Vērtības nozīme:
Nav iespējams noteikt precīzu ietekmi uz juridiskām personām, ņemot vērā, ka ietekme ir atkarīga no jau esošā kiberdrošības līmeņa un nepieciešamajiem ieviešanas pasākumiem, kas Nacionālās kiberdrošības likumā noteiktajiem subjektiem jāīsteno atbilstoši noteikumu projektam. Ja lielais uzņēmums ir iekļauts pamatpakalpojumu vai digitālo pakalpojumu sniedzēju sarakstā, tad tam jau līdz šim ir bijis jāievēro prasības, kas noteiktas Informācijas tehnoloģiju drošības likumā un Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām". Attiecīgi ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas noteikumu projektā.
mazie uzņēmumi
Jā
Vērtības nozīme:
Nav iespējams noteikt precīzu ietekmi uz juridiskām personām, ņemot vērā, ka ietekme ir atkarīga no jau esošā kiberdrošības līmeņa un nepieciešamajiem ieviešanas pasākumiem, kas Nacionālās kiberdrošības likumā noteiktajiem subjektiem jāīsteno atbilstoši noteikumu projektam.
vidējie uzņēmumi
Jā
Vērtības nozīme:
Nav iespējams noteikt precīzu ietekmi uz juridiskām personām, ņemot vērā, ka ietekme ir atkarīga no jau esošā kiberdrošības līmeņa un nepieciešamajiem ieviešanas pasākumiem, kas Nacionālās kiberdrošības likumā noteiktajiem subjektiem jāīsteno atbilstoši noteikumu projektam. Ja vidējais uzņēmums ir iekļauts pamatpakalpojumu vai digitālo pakalpojumu sniedzēju sarakstā, tad tam jau līdz šim ir bijis jāievēro prasības, kas noteiktas Informācijas tehnoloģiju drošības likumā un Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām". Attiecīgi ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas noteikumu projektā.
informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji
Jā
Vērtības nozīme:
Attiecībā uz esošajiem informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem ietekme būs daudz mazāka, jo līdz šim uz viņiem jau attiecās Informācijas tehnoloģiju drošības likums, kā arī Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība" un Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", un Valsts drošības iestāžu rekomendācijas. Respektīvi, uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru ietekme būs tikai tām prasībām, kas no jauna tiks noteikumu projektā.
citas valsts institūcijas
Jā
Vērtības nozīme:
Citām valsts institūcijām jau līdz šim ir bijis jāievēro Informācijas tehnoloģiju drošības likumā, kā arī Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" noteiktās prasības. Attiecīgi ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas noteikumu projektā.
pastarpinātās pārvaldes iestādes
Jā
Vērtības nozīme:
Attiecībā uz pastarpinātām pārvaldes iestādēm, kuras ir iekļautas pamatpakalpojumu sniedzēju sarakstā jau līdz šim ir bijis jāievēro Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" noteiktās prasības. Attiecīgi ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas noteikumu projektā. Savukārt attiecībā uz citām pastarpinātām publiskām personām, kuras nav bijušas iekļautas pamatpakalpojumu sniedzēju sarakstā, nav iespējams noteikt precīzu ietekmi, ņemot vērā, ka tā ir atkarīga no katras iestādes jau esošā kiberdrošības līmeņa un nepieciešamajiem ieviešanas pasākumiem, kas iestādēm būs jāīsteno atbilstoši noteikumu projektam.
tiešās pārvaldes iestādes
Jā
Vērtības nozīme:
Tiešās pārvaldes iestādēm jau līdz šim ir bijis jāievēro Informācijas tehnoloģiju drošības likumā, kā arī Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" noteiktās prasības. Attiecīgi ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas noteikumu projektā.
atvasinātas publiskās personas
Jā
Vērtības nozīme:
Atvasinātām publiskām personām jau līdz šim ir bijis jāievēro Informācijas tehnoloģiju drošības likumā, kā arī Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām" noteiktās prasības. Attiecīgi ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas noteikumu projektā.
Kopā
0,00
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
Attiecībā uz papildu prasībām kiberincidentu novēršanas institūcijām, kas noteiktas Noteikumu projekta 6. nodaļā (92. punkts), norādām, ka kiberincidentu novēršanas institūcijas Noteikumu projektā noteiktās prasības (Noteikumu projekta 6. nodaļa) īstenos tā piešķirto budžeta līdzekļu ietvaros. Detalizēta informācija iekļauta Nacionālā kiberdrošības likuma anotācijā. Vienlaikus skaidrojam, ka informācija par Aizsardzības ministrijas un CERT.LV personāla amata vietu skaita izmaiņām un atalgojuma palielinājumu ir iekļauta Aizsardzības ministrijas informatīvajā ziņojumā 21-TA-1699 "Par valsts kiberdrošības pārvaldības uzlabošanu" (pieņemts Ministru kabineta 2022. gada 7. jūnija sēdē, protokola Nr. 30., 4. §) (ierobežotas pieejamības informācija).
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Jā
4.1. Saistītie tiesību aktu projekti
4.1.1. Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"
Pamatojums un apraksts
Noteikumu projekts aizstās Ministru kabineta 2015. gada 28. jūlija noteikumus Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām"
Atbildīgā institūcija
Aizsardzības ministrija
4.1.2. Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība"
Pamatojums un apraksts
Noteikumu projekts aizstās Ministru kabineta 2011. gada 1. februāra noteikumus Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība"
Atbildīgā institūcija
Aizsardzības ministrija
4.1.3. Ministru kabineta 2019. gada 15. janvāra noteikumi Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu"
Pamatojums un apraksts
Noteikumu projekts aizstās Ministru kabineta 2019. gada 15. janvāra noteikumus Nr. 15 "Noteikumi par drošības incidenta būtiskuma kritērijiem, informēšanas kārtību un ziņojuma saturu"
Atbildīgā institūcija
Aizsardzības ministrija
4.1.4. Ministru kabineta 2023. gada 28. februāra noteikumi Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības"
Pamatojums un apraksts
Noteikumu projekts aizstās Ministru kabineta 2023. gada 28. februāra noteikumus Nr. 94 "Publisko elektronisko sakaru tīklu drošības prasības"
Atbildīgā institūcija
Aizsardzības ministrija
4.1.5. Ministru kabineta 2011. gada 26. aprīļa noteikumi Nr. 327 "Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem"
Pamatojums un apraksts
Noteikumu projekts aizstās Ministru kabineta 2011. gada 26. aprīļa noteikumus Nr. 327 "Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem"
Atbildīgā institūcija
Satiksmes ministrija
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Jā
5.1. Saistības pret Eiropas Savienību
Vai ir attiecināms?
Jā
ES tiesību akta CELEX numurs
32022L2555
ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva)
Apraksts
-
5.2. Citas starptautiskās saistības
Vai ir attiecināms?
Nē
5.3. Cita informācija
Apraksts
-
5.4. 1. tabula. Tiesību akta projekta atbilstība ES tiesību aktiem
Attiecīgā ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes Direktīva (ES) 2022/2555 (2022. gada 14. decembris), ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva)
ES TA panta numurs
Projekta vienība, kas pārņem vai ievieš A minēto
Tiek pārņemts pilnībā vai daļēji
Vai B minētais paredz stingrākas prasības un pamatojums
A
B
C
D
NIS2 direktīvas 10. panta 2. punkts
Noteikumu projekta 90.6. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 10. panta 3. punkts
Noteikumu projekta 90.8. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 10. panta 9. punkts
Ietvertais NIS2 direktīvas pienākums katrai dalībvalstij nekavējoties paziņot Eiropas Komisijai par kompetentajām kiberincidentu novēršanas institūcijām, kā arī institūciju, kura pilda koordinētas ievainojamību atklāšanas koordinatora funkcijas, tiek izpildīts ar Ministru kabineta sēdes protokollēmumā paredzētu uzdevumu.
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 1. punkta a) apakšpunkts
Noteikumu projekta 90.1. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 1. punkta b) apakšpunkts
Noteikumu projekta 90.2. un 90.3. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 1. punkta c) apakšpunkts
Noteikumu projekta 90.4. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 1. punkta d) apakšpunkts
Noteikumu projekta 90.5. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 1. punkta e) apakšpunkts
Noteikumu projekta 90.6. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta f) apakšpunkts
Noteikumu projekta 90.7. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 2. punkts
Noteikumu projekta 90.6., 90.7. un 90.8. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas h) apakšpunkts
Noteikumu projekta 90.8. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 11. panta 5. punkts
Noteikumu projekta 90.9. apakšpunkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 13. panta 6. punkts
Noteikumu projekta 8.-12. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 1. punkts
Noteikumu projekta 3.5 sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta a) apakšpunkts
Noteikumu projekta 3.3. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta b) apakšpunkts
Noteikumu projekta 3.6 un 7. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta c) apakšpunkts
Noteikumu projekta 3.5., 3.10. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta d) apakšpunkts
Noteikumu projekta 4.4. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta e) apakšpunkts
Noteikumu projekta 4.4. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta f) apakšpunkts
Noteikumu projekta 25.4.apakšpunkts, un 28. punkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta g) apakšpunkts
Noteikumu projekta 3.11. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta h) apakšpunkts
Noteikumu projekta 4.1. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta i) apakšpunkts
Noteikumu projekta 3.7. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 2. punkta j) apakšpunkts
Noteikumu projekta 36. punkts
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 21. panta 3. punkts
Noteikumu projekta 4.4.1. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 1. punkts
Noteikumu projekta 7.2. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 3. punkts
Noteikumu projekta 7.1. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta a) apakšpunkts
Noteikumu projekta 94.1. apakšpunkts un 8. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta b) apakšpunkts
Noteikumu projekta 94.2. apakšpunkts un 9. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta c) apakšpunkts
Noteikumu projekta 94.4. apakšpunkts un 11. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta d) apakšpunkta pirmā daļa
Noteikumu projekta 94.5. apakšpunkts un 12. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta d) apakšpunkta otrā daļa
Noteikumu projekta 94.5. apakšpunkts un 12. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta d) apakšpunkta trešā daļa
Noteikumu projekta 94.5. apakšpunkts un 12. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta d) apakšpunkta ceturtā daļa
Noteikumu projekta 94.5. apakšpunkts un 12. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 23. panta 4. punkta e) apakšpunkts
Noteikumu projekta 94.3. apakšpunkts un 10. pielikums
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 24. panta 1. punkts
Noteikumu projekta 4.4. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
NIS2 direktīvas 32. panta 2. punkta d) apakšpunkts
Noteikumu projekta 8.3. sadaļa
Pārņemtas pilnībā
Noteikumu projekts stingrākas prasības neparedz
Kā ir izmantota ES tiesību aktā paredzētā rīcības brīvība dalībvalstij pārņemt vai ieviest noteiktas ES tiesību akta normas? Kādēļ?
Aizsardzības ministrija sadarbībā ar Satversmes aizsardzības biroju un CERT.LV, atbilstoši kompetenci izvērtējot aktuālos riskus nacionālajai drošībai, tostarp kiberdrošības riskus, ir izmantojusi rīcības brīvību, paplašinot to subjektu loku, uz kuriem attiecas NIS2 direktīvā un šajā likumprojektā noteiktie atbilstības un ziņošanas pienākumi, ar visām valsts tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes, kā arī likumprojektā noteiktajos gadījumos - pastarpinātās pārvaldes iestādēm (atbilstoši NIS2 direktīvas 2. panta 5. daļā noteiktajam). Tāpat par svarīgo pakalpojumu sniedzēju likumprojekta izpratnē tiek uzskatīti arī vidēji vai lieli apsardzes pakalpojumu sniedzēji, kā arī, neatkarīgi no subjekta lieluma, izglītības informācijas sistēmu uzturētāji. NIS2 direktīvas 2. panta 8. daļā paredzētā rīcības brīvība izslēgt no Likumprojekta tvēruma atsevišķas valsts iestādes, tostarp aizsardzības, sabiedriskās kārtības, policijas, prokuratūras un tiesu iestādes, Aizsardzības ministrijas ieskatā nav izmantojama dēļ paaugstinātiem nacionālās drošības riskiem minētajām iestādēm, tādēļ visas minētās iestādes ir šī likumprojekta subjekti. Vienīgais likumprojektā paredzētais izņēmums attiecas uz valsts drošības iestādēm, ņemot vērā šo iestāžu darbību specifiku, kā arī to, ka nacionālā drošība ir ārpus Eiropas Savienības tiesību aktu darbības jomas. Likumprojektā ir izmantota NIS2 direktīvas 3. panta 4. punkta noslēguma daļā paredzētā rīcības brīvība veidot valsts mehānismu subjektu reģistrācijai, nosakot prasības personām veikt pašvērtējumu un par savu atbilstību būtisko vai svarīgo pakalpojumu sniedzēja statusam likumprojektā noteiktajā kārtībā paziņot Nacionālajam kiberdrošības centram.
Saistības sniegt paziņojumu ES institūcijām un ES dalībvalstīm atbilstoši normatīvajiem aktiem, kas regulē informācijas sniegšanu par tehnisko noteikumu, valsts atbalsta piešķiršanas un finanšu noteikumu (attiecībā uz monetāro politiku) projektiem
Projekts šo jomu neskar.
Cita informācija
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
Aizsardzības ministrija, Militārās izlūkošanas un drošības dienests, Satversmes aizsardzības birojs, Latvijas Universitātes Matemātikas un informātikas institūtsNevalstiskās organizācijas
NēCits
Nē6.2. Sabiedrības līdzdalības organizēšanas veidi
Veids
Publiskā apspriešana
Saite uz sabiedrības līdzdalības rezultātiem
https://tapportals.mk.gov.lv/public_participation/71a8f7aa-56f9-411d-9cb6-332256f23c68
6.3. Sabiedrības līdzdalības rezultāti
No 03.07.2024.- 17.07.2024. tika organizēta Noteikumu projekta publiskā apspriešana, kā rezultātā Noteikumu projekts tika precizēts un papildināts atbilstoši izteiktajiem iebildumiem un priekšlikumiem.
6.4. Cita informācija
Tika organizēta Noteikumu projekta apspriede ar Latvijas nacionālās kiberdrošības kompetenču kopienas dalībniekiem.
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Jā
7.1. Projekta izpildē iesaistītās institūcijas
Institūcijas
- Aizsardzības ministrija
- Satversmes aizsardzības birojs
- Militārās izlūkošanas un drošības dienests
- Latvijas Universitātes Matemātikas un informātikas institūts
7.2. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.3. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
Nē
-
2. Tiks likvidēta institūcija
Nē
-
3. Tiks veikta esošās institūcijas reorganizācija
Nē
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Nē
-
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Nē
-
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Nē
-
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Nē
-
8. Cita informācija
Nē
-
7.5. Cita informācija
-
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
Noteikumu projektā ietvertas tiesību normas, kas vērstas uz publisku pakalpojumu, kurus sniedz, izmantojot IKT, konfidencialitātes, integritātes un pieejamības veicināšanu.
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
Noteikumu projekts ir vērsts uz valsts un pašvaldību IKT drošības un kibernoturības stiprināšanu
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Jā
Apraksts
Noteikumu projektā ietvertās minimālās kiberdrošības prasības un kiberhigiēnas pasākumu pamatelementi veicinās subjektu noturību pret kiberapdraudējumiem, tādējādi sekmējot elektroniski apstrādājamo datu aizsardzību.
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
-
Pielikumi