22-TA-2017: Noteikumu projekts (Jauns)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Publisko elektronisko sakaru tīklu drošības prasības" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
Tiesību akts / Ministru Prezidenta rezolūcija
Apraksts
Izdoti saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu.
1.2. Mērķis
Mērķa apraksts
Noteikumu projekts nosaka: 1) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības; 2) kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā.
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva 2018/1972) sevī apvieno tiesību normas, kas ietvertas Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu, Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu, Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem un Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīva 2002/22/EK par universālo pakalpojumu un lietotāju tiesībām attiecībā uz elektronisko sakaru tīkliem un pakalpojumiem. Lai ieviestu Direktīvas 2018/1972 normas, ņemot vērā to apjomu, nebija lietderīgi veikt grozījumus spēkā esošajā Elektronisko sakaru likumā, tādēļ Satiksmes ministrija izstrādāja jaunu likumprojektu “Elektronisko sakaru likums”, kas aptver ne tikai Direktīvas 2018/1972 normas, bet arī saglabā un pilnveido ESL esošo regulējumu jautājumos, kas nav Direktīvas 2018/1972 tvērumā. Anotācijas sagatavošanas brīdī likumprojekts “Elektronisko sakaru likums” atrodas izskatīšanā Saeimā.
Eiropas Komisija (turpmāk – EK) 2019. gada 26. martā pieņēma Ieteikumu (ES) 2019/534 par 5G tīklu kiberdrošību. Ieteikumā EK aicināja dalībvalstis pabeigt nacionālos riska novērtējumus un pārskatīt nacionālos pasākumus, kā arī Eiropas Savienības (turpmāk – ES) līmenī kopīgi strādāt pie koordinēta riska novērtējuma un sagatavot rīkkopu ar iespējamiem riska mazināšanas pasākumiem. Šis paziņojums ir neatņemama daļa no EK visaptverošās Eiropas digitālās stratēģijas, kuru sagatavot aicinājusi Eiropadome.
Realizējot ieteikumu, ES dalībvalstis, līdz 2019. gada 30. jūnijam veica piektās paaudzes (turpmāk - 5G) publisko mobilo elektronisko sakaru tīklu infrastruktūras riska novērtējumu, tostarp identificējot sensitīvākos elementus, kuru drošības pārkāpumiem būtu ievērojama negatīva ietekme. Pamatojoties uz šiem nacionālajiem riska novērtējumiem, 2019. gada 9. oktobrī Direktīvas (ES) 2016/1148 par tīklu un informācijas sistēmu drošību visā ES sadarbības grupa (turpmāk – NIS sadarbības grupa), kuras sastāvā ir dalībvalstu, EK un ES Kiberdrošības aģentūras (turpmāk – ENISA) pārstāvji, publicēja ziņojumu par ES koordinēto riska novērtējumu par kiberdrošību 5G tīklos. Tajā apzināti galvenie apdraudējumi un apdraudētāji, vissensitīvākie aktīvi un galvenās ievainojamības (tostarp tehniskās un citas), kas skar 5G tīklus. Tāpat ziņojumā apzinātas vairākas to risku kategorijas, kas no ES viedokļa ir stratēģiski svarīgi, un izklāstīti konkrēti riska scenāriji, kuri atspoguļo dažādo parametru (ievainojamības, draudi un apdraudētāji) relevantās kombinācijas attiecībā uz dažādiem aktīviem.
Eiropas Savienības 2020. gada 29. janvārī publicēja ES rīkkopu 5G drošībai (turpmāk – rīkkopa), kas norāda, Direktīvas Nr.2018/1972 pārņemšanai būs būtiska loma rīkkopas mērķu īstenošanai.
Rīkkopā iztirzāti arī visi koordinētā riska novērtējuma ziņojumā apzinātie riski. ES rīkkopā ir apzināti un aprakstīti vairāki stratēģiski un tehniski pasākumi, ko var izmantot apzināto risku mazināšanai, kā arī attiecīgas pasākumu efektivitāti vairojošas atbalsta darbības.
Rīkkopā ir aplūkoti astoņi stratēģiskie pasākumi (turpmāk – SM):
Valsts iestāžu lomas stiprināšana. Saskaņā ar rīkkopu šī pasākuma realizācijā ir iesaistītas kompetentās valsts iestādes un mobilo sakaru operatori. Pasākumam būtu jāietver valsts iestāžu pilnvaru stiprināšana, lai tās varētu:
noteikt mobilo sakaru operatoriem stingrākas prasības, piemēram, attiecībā uz signalizācijas un vadības sistēmu drošību,
izmantot ex-ante pilnvaras, lai izvērtējot riskus ierobežotu, aizliegtu un/vai noteiktu īpašas prasības vai nosacījumus 5G tīkla iekārtu piegādei, ieviešanai un ekspluatācijai, cita starpā ņemot vērā:
kritisku un sensitīvu 5G tīklu daļu drošību;
aprīkojuma vai vides drošību (izvietošana, starpsavienojumi utt.);
trešās valsts iejaukšanās risku 5G piegādes ķēdē;
risku, ka individuālam mobilo sakaru operatoram vai mobilo sakaru operatoriem valsts mērogā varētu būt liela atkarība no viena piegādātāja;
valsts drošības riskus.
Auditu veikšana operatoriem un informācijas pieprasīšana. Pasākums paredz, ka īstenojot savas pilnvaras saskaņā ar Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk - Eiropas Elektronisko sakaru kodekss) 41. panta 2. punktu, dalībvalstis nodrošina to, ka kompetentās iestādes ir pilnvarotas pieprasīt, lai publisko elektronisko sakaru tīklu vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji:
sniegtu informāciju, kas vajadzīga to tīklu un pakalpojumu drošības novērtēšanai, tostarp informē par dokumentētu drošības politiku,
īstenotu drošības revīziju, ko veic kvalificēta neatkarīga struktūra vai kompetenta iestāde, un par tās rezultātiem informētu kompetento iestādi; revīzijas izmaksas sedz pakalpojumu sniedzējs.
Piegādātāju riska profila novērtēšana un ierobežojumu piemērošana piegādātājiem, kurus uzskata par augsta riska piegādātājiem. Lai īstenotu pasākumu, rīkkopa paredz, ka ir nepieciešams izveidot sistēmu ar skaidriem kritērijiem, ņemot vērā ES koordinētā riska novērtējuma 2.37. punktā[1] noteiktos riska faktorus un pievienojot katrai valstij specifisku informāciju, lai valsts kompetentās iestādes un mobilo sakaru operatori:
veiktu visu piegādātāju riska profila novērtējumus valsts un/vai ES līmenī (kopīgi ar citām dalībvalstīm vai citiem mobilo sakaru operatoriem);
pamatojoties uz riska profila novērtējumu, piemērotu ierobežojumus, tostarp nepieciešamos izņēmumus, lai efektīvi mazinātu riskus, galvenajiem aktīviem, kas definēti kā kritiski vai jutīgi ES koordinētajā riska novērtējuma ziņojumā (piemēram, tīkla pamatfunkcijas, tīkla pārvaldības un vadības funkcijas un piekļuves tīkla funkcijas);
veiktu pasākumus, lai nodrošinātu, ka mobilo sakaru operatori veic atbilstošas kontroles un procesus, lai pārvaldītu iespējamos riskus, piemēram, regulāras piegādes ķēdes revīzijas un riska novērtējumus, stingru riska pārvaldību un/vai īpašas prasības piegādātājiem, pamatojoties uz to riska profilu.
Pārvaldīto pakalpojumu sniedzēju un iekārtu piegādātāju kontrole. Rīkkopa paredz izveidot regulējumu, kas nosaka ierobežojumus attiecībā uz darbības veidiem un nosacījumiem, saskaņā ar kuriem mobilo sakaru operatori drīkst nodot specifiskas funkcijas pārvaldīto pakalpojumu sniedzējiem gan fiziskā, gan virtuālā infrastruktūrā, tostarp:
noteikt ierobežojumus, jo īpaši 5G tīklu kritiskajās un sensitīvajās daļās, piemēram, drošības un tīkla ekspluatācijas funkcijās, un gadījumos, kad pārvaldītie pakalpojumu sniedzēji tiek uzskatīti par augsta riska piegādātājiem iepriekšējā stratēģiskā pasākuma izpratnē;
funkcijām, kuras ir nodotas pārvaldīto pakalpojumu sniedzējiem, noteikt paaugstinātas drošības prasības pārvaldīto pakalpojumu sniedzēju pieejas tiesībām, kuras tiem ir piešķirtas, lai tie varētu īstenot tiem nodotās funkcijas.
iekārtu ražotāju trešās līnijas (Tier 3) tehniskajam atbalstam tīklu projektēšanas, izvēršanas un/vai ekspluatācijas laikā noteikt stingru piekļuves kontroli, īpaši attiecībā uz kritiski jutīgiem tīkla komponentiem un/vai jutīgām tīkla daļām, un jo īpaši attiecībā uz piegādātājiem, kurus uzskata par augsta riska piegādātājiem iepriekšējā stratēģiskā mērķa izpratnē.
Piegādātāju daudzveidības nodrošināšana atsevišķiem mobilo tīklu operatoriem, izmantojot vairāku piegādātāju stratēģijas. Pasākums paredz nodrošināt, lai katram mobilo sakaru operatoram būtu atbilstoša vairāku piegādātāju stratēģija, ņemot vērā tehniskās prasības un savietojamības prasības dažādām 5G tīkla daļām, lai:
novērstu vai ierobežotu jebkādu būtisku atkarību no viena piegādātāja (vai piegādātājiem ar līdzīgu riska profilu);
lai izvairītos no atkarības no piegādātājiem, kurus uzskata par augsta riska piegādātājiem pasākuma 3.1.3. nozīmē.
Izturētspējas stiprināšana valsts līmenī. Šis stratēģiskais pasākums paredz, ka ir nepieciešams nodrošināt pietiekamu piegādātāju līdzsvaru valsts līmenī, lai nodrošinātu, ka pastāv izturētspēja gadījumā, ja notiek incidents ar vienu mobilo sakaru operatoru un/vai vienu piegādātāju, ņemot vērā ģeogrāfijas un iedzīvotāju skaita atšķirības atsevišķās dalībvalstīs.
Galveno resursu noteikšana un daudzveidīgas un ilgtspējīgas 5G ekosistēmas veicināšana ES. Pasākums paredz balstīties uz ES ārvalstu tiešo ieguldījumu pārbaudes mehānismu, lai uzlabotu ārējo tiešo investīciju ieguldījumu uzraudzību visā 5G vērtību ķēdē (piemēram, kartējot galvenos 5G aktīvus, izmantojot monitoringa instrumentus un izpētot īpašas vadlīnijas), lai labāk noteiktu ārvalstu ieguldījumus 5G vērtību ķēdē, kas var apdraudēt kritiskās infrastruktūras drošību vai sabiedrisko kārtību, sabiedrības drošību, utt.
Daudzveidības un ES spēju saglabāšana un veidošana nākotnes tīkla tehnoloģijās. Stratēģiskais pasākums paredz izstrādāt politiku, kas rada optimālus apstākļus Eiropas tehnoloģiskajiem uzņēmumiem un veicina jauninājumus galvenajās tehnoloģiju jomās, lai veicinātu daudzveidīgu, ilgtspējīgu un drošu Eiropas 5G ekosistēmu, tostarp:
attīstīt ierosināto ES iestāžu partnerību nākošās paaudzes interneta, 6G tīklu jomā, lai nodrošinātu pietiekamu piegādātāju daudzveidību, zināšanas un piegādes spējas;
ES spēju attīstīšana un izvairīšanās no atkarības. Tas attiecas uz dažādu ES finansēšanas programmu īstenošanu, jo īpaši uz Horizon Europe, Digitālās Eiropas programmu un Eiropas infrastruktūras savienošanas instrumentu (CEF),
apvienot zināšanas, finanšu resursus un tirgus dalībniekus visā ES, lai pārvarētu potenciāli nozīmīgas tirgus vai sistēmiskas nepilnības visā vērtību ķēdē, kā arī veicinātu turpmākas konkrētas nozares iniciatīvas.
Rīkkopā ir aplūkoti vienpadsmit tehniskie pasākumi (turpmāk – TM):
Drošības pamatprasību piemērošanas nodrošināšana. Tehniskais pasākums paredz, ka ir jānodrošina, ka mobilo sakaru operatori īsteno labāko praksi un ieteikumus drošības jomā, kas nav specifiski 5G tīkliem, piemēram, produktu izstrādē, konfigurācijā, tīkla ikdienas pārvaldībā, incidentu pārvaldībā, drošības atjaunojumu pārvaldībā , piemēram, nosakot un pārskatot mobilo sakaru operatoru riska novērtējuma plānus. Papildus jānodrošina, ka mobilo sakaru operatori pastāvīgi atjaunina informāciju par drošības politiku, tostarp operatīvo informāciju, kā arī saista to ar izmaiņu un incidentu pārvaldības procedūrām attiecībā uz galvenajiem tīkliem un informācijas sistēmām.
Drošības pasākumu īstenošanas nodrošināšana un novērtēšana esošajos 5G standartos. Šis pasākums ir īstenojams, no drošinot, ka mobilo sakaru operatori un to piegādātāji īsteno spēkā esošos drošības pasākumus, kas iekļauti attiecīgajos 5G tehnoloģijas standartos (piemēram, 3GPP) un izmanto tos kā minimālo drošības sākumpunktu, lai nodrošinātu, ka arī šo standartu fakultatīvās daļas, kas attiecas uz drošību, tiek pienācīgi īstenotas.
Stingras piekļuves kontroles nodrošināšana. Pasākuma realizēšanai ir nepieciešams nodrošināt, ka mobilo sakaru operatori īsteno atbilstošus, elastīgus un pārbaudāmus tehniskos pasākumus, lai nodrošinātu, ka:
1) tiek piemērotas secīgas tīkla piekļuves kontroles;
2) piemēro vismazāko privilēģiju principu, nodrošinot, ka tiek minimizētas dažādas tiesības tīklā (piemēram, piekļuves tiesības starp tīkla funkcijām, tīkla administratora tiesības, virtualizācijas konfigurācija);
3) piemēro pienākumu nošķiršanas principu;
4) tiek veiktas procedūras, lai nodrošinātu, ka šie tehniskie noteikumi ir spēkā visu laiku un attīstās kopā ar tīklu.
Nosakot piekļuves kontroles politiku, īpaša uzmanība jāpievērš tam, lai nodrošinātu, ka tiek samazināta un/vai novērsta attālā piekļuve, ko sniedz trešās personas, jo īpaši piegādātāji, kurus uzskata par augsta riska piegādātājiem. Ja ir nepieciešama attāla piekļuve, piemēram, lai novērstu pakalpojumu traucējumus, mobilo sakaru operatoriem būtu jāpiemēro atbilstoša autentifikācija, autorizācija, reģistrēšana un auditēšana, lai nodrošinātu caurredzamību attiecībā uz piekļuves datiem un konfigurācijas izmaiņām vai tīkla izmaiņām.
Virtualizēto tīkla funkciju drošības palielināšana. Lai īstenotu pasākumu ir jānodrošina, lai mobilo sakaru operatori ievērotu drošības labāko praksi attiecībā uz tīkla funkciju virtualizāciju. Jāņem vērā, ka var būt situācijas, piemēram, ja tīkla funkcija ir kritiska vai ja tā apstrādā ļoti sensitīvu informāciju, ka virtualizācija nav piemērota un šādos iestatījumos var būt nepieciešama fiziska nošķiršana.
Drošas 5G tīkla pārvaldības, darbības un uzraudzības nodrošināšana. Pasākuma īstenošanai ir jānodrošina, ka mobilo sakaru operatori vada savus tīkla darbības centrus (turpmāk - NOC) un/vai drošības operāciju centrus (turpmāk - SOC) valsts un/vai ES teritorijā. NOC un SOC ir būtiska mobilo sakaru operatoru infrastruktūras sastāvdaļa, īstenojot un uzraugot pasākumus drošai tīkla pārvaldībai un darbībai. Tiem jānodrošina pārredzamība un jāīsteno efektīva tīkla uzraudzība vismaz attiecībā uz visiem 5G tīklu kritiskajiem komponentiem un sensitīvo daļu, lai atklātu novirzes, identificētu un novērstu draudus, piemēram, apdraudējumu pamattīklam, ko rada apdraudētas lietotāju ierīces un lietu internets. Nepieciešams nodrošināt, lai mobilo sakaru operatori aizsargātu sakaru tīkla vai pakalpojuma pārvaldības datplūsmu, lai izvairītos no nesankcionētām izmaiņām sakaru tīklā vai pakalpojumu komponentos.
Fiziskās drošības stiprināšana. Pasākums paredz nodrošināt, ka mobilo sakaru operatori pastiprina kritisko 5G tīklu komponentu fizisko aizsardzību, izmantojot uz risku balstītu pieeju, piemēram, apsverot, kur komponenti tiek izvietoti un izmantoti. Pastiprinot fiziskās piekļuves kontroli, ir svarīgi nodrošināt, ka piekļuve tiek piešķirta tikai ierobežotam skaitam apsargāto, apmācīto un kvalificēto darbinieku. Trešo personu, piegādātāju/pārdevēju piekļuve ir jāierobežo un jāuzrauga, jo īpaši, ja tā attiecas uz 5G tīklu kritiskajām daļām.
Programmatūras integritātes, atjaunināšanas un drošības atjauninājumu pārvaldības stiprināšana. Tehniskais pasākums paredz, ka ir nepieciešams nodrošināt, ka mobilo sakaru operatori izvietotu atbilstošus rīkus un procesus, lai nodrošinātu programmatūras integritāti, kas, veicot programmatūras atjauninājumus un lietojot drošības ielāpus 5G tīklos, droši identificē un reģistrē izmaiņas un ielāpu statusu.
Drošības standartu paaugstināšana piegādātāju procesos, izmantojot iepirkuma nosacījumus. Īstenojot pasākumu mobilo sakaru operatori pieprasa drošības standartus no iekārtu piegādātājiem iepirkuma procesā, piemēram, par konkrētiem drošības uzlabojumiem un kvalitātes līmeņa demonstrēšanu, aprīkojuma drošības uzturēšanu visā tā ekspluatācijas laikā un produkta izstrādes procesā tajā iebūvēto drošības risinājumu.
Izmantot ES sertifikāciju 5G tīkla komponentiem, klientu iekārtām un/vai piegādātāju procesiem. Pasākuma īstenošanā Eiropas Komisijai būtu jāapsver attiecīgo ES mēroga shēmu attiecībā uz kritiskajiem tīkla komponentiem, ko izmanto 5G tīklos, un/vai 5G klientu iekārtām iekļaušana Savienības pastāvīgajā darba programmā. Vēlākā posmā būtu arī jāizvērtē, vai sertifikācijas un piegādātāju procesa jautājumi arī būtu pievienojami pastāvīgajai darba programmai.
ES sertifikācijas izmantošana citiem ne 5G specifiskiem IKT produktiem un pakalpojumiem. Tehniskais pasākums paredz, ka Eiropas Komisijai būtu jāapsver iespēja iekļaut Savienības Pastāvīgajā darba programmā Eiropas Savienības mēroga shēmu izstrāde saskaņā ar ES sertifikācijas sistēmu attiecībā uz IKT produktiem un pakalpojumiem, kas nav saistīti ar 5G, piemēram, mākoņdatošanas pakalpojumu un ar tiem saistīto tehnoloģiju drošība un pievienoto (galalietotāja) ierīču, tostarp lietu interneta, drošību.
Izturētspējas un darbības nepārtrauktības plānu stiprināšana. Nodrošināt, ka mobilo sakaru operatori pastiprina savus izturētspējas un darbības nepārtrauktības plānus. Mobilo sakaru operatoriem ir jānodrošina, ka to rīcībā ir atbilstoši plāni, ja notiek negadījums, kas ietekmē tīkla darbību, un jānodrošina, ka visas kritiskās atkarības tiek fiksētas un pēc vajadzības mazinātas. Mobilo sakaru operatoriem jāpieprasa līdzīgas vienošanās saviem piegādātājiem un tikai tad jāizmanto piegādātāji, kas pierāda pietiekamu noturības līmeni ilgtermiņā.
Latvijā elektronisko sakaru jomu un informācijas tehnoloģiju drošības jomu regulē divi likumi, Elektronisko sakaru likums un Informācijas tehnoloģiju drošības likums, un uz to pamata izdotie Ministru kabineta noteikumi.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Elektronisko sakaru likuma 19. panta pirmā daļa uzskaita elektronisko sakaru komersantu pienākumus, no kuriem specifiski ar drošības jautājumiem ir saistīti šādi 19. panta pirmās daļas punkti:
4) nodrošināt lietotāju datu, tajā skaitā personu datu, aizsardzību saskaņā ar normatīvajiem aktiem;
5) saskaņā ar Satversmes aizsardzības biroja direktora rakstveida pieprasījumu par saviem līdzekļiem ierīkot, uzturēt, papildināt un pārveidot atbilstoši jaunieviestajām funkcionalitātēm pārtveršanas punktu (punktus), kas pēc operatīvās darbības subjekta vadītāja rakstveida pieprasījuma bez atlīdzības jānodod tā lietošanā operatīvās darbības pasākumu un kriminālprocesuālo darbību veikšanai;
16) veikt tehniskus un organizatoriskus pasākumus attiecībā uz elektronisko sakaru tīkla drošību tā lietotāju datu aizsardzībai, kā arī konkrēta elektronisko sakaru tīkla drošības apdraudējuma gadījumā informēt lietotājus par elektronisko sakaru tīkla lietošanas riskiem un pieejamiem tiesiskās aizsardzības līdzekļiem šo risku mazināšanai;
18) ja elektronisko sakaru komersants nodrošina publisko elektronisko sakaru tīklu, — veikt tehniskus un organizatoriskus pasākumus attiecīgo elektronisko sakaru tīklu integritātes nodrošināšanai un sadarboties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju atbilstoši Informācijas tehnoloģiju drošības likumā noteiktajam.
Papildus iepriekš uzskaitītajiem pienākumiem, Elektronisko sakaru likuma 19. panta otrā daļa nosaka, ka publiskā telefonu tīkla operatoram ir papildus pienākumi, taču neviens no tiem neskar drošības jautājumus.
Savukārt Informācijas tehnoloģiju drošības likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas un šis likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām. Informācijas tehnoloģiju drošības likuma 9.panta pirmā daļa nosaka, ka elektronisko sakaru komersantiem ir šādi pienākumi:
ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu, — nodrošināt šā sakaru tīkla integritāti, tādējādi panākot pakalpojumu sniegšanas nepārtrauktību, kā arī sastādīt rīcības plānu elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus;
ziņot kompetentajai Drošības incidentu novēršanas institūcijai par drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar kompetento Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem informē kompetento Drošības incidentu novēršanas institūciju. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu.
Uz Informācijas tehnoloģiju drošības likuma pamata ir izdoti Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”, kas nosaka informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību. Savukārt Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, nosaka valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām prasībām, valsts informācijas sistēmu vispārējās drošības prasības un informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.
ES koordinētā riska novērtējuma 2.37. punkts paredz, ka atsevišķu piegādātāju riska profilus var novērtēt, pamatojoties uz vairākiem faktoriem, proti: 1) iespējamību, ka piegādātājs varētu tikt pakļauts intervencei no valsts, kas nav ES dalībvalsts. Tas ir viens no galvenajiem aspektiem ar 5G tīkliem saistīto netehnisko ievainojamību novērtējumā. Šādu ietekmi var veicināt turpmāk uzskaitīto kā arī citu faktoru klātbūtne: a) cieša saikne starp piegādātāju un attiecīgās trešās valsts valdību, b) trešās valsts tiesību akti, jo īpaši tad, ja nav tiesību aktu vai neeksistē demokrātiska kontrole, vai ja starp ES un attiecīgajām trešām valstīm nav nolīgumu drošības vai datu aizsardzības jomās, c) piegādātāja korporatīvo īpašumtiesību īpatnības, d) trešās valsts spēju veikt jebkāda veida spiedienu, tostarp attiecībā uz iekārtas ražošanas vietu, 2) piegādātāja spēju nodrošināt piegādi, 3) produktu vispārējo kvalitāti un piegādātāja kiberdrošības praksi, tostarp kontroles pakāpi pār savu piegādes ķēdi un to, vai drošības praksei tiek piešķirta pienācīga prioritāte.
Eiropas Komisija (turpmāk – EK) 2019. gada 26. martā pieņēma Ieteikumu (ES) 2019/534 par 5G tīklu kiberdrošību. Ieteikumā EK aicināja dalībvalstis pabeigt nacionālos riska novērtējumus un pārskatīt nacionālos pasākumus, kā arī Eiropas Savienības (turpmāk – ES) līmenī kopīgi strādāt pie koordinēta riska novērtējuma un sagatavot rīkkopu ar iespējamiem riska mazināšanas pasākumiem. Šis paziņojums ir neatņemama daļa no EK visaptverošās Eiropas digitālās stratēģijas, kuru sagatavot aicinājusi Eiropadome.
Realizējot ieteikumu, ES dalībvalstis, līdz 2019. gada 30. jūnijam veica piektās paaudzes (turpmāk - 5G) publisko mobilo elektronisko sakaru tīklu infrastruktūras riska novērtējumu, tostarp identificējot sensitīvākos elementus, kuru drošības pārkāpumiem būtu ievērojama negatīva ietekme. Pamatojoties uz šiem nacionālajiem riska novērtējumiem, 2019. gada 9. oktobrī Direktīvas (ES) 2016/1148 par tīklu un informācijas sistēmu drošību visā ES sadarbības grupa (turpmāk – NIS sadarbības grupa), kuras sastāvā ir dalībvalstu, EK un ES Kiberdrošības aģentūras (turpmāk – ENISA) pārstāvji, publicēja ziņojumu par ES koordinēto riska novērtējumu par kiberdrošību 5G tīklos. Tajā apzināti galvenie apdraudējumi un apdraudētāji, vissensitīvākie aktīvi un galvenās ievainojamības (tostarp tehniskās un citas), kas skar 5G tīklus. Tāpat ziņojumā apzinātas vairākas to risku kategorijas, kas no ES viedokļa ir stratēģiski svarīgi, un izklāstīti konkrēti riska scenāriji, kuri atspoguļo dažādo parametru (ievainojamības, draudi un apdraudētāji) relevantās kombinācijas attiecībā uz dažādiem aktīviem.
Eiropas Savienības 2020. gada 29. janvārī publicēja ES rīkkopu 5G drošībai (turpmāk – rīkkopa), kas norāda, Direktīvas Nr.2018/1972 pārņemšanai būs būtiska loma rīkkopas mērķu īstenošanai.
Rīkkopā iztirzāti arī visi koordinētā riska novērtējuma ziņojumā apzinātie riski. ES rīkkopā ir apzināti un aprakstīti vairāki stratēģiski un tehniski pasākumi, ko var izmantot apzināto risku mazināšanai, kā arī attiecīgas pasākumu efektivitāti vairojošas atbalsta darbības.
Rīkkopā ir aplūkoti astoņi stratēģiskie pasākumi (turpmāk – SM):
Valsts iestāžu lomas stiprināšana. Saskaņā ar rīkkopu šī pasākuma realizācijā ir iesaistītas kompetentās valsts iestādes un mobilo sakaru operatori. Pasākumam būtu jāietver valsts iestāžu pilnvaru stiprināšana, lai tās varētu:
noteikt mobilo sakaru operatoriem stingrākas prasības, piemēram, attiecībā uz signalizācijas un vadības sistēmu drošību,
izmantot ex-ante pilnvaras, lai izvērtējot riskus ierobežotu, aizliegtu un/vai noteiktu īpašas prasības vai nosacījumus 5G tīkla iekārtu piegādei, ieviešanai un ekspluatācijai, cita starpā ņemot vērā:
kritisku un sensitīvu 5G tīklu daļu drošību;
aprīkojuma vai vides drošību (izvietošana, starpsavienojumi utt.);
trešās valsts iejaukšanās risku 5G piegādes ķēdē;
risku, ka individuālam mobilo sakaru operatoram vai mobilo sakaru operatoriem valsts mērogā varētu būt liela atkarība no viena piegādātāja;
valsts drošības riskus.
Auditu veikšana operatoriem un informācijas pieprasīšana. Pasākums paredz, ka īstenojot savas pilnvaras saskaņā ar Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk - Eiropas Elektronisko sakaru kodekss) 41. panta 2. punktu, dalībvalstis nodrošina to, ka kompetentās iestādes ir pilnvarotas pieprasīt, lai publisko elektronisko sakaru tīklu vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji:
sniegtu informāciju, kas vajadzīga to tīklu un pakalpojumu drošības novērtēšanai, tostarp informē par dokumentētu drošības politiku,
īstenotu drošības revīziju, ko veic kvalificēta neatkarīga struktūra vai kompetenta iestāde, un par tās rezultātiem informētu kompetento iestādi; revīzijas izmaksas sedz pakalpojumu sniedzējs.
Piegādātāju riska profila novērtēšana un ierobežojumu piemērošana piegādātājiem, kurus uzskata par augsta riska piegādātājiem. Lai īstenotu pasākumu, rīkkopa paredz, ka ir nepieciešams izveidot sistēmu ar skaidriem kritērijiem, ņemot vērā ES koordinētā riska novērtējuma 2.37. punktā[1] noteiktos riska faktorus un pievienojot katrai valstij specifisku informāciju, lai valsts kompetentās iestādes un mobilo sakaru operatori:
veiktu visu piegādātāju riska profila novērtējumus valsts un/vai ES līmenī (kopīgi ar citām dalībvalstīm vai citiem mobilo sakaru operatoriem);
pamatojoties uz riska profila novērtējumu, piemērotu ierobežojumus, tostarp nepieciešamos izņēmumus, lai efektīvi mazinātu riskus, galvenajiem aktīviem, kas definēti kā kritiski vai jutīgi ES koordinētajā riska novērtējuma ziņojumā (piemēram, tīkla pamatfunkcijas, tīkla pārvaldības un vadības funkcijas un piekļuves tīkla funkcijas);
veiktu pasākumus, lai nodrošinātu, ka mobilo sakaru operatori veic atbilstošas kontroles un procesus, lai pārvaldītu iespējamos riskus, piemēram, regulāras piegādes ķēdes revīzijas un riska novērtējumus, stingru riska pārvaldību un/vai īpašas prasības piegādātājiem, pamatojoties uz to riska profilu.
Pārvaldīto pakalpojumu sniedzēju un iekārtu piegādātāju kontrole. Rīkkopa paredz izveidot regulējumu, kas nosaka ierobežojumus attiecībā uz darbības veidiem un nosacījumiem, saskaņā ar kuriem mobilo sakaru operatori drīkst nodot specifiskas funkcijas pārvaldīto pakalpojumu sniedzējiem gan fiziskā, gan virtuālā infrastruktūrā, tostarp:
noteikt ierobežojumus, jo īpaši 5G tīklu kritiskajās un sensitīvajās daļās, piemēram, drošības un tīkla ekspluatācijas funkcijās, un gadījumos, kad pārvaldītie pakalpojumu sniedzēji tiek uzskatīti par augsta riska piegādātājiem iepriekšējā stratēģiskā pasākuma izpratnē;
funkcijām, kuras ir nodotas pārvaldīto pakalpojumu sniedzējiem, noteikt paaugstinātas drošības prasības pārvaldīto pakalpojumu sniedzēju pieejas tiesībām, kuras tiem ir piešķirtas, lai tie varētu īstenot tiem nodotās funkcijas.
iekārtu ražotāju trešās līnijas (Tier 3) tehniskajam atbalstam tīklu projektēšanas, izvēršanas un/vai ekspluatācijas laikā noteikt stingru piekļuves kontroli, īpaši attiecībā uz kritiski jutīgiem tīkla komponentiem un/vai jutīgām tīkla daļām, un jo īpaši attiecībā uz piegādātājiem, kurus uzskata par augsta riska piegādātājiem iepriekšējā stratēģiskā mērķa izpratnē.
Piegādātāju daudzveidības nodrošināšana atsevišķiem mobilo tīklu operatoriem, izmantojot vairāku piegādātāju stratēģijas. Pasākums paredz nodrošināt, lai katram mobilo sakaru operatoram būtu atbilstoša vairāku piegādātāju stratēģija, ņemot vērā tehniskās prasības un savietojamības prasības dažādām 5G tīkla daļām, lai:
novērstu vai ierobežotu jebkādu būtisku atkarību no viena piegādātāja (vai piegādātājiem ar līdzīgu riska profilu);
lai izvairītos no atkarības no piegādātājiem, kurus uzskata par augsta riska piegādātājiem pasākuma 3.1.3. nozīmē.
Izturētspējas stiprināšana valsts līmenī. Šis stratēģiskais pasākums paredz, ka ir nepieciešams nodrošināt pietiekamu piegādātāju līdzsvaru valsts līmenī, lai nodrošinātu, ka pastāv izturētspēja gadījumā, ja notiek incidents ar vienu mobilo sakaru operatoru un/vai vienu piegādātāju, ņemot vērā ģeogrāfijas un iedzīvotāju skaita atšķirības atsevišķās dalībvalstīs.
Galveno resursu noteikšana un daudzveidīgas un ilgtspējīgas 5G ekosistēmas veicināšana ES. Pasākums paredz balstīties uz ES ārvalstu tiešo ieguldījumu pārbaudes mehānismu, lai uzlabotu ārējo tiešo investīciju ieguldījumu uzraudzību visā 5G vērtību ķēdē (piemēram, kartējot galvenos 5G aktīvus, izmantojot monitoringa instrumentus un izpētot īpašas vadlīnijas), lai labāk noteiktu ārvalstu ieguldījumus 5G vērtību ķēdē, kas var apdraudēt kritiskās infrastruktūras drošību vai sabiedrisko kārtību, sabiedrības drošību, utt.
Daudzveidības un ES spēju saglabāšana un veidošana nākotnes tīkla tehnoloģijās. Stratēģiskais pasākums paredz izstrādāt politiku, kas rada optimālus apstākļus Eiropas tehnoloģiskajiem uzņēmumiem un veicina jauninājumus galvenajās tehnoloģiju jomās, lai veicinātu daudzveidīgu, ilgtspējīgu un drošu Eiropas 5G ekosistēmu, tostarp:
attīstīt ierosināto ES iestāžu partnerību nākošās paaudzes interneta, 6G tīklu jomā, lai nodrošinātu pietiekamu piegādātāju daudzveidību, zināšanas un piegādes spējas;
ES spēju attīstīšana un izvairīšanās no atkarības. Tas attiecas uz dažādu ES finansēšanas programmu īstenošanu, jo īpaši uz Horizon Europe, Digitālās Eiropas programmu un Eiropas infrastruktūras savienošanas instrumentu (CEF),
apvienot zināšanas, finanšu resursus un tirgus dalībniekus visā ES, lai pārvarētu potenciāli nozīmīgas tirgus vai sistēmiskas nepilnības visā vērtību ķēdē, kā arī veicinātu turpmākas konkrētas nozares iniciatīvas.
Rīkkopā ir aplūkoti vienpadsmit tehniskie pasākumi (turpmāk – TM):
Drošības pamatprasību piemērošanas nodrošināšana. Tehniskais pasākums paredz, ka ir jānodrošina, ka mobilo sakaru operatori īsteno labāko praksi un ieteikumus drošības jomā, kas nav specifiski 5G tīkliem, piemēram, produktu izstrādē, konfigurācijā, tīkla ikdienas pārvaldībā, incidentu pārvaldībā, drošības atjaunojumu pārvaldībā , piemēram, nosakot un pārskatot mobilo sakaru operatoru riska novērtējuma plānus. Papildus jānodrošina, ka mobilo sakaru operatori pastāvīgi atjaunina informāciju par drošības politiku, tostarp operatīvo informāciju, kā arī saista to ar izmaiņu un incidentu pārvaldības procedūrām attiecībā uz galvenajiem tīkliem un informācijas sistēmām.
Drošības pasākumu īstenošanas nodrošināšana un novērtēšana esošajos 5G standartos. Šis pasākums ir īstenojams, no drošinot, ka mobilo sakaru operatori un to piegādātāji īsteno spēkā esošos drošības pasākumus, kas iekļauti attiecīgajos 5G tehnoloģijas standartos (piemēram, 3GPP) un izmanto tos kā minimālo drošības sākumpunktu, lai nodrošinātu, ka arī šo standartu fakultatīvās daļas, kas attiecas uz drošību, tiek pienācīgi īstenotas.
Stingras piekļuves kontroles nodrošināšana. Pasākuma realizēšanai ir nepieciešams nodrošināt, ka mobilo sakaru operatori īsteno atbilstošus, elastīgus un pārbaudāmus tehniskos pasākumus, lai nodrošinātu, ka:
1) tiek piemērotas secīgas tīkla piekļuves kontroles;
2) piemēro vismazāko privilēģiju principu, nodrošinot, ka tiek minimizētas dažādas tiesības tīklā (piemēram, piekļuves tiesības starp tīkla funkcijām, tīkla administratora tiesības, virtualizācijas konfigurācija);
3) piemēro pienākumu nošķiršanas principu;
4) tiek veiktas procedūras, lai nodrošinātu, ka šie tehniskie noteikumi ir spēkā visu laiku un attīstās kopā ar tīklu.
Nosakot piekļuves kontroles politiku, īpaša uzmanība jāpievērš tam, lai nodrošinātu, ka tiek samazināta un/vai novērsta attālā piekļuve, ko sniedz trešās personas, jo īpaši piegādātāji, kurus uzskata par augsta riska piegādātājiem. Ja ir nepieciešama attāla piekļuve, piemēram, lai novērstu pakalpojumu traucējumus, mobilo sakaru operatoriem būtu jāpiemēro atbilstoša autentifikācija, autorizācija, reģistrēšana un auditēšana, lai nodrošinātu caurredzamību attiecībā uz piekļuves datiem un konfigurācijas izmaiņām vai tīkla izmaiņām.
Virtualizēto tīkla funkciju drošības palielināšana. Lai īstenotu pasākumu ir jānodrošina, lai mobilo sakaru operatori ievērotu drošības labāko praksi attiecībā uz tīkla funkciju virtualizāciju. Jāņem vērā, ka var būt situācijas, piemēram, ja tīkla funkcija ir kritiska vai ja tā apstrādā ļoti sensitīvu informāciju, ka virtualizācija nav piemērota un šādos iestatījumos var būt nepieciešama fiziska nošķiršana.
Drošas 5G tīkla pārvaldības, darbības un uzraudzības nodrošināšana. Pasākuma īstenošanai ir jānodrošina, ka mobilo sakaru operatori vada savus tīkla darbības centrus (turpmāk - NOC) un/vai drošības operāciju centrus (turpmāk - SOC) valsts un/vai ES teritorijā. NOC un SOC ir būtiska mobilo sakaru operatoru infrastruktūras sastāvdaļa, īstenojot un uzraugot pasākumus drošai tīkla pārvaldībai un darbībai. Tiem jānodrošina pārredzamība un jāīsteno efektīva tīkla uzraudzība vismaz attiecībā uz visiem 5G tīklu kritiskajiem komponentiem un sensitīvo daļu, lai atklātu novirzes, identificētu un novērstu draudus, piemēram, apdraudējumu pamattīklam, ko rada apdraudētas lietotāju ierīces un lietu internets. Nepieciešams nodrošināt, lai mobilo sakaru operatori aizsargātu sakaru tīkla vai pakalpojuma pārvaldības datplūsmu, lai izvairītos no nesankcionētām izmaiņām sakaru tīklā vai pakalpojumu komponentos.
Fiziskās drošības stiprināšana. Pasākums paredz nodrošināt, ka mobilo sakaru operatori pastiprina kritisko 5G tīklu komponentu fizisko aizsardzību, izmantojot uz risku balstītu pieeju, piemēram, apsverot, kur komponenti tiek izvietoti un izmantoti. Pastiprinot fiziskās piekļuves kontroli, ir svarīgi nodrošināt, ka piekļuve tiek piešķirta tikai ierobežotam skaitam apsargāto, apmācīto un kvalificēto darbinieku. Trešo personu, piegādātāju/pārdevēju piekļuve ir jāierobežo un jāuzrauga, jo īpaši, ja tā attiecas uz 5G tīklu kritiskajām daļām.
Programmatūras integritātes, atjaunināšanas un drošības atjauninājumu pārvaldības stiprināšana. Tehniskais pasākums paredz, ka ir nepieciešams nodrošināt, ka mobilo sakaru operatori izvietotu atbilstošus rīkus un procesus, lai nodrošinātu programmatūras integritāti, kas, veicot programmatūras atjauninājumus un lietojot drošības ielāpus 5G tīklos, droši identificē un reģistrē izmaiņas un ielāpu statusu.
Drošības standartu paaugstināšana piegādātāju procesos, izmantojot iepirkuma nosacījumus. Īstenojot pasākumu mobilo sakaru operatori pieprasa drošības standartus no iekārtu piegādātājiem iepirkuma procesā, piemēram, par konkrētiem drošības uzlabojumiem un kvalitātes līmeņa demonstrēšanu, aprīkojuma drošības uzturēšanu visā tā ekspluatācijas laikā un produkta izstrādes procesā tajā iebūvēto drošības risinājumu.
Izmantot ES sertifikāciju 5G tīkla komponentiem, klientu iekārtām un/vai piegādātāju procesiem. Pasākuma īstenošanā Eiropas Komisijai būtu jāapsver attiecīgo ES mēroga shēmu attiecībā uz kritiskajiem tīkla komponentiem, ko izmanto 5G tīklos, un/vai 5G klientu iekārtām iekļaušana Savienības pastāvīgajā darba programmā. Vēlākā posmā būtu arī jāizvērtē, vai sertifikācijas un piegādātāju procesa jautājumi arī būtu pievienojami pastāvīgajai darba programmai.
ES sertifikācijas izmantošana citiem ne 5G specifiskiem IKT produktiem un pakalpojumiem. Tehniskais pasākums paredz, ka Eiropas Komisijai būtu jāapsver iespēja iekļaut Savienības Pastāvīgajā darba programmā Eiropas Savienības mēroga shēmu izstrāde saskaņā ar ES sertifikācijas sistēmu attiecībā uz IKT produktiem un pakalpojumiem, kas nav saistīti ar 5G, piemēram, mākoņdatošanas pakalpojumu un ar tiem saistīto tehnoloģiju drošība un pievienoto (galalietotāja) ierīču, tostarp lietu interneta, drošību.
Izturētspējas un darbības nepārtrauktības plānu stiprināšana. Nodrošināt, ka mobilo sakaru operatori pastiprina savus izturētspējas un darbības nepārtrauktības plānus. Mobilo sakaru operatoriem ir jānodrošina, ka to rīcībā ir atbilstoši plāni, ja notiek negadījums, kas ietekmē tīkla darbību, un jānodrošina, ka visas kritiskās atkarības tiek fiksētas un pēc vajadzības mazinātas. Mobilo sakaru operatoriem jāpieprasa līdzīgas vienošanās saviem piegādātājiem un tikai tad jāizmanto piegādātāji, kas pierāda pietiekamu noturības līmeni ilgtermiņā.
Latvijā elektronisko sakaru jomu un informācijas tehnoloģiju drošības jomu regulē divi likumi, Elektronisko sakaru likums un Informācijas tehnoloģiju drošības likums, un uz to pamata izdotie Ministru kabineta noteikumi.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Elektronisko sakaru likuma 19. panta pirmā daļa uzskaita elektronisko sakaru komersantu pienākumus, no kuriem specifiski ar drošības jautājumiem ir saistīti šādi 19. panta pirmās daļas punkti:
4) nodrošināt lietotāju datu, tajā skaitā personu datu, aizsardzību saskaņā ar normatīvajiem aktiem;
5) saskaņā ar Satversmes aizsardzības biroja direktora rakstveida pieprasījumu par saviem līdzekļiem ierīkot, uzturēt, papildināt un pārveidot atbilstoši jaunieviestajām funkcionalitātēm pārtveršanas punktu (punktus), kas pēc operatīvās darbības subjekta vadītāja rakstveida pieprasījuma bez atlīdzības jānodod tā lietošanā operatīvās darbības pasākumu un kriminālprocesuālo darbību veikšanai;
16) veikt tehniskus un organizatoriskus pasākumus attiecībā uz elektronisko sakaru tīkla drošību tā lietotāju datu aizsardzībai, kā arī konkrēta elektronisko sakaru tīkla drošības apdraudējuma gadījumā informēt lietotājus par elektronisko sakaru tīkla lietošanas riskiem un pieejamiem tiesiskās aizsardzības līdzekļiem šo risku mazināšanai;
18) ja elektronisko sakaru komersants nodrošina publisko elektronisko sakaru tīklu, — veikt tehniskus un organizatoriskus pasākumus attiecīgo elektronisko sakaru tīklu integritātes nodrošināšanai un sadarboties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju atbilstoši Informācijas tehnoloģiju drošības likumā noteiktajam.
Papildus iepriekš uzskaitītajiem pienākumiem, Elektronisko sakaru likuma 19. panta otrā daļa nosaka, ka publiskā telefonu tīkla operatoram ir papildus pienākumi, taču neviens no tiem neskar drošības jautājumus.
Savukārt Informācijas tehnoloģiju drošības likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas un šis likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām. Informācijas tehnoloģiju drošības likuma 9.panta pirmā daļa nosaka, ka elektronisko sakaru komersantiem ir šādi pienākumi:
ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu, — nodrošināt šā sakaru tīkla integritāti, tādējādi panākot pakalpojumu sniegšanas nepārtrauktību, kā arī sastādīt rīcības plānu elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus;
ziņot kompetentajai Drošības incidentu novēršanas institūcijai par drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar kompetento Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem informē kompetento Drošības incidentu novēršanas institūciju. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu.
Uz Informācijas tehnoloģiju drošības likuma pamata ir izdoti Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”, kas nosaka informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību. Savukārt Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, nosaka valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām prasībām, valsts informācijas sistēmu vispārējās drošības prasības un informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.
ES koordinētā riska novērtējuma 2.37. punkts paredz, ka atsevišķu piegādātāju riska profilus var novērtēt, pamatojoties uz vairākiem faktoriem, proti: 1) iespējamību, ka piegādātājs varētu tikt pakļauts intervencei no valsts, kas nav ES dalībvalsts. Tas ir viens no galvenajiem aspektiem ar 5G tīkliem saistīto netehnisko ievainojamību novērtējumā. Šādu ietekmi var veicināt turpmāk uzskaitīto kā arī citu faktoru klātbūtne: a) cieša saikne starp piegādātāju un attiecīgās trešās valsts valdību, b) trešās valsts tiesību akti, jo īpaši tad, ja nav tiesību aktu vai neeksistē demokrātiska kontrole, vai ja starp ES un attiecīgajām trešām valstīm nav nolīgumu drošības vai datu aizsardzības jomās, c) piegādātāja korporatīvo īpašumtiesību īpatnības, d) trešās valsts spēju veikt jebkāda veida spiedienu, tostarp attiecībā uz iekārtas ražošanas vietu, 2) piegādātāja spēju nodrošināt piegādi, 3) produktu vispārējo kvalitāti un piegādātāja kiberdrošības praksi, tostarp kontroles pakāpi pār savu piegādes ķēdi un to, vai drošības praksei tiek piešķirta pienācīga prioritāte.
Problēmas un risinājumi
Problēmas apraksts
Nacionālajos normatīvajos aktos ir nepieciešams iekļaut rīkkopā noteiktos stratēģiskos un tehniskos pasākumus drošības veicināšanai.
Risinājuma apraksts
Saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu tiks izdoti Ministru kabineta noteikumi “Noteikumi par publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasībām, kompetentajām iestādēm drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā” (turpmāk – noteikumi), kuri noteiks publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības, kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas uzraudzības jomā.
Noteikumu pirmajā nodaļā ir paredzēts, ka noteikumi neattieksies uz valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un privāto tiesību juridisko personu, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, publiskajiem elektronisko sakaru tīkliem - precīzāk - uz Informācijas tehnoloģiju drošības likuma subjektu loku. Tāpat iepriekšminētie noteikumi neattieksies uz kabeļtelevīzijas tīkliem. Tāpat noteikumu pirmajā nodaļā ir definēti noteikumos lietotie termini.
Noteikumu otrā nodaļa ir veltīta risku vadībai un mazināšanai. Tā paredz, ka publisko elektronisko sakaru tīklu īpašnieks:
izveido efektīvu operacionālo risku, tostarp drošības risku, pārvaldības sistēmu. Šī sistēma koncentrējas uz pasākumiem risku mazināšanai publiskajos elektrisko sakaru tīklos un ir integrēta kopējos risku pārvaldības procesos;
nodrošina, ka drošības risku pārvaldības sistēma tiek dokumentēta, un informācija tiek pastāvīgi uzlabota, pamatojoties uz gūtajām atziņām, kas uzkrātas publisko elektronisko sakaru tīklu izmantošanas un uzraudzības gaitā;
identificē drošības riskus, kas ietekmē publiskos elektronisko sakaru tīklus. Šādu risku novērtējumu veic un dokumentē katru gadu vai īsākos starplaikos, ja nepieciešams. Šādu risku novērtējumu veic arī attiecībā uz visām būtiskām izmaiņām infrastruktūrā, procesos vai procedūrās, kas ietekmē publiskos elektronisko sakaru tīklus;
plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Publisko elektronisko sakaru tīklu īpašnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos;
nodrošina publisko elektronisko sakaru tīkla integritāti, kā arī sastāda rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai,
izstrādā 4.5. apakšpunktā minēto rīcības plānu sešu mēnešu laikā pēc šo noteikumu stāšanās spēkā un to aktualizē, ja rīcības plānā iekļautā informācija tiek mainīta;
rīcības plāna kopiju mēneša laikā pēc tā apstiprināšanas vai aktualizēšanas nosūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (CERT.LV) (turpmāk – CERT.LV) un Satversmes aizsardzības birojam. Nosūtot rīcības plāna kopiju, publisko elektronisko sakaru tīklu īpašnieks norāda, vai tajā iekļautā informācija ir uzskatāma par ierobežotas pieejamības informāciju.
nekavējoties ziņo CERT.LV par drošības incidentu, kuram ir ietekme uz publisko elektronisko sakaru tīkla drošību vai integritāti;
pēc CERT.LV pieprasījuma sniedz tai tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
pēc CERT.LV pieprasījuma, ja konstatēti drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts, kura izvēli saskaņo ar CERT.LV Par audita rezultātiem informē CERT.LV. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš publisko elektronisko sakaru tīklu īpašnieks;
pēc CERT.LV pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēdz galalietotājam piekļuvi publisko elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai publisko elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, CERT.LV norāda pieprasījuma iemeslu.
Šī nodaļa arī paredz, ka publiskajos elektronisko sakaru tīklos netiek izmantotas tādas iekārtas un programmatūra, par kurām no Satversmes aizsardzības biroja ir saņemts atzinums, ka to izmantošana var radīt draudus nacionālai drošībai. Publiskajiem elektronisko sakaru tīkliem, kuri šo noteikumu spēkā stāšanās brīdī ir nodoti ekspluatācijā, vai atrodas projektēšanas, būvniecības, ierīkošanas, pārbūves stadijā, šo noteikumu 5. punktā minētā prasība tiek piemērota no 2030. gada 1. janvāra.
Publisko elektronisko sakaru tīklu īpašniekam sešu mēnešu laikā pēc noteikumu stāšanās spēkā brīža būs iesniedz Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīklā izmantotajām iekārtām un programmatūru, kā arī pirms jaunu publisko elektronisko sakaru tīklu būvniecības (projektēšanas stadijā), kā arī ekspluatācijā nodoto publisko elektronisko sakaru tīklu pārbūves vai atsevišķu iekārtu un programmatūras nomaiņas, iesniedz Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīklā izmantošanai plānotajām iekārtām un programmatūru.
Paredzēts, ka šī prasība neattieksies uz gadījumu, kad ekspluatācijā nodotā publisko elektronisko sakaru tīklā, tiek veikta iekārtas nomaiņa uz tādu pašu iekārtu (ražotājs, modelis), kā arī programmatūras atjauninājumu uzstādīšanu.
Noteikumu trešā nodaļa ir veltīta informācijas drošībai un paredz, ka publisko elektronisko sakaru tīklu īpašnieks:
nodrošina informācijas drošības funkciju, lai realizētu informācijas drošības risku kontroli un īstenotu nepieciešamos drošības pasākumus,
nodrošina, ka tas pastāvīgi uzrauga apdraudējumus un ievainojamības, kas attiecas uz elektronisko sakaru tīkliem un regulāri pārskata risku scenārijus, kas tos ietekmē.
Informācijas drošības funkcijas ietvaros publisko elektronisko sakaru tīklu īpašnieks nodrošina informācijas drošības politikas izstrādi, uzturēšanu un ieviešanas kontroli, noteikto drošības pasākumu uzraudzību, t.sk. attiecībā uz ārpakalpojumu sniedzējiem, dalību infrastruktūras vai procesu būtisku izmaiņu pārvaldībā, ja tās ietekmē drošību, regulāru darbinieku apmācību un informēšanu informācijas tehnoloģiju drošības jomā, kā arī dalību incidentu pārvaldībā un darbības atjaunošanas un nepārtrauktības plānošanā.
Noteikumi paredz, ka publisko elektronisko sakaru tīklu īpašnieks nodrošina informācijas drošības funkcijas neatkarību un objektivitāti, pienācīgi nodalot to no informācijas tehnoloģiju izstrādes un uzturēšanas procesiem, un nosaka pienākumu nepastarpināti informēt publisko elektronisko sakaru tīklu īpašnieka vai tiesiskā valdītāja vadību par būtiskiem informācijas tehnoloģiju drošības noteikumiem. Ja par informācijas sistēmu drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
Noteikumu ceturtā nodaļa apskata ārpakalpojumu drošības prasības. Tā paredz, ka publisko elektronisko sakaru tīklu drošības līmenis, ja tos attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par publisko elektronisko sakaru tīkla īpašnieka vai tiesiskā valdītāja noteikto. Ārpakalpojuma saņemšana neatbrīvo publisko elektronisko sakaru tīklu īpašnieku vai tiesisko valdītāju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
Pirms lēmuma par ārpakalpojumu iegādi pieņemšanas publisko elektronisko sakaru tīklu īpašnieks izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes un drošības, tostarp pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju, kā arī publisko elektronisko sakaru tīklu īpašnieks līgumā ar ārpakalpojuma sniedzēju ietver ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par incidentiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam, tad apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Izmantojot ārpakalpojumus, tai skaitā mākoņskaitļošanu, publisko elektronisko sakaru tīklu īpašniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Publisko elektronisko sakaru tīklu īpašnieka klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
Noteikumu piektā nodaļa ir veltīta piegādes ķēdes drošībai un nepārtrauktībai un tajā ir noteikts, ka publisko elektronisko sakaru tīklu īpašnieka pienākums ir identificēt un samazināt drošības apdraudējumu riskus, kas rodas, ja viņš ir atkarīgs no citām personām (trešās puses piegādātājiem), kas piegādā preces vai sniedz pakalpojumus publisko elektronisko sakaru tīkla darbības nodrošināšanai. Tāpat publisko elektronisko sakaru tīklu īpašnieks iespēju robežās veic piegādātāju diversificēšanu, lai nodrošinātu tā īpašumā vai tiesiskajā valdījumā esošo publisko elektronisko sakaru tīklu pieejamību, integritāti un konfidencialitāti.
Publisko elektronisko sakaru tīklu īpašnieks nodrošina, ka ir izstrādāts plāns tā īpašumā vai tiesiskajā valdījumā esošā publiskā elektronisko sakaru tīkla darbības uzturēšanai gadījumā, ja piegāde vai trešās puses piegādātāja atbalsts tiek pārtraukts, kā arī tā pienākums ir regulāri pārskatīt šo plānu.
Noteikumu sestā nodaļa nosaka kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas. Tā paredz, ka Digitālās drošības uzraudzības komiteja uzrauga publisko elektronisko sakaru tīklu drošības prasību ievērošanu un sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai. Savukārt CERT.LV izvērtēs publisko elektronisko tīklu īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības noteikumos minētajām prasībām, lūgs attiecīgo publisko elektronisko sakaru tīklu īpašnieku veikt labojumus atbilstoši norādījumiem tās noteiktajā termiņā, kas nav īsāks par mēnesi. CERT.LV arī sniegs atbalstu Digitālās drošības uzraudzības komitejai publisko elektronisko sakaru tīklu drošības prasību ievērošanas uzraudzības funkcijas īstenošanā un būs tiesīgs izdot saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Satversmes aizsardzības birojs izvērtēs publiskajos elektronisko sakaru tīklos izmantoto iekārtu un programmatūras iespējamo ietekmi uz nacionālo drošību un varēs noteikt ierobežojumus iekārtu un programmatūras izmantošanai publiskajos elektronisko sakaru tīklos, kas var radīt draudus nacionālajai drošībai. Līdzīgi kā CERT.LV, arī Satversmes aizsardzības birojs varēs sniegt saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Gan CERT.LV, gan Satversmes aizsardzības birojam būs tiesības pieprasīt publisko elektronisko sakaru tīklu īpašniekam vai tiesiskajam valdītājam papildus informāciju, kā arī sniegto informāciju pārbaudīt jebkurā laikā.
Noteikumu pirmajā nodaļā ir paredzēts, ka noteikumi neattieksies uz valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un privāto tiesību juridisko personu, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, publiskajiem elektronisko sakaru tīkliem - precīzāk - uz Informācijas tehnoloģiju drošības likuma subjektu loku. Tāpat iepriekšminētie noteikumi neattieksies uz kabeļtelevīzijas tīkliem. Tāpat noteikumu pirmajā nodaļā ir definēti noteikumos lietotie termini.
Noteikumu otrā nodaļa ir veltīta risku vadībai un mazināšanai. Tā paredz, ka publisko elektronisko sakaru tīklu īpašnieks:
izveido efektīvu operacionālo risku, tostarp drošības risku, pārvaldības sistēmu. Šī sistēma koncentrējas uz pasākumiem risku mazināšanai publiskajos elektrisko sakaru tīklos un ir integrēta kopējos risku pārvaldības procesos;
nodrošina, ka drošības risku pārvaldības sistēma tiek dokumentēta, un informācija tiek pastāvīgi uzlabota, pamatojoties uz gūtajām atziņām, kas uzkrātas publisko elektronisko sakaru tīklu izmantošanas un uzraudzības gaitā;
identificē drošības riskus, kas ietekmē publiskos elektronisko sakaru tīklus. Šādu risku novērtējumu veic un dokumentē katru gadu vai īsākos starplaikos, ja nepieciešams. Šādu risku novērtējumu veic arī attiecībā uz visām būtiskām izmaiņām infrastruktūrā, procesos vai procedūrās, kas ietekmē publiskos elektronisko sakaru tīklus;
plāno un īsteno drošības pasākumus, ja risku analīzē novērtētais risks ir nepieņemams. Drošības pasākumu mērķis ir samazināt atlikušo risku līdz pieņemamam līmenim. Publisko elektronisko sakaru tīklu īpašnieks drošības pasākumus nosaka, pamatojoties uz to izmaksu un iespējamo zaudējumu samērojamību, un plānotajiem drošības pasākumiem nosaka realizācijas prioritātes, termiņus un atbildīgos;
nodrošina publisko elektronisko sakaru tīkla integritāti, kā arī sastāda rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai,
izstrādā 4.5. apakšpunktā minēto rīcības plānu sešu mēnešu laikā pēc šo noteikumu stāšanās spēkā un to aktualizē, ja rīcības plānā iekļautā informācija tiek mainīta;
rīcības plāna kopiju mēneša laikā pēc tā apstiprināšanas vai aktualizēšanas nosūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcijai (CERT.LV) (turpmāk – CERT.LV) un Satversmes aizsardzības birojam. Nosūtot rīcības plāna kopiju, publisko elektronisko sakaru tīklu īpašnieks norāda, vai tajā iekļautā informācija ir uzskatāma par ierobežotas pieejamības informāciju.
nekavējoties ziņo CERT.LV par drošības incidentu, kuram ir ietekme uz publisko elektronisko sakaru tīkla drošību vai integritāti;
pēc CERT.LV pieprasījuma sniedz tai tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
pēc CERT.LV pieprasījuma, ja konstatēti drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts, kura izvēli saskaņo ar CERT.LV Par audita rezultātiem informē CERT.LV. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš publisko elektronisko sakaru tīklu īpašnieks;
pēc CERT.LV pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēdz galalietotājam piekļuvi publisko elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai publisko elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, CERT.LV norāda pieprasījuma iemeslu.
Šī nodaļa arī paredz, ka publiskajos elektronisko sakaru tīklos netiek izmantotas tādas iekārtas un programmatūra, par kurām no Satversmes aizsardzības biroja ir saņemts atzinums, ka to izmantošana var radīt draudus nacionālai drošībai. Publiskajiem elektronisko sakaru tīkliem, kuri šo noteikumu spēkā stāšanās brīdī ir nodoti ekspluatācijā, vai atrodas projektēšanas, būvniecības, ierīkošanas, pārbūves stadijā, šo noteikumu 5. punktā minētā prasība tiek piemērota no 2030. gada 1. janvāra.
Publisko elektronisko sakaru tīklu īpašniekam sešu mēnešu laikā pēc noteikumu stāšanās spēkā brīža būs iesniedz Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīklā izmantotajām iekārtām un programmatūru, kā arī pirms jaunu publisko elektronisko sakaru tīklu būvniecības (projektēšanas stadijā), kā arī ekspluatācijā nodoto publisko elektronisko sakaru tīklu pārbūves vai atsevišķu iekārtu un programmatūras nomaiņas, iesniedz Satversmes aizsardzības birojam sarakstu ar publisko elektronisko sakaru tīklā izmantošanai plānotajām iekārtām un programmatūru.
Paredzēts, ka šī prasība neattieksies uz gadījumu, kad ekspluatācijā nodotā publisko elektronisko sakaru tīklā, tiek veikta iekārtas nomaiņa uz tādu pašu iekārtu (ražotājs, modelis), kā arī programmatūras atjauninājumu uzstādīšanu.
Noteikumu trešā nodaļa ir veltīta informācijas drošībai un paredz, ka publisko elektronisko sakaru tīklu īpašnieks:
nodrošina informācijas drošības funkciju, lai realizētu informācijas drošības risku kontroli un īstenotu nepieciešamos drošības pasākumus,
nodrošina, ka tas pastāvīgi uzrauga apdraudējumus un ievainojamības, kas attiecas uz elektronisko sakaru tīkliem un regulāri pārskata risku scenārijus, kas tos ietekmē.
Informācijas drošības funkcijas ietvaros publisko elektronisko sakaru tīklu īpašnieks nodrošina informācijas drošības politikas izstrādi, uzturēšanu un ieviešanas kontroli, noteikto drošības pasākumu uzraudzību, t.sk. attiecībā uz ārpakalpojumu sniedzējiem, dalību infrastruktūras vai procesu būtisku izmaiņu pārvaldībā, ja tās ietekmē drošību, regulāru darbinieku apmācību un informēšanu informācijas tehnoloģiju drošības jomā, kā arī dalību incidentu pārvaldībā un darbības atjaunošanas un nepārtrauktības plānošanā.
Noteikumi paredz, ka publisko elektronisko sakaru tīklu īpašnieks nodrošina informācijas drošības funkcijas neatkarību un objektivitāti, pienācīgi nodalot to no informācijas tehnoloģiju izstrādes un uzturēšanas procesiem, un nosaka pienākumu nepastarpināti informēt publisko elektronisko sakaru tīklu īpašnieka vai tiesiskā valdītāja vadību par būtiskiem informācijas tehnoloģiju drošības noteikumiem. Ja par informācijas sistēmu drošību atbildīgais darbinieks savus pienākumus veic darbu apvienošanas kārtībā, tad ievēro pienākumu nodalīšanas principu – darbu izpildītājs nedrīkst pats sevi kontrolēt.
Noteikumu ceturtā nodaļa apskata ārpakalpojumu drošības prasības. Tā paredz, ka publisko elektronisko sakaru tīklu drošības līmenis, ja tos attīsta vai uztur ārpakalpojuma sniedzējs, nedrīkst būt zemāks par publisko elektronisko sakaru tīkla īpašnieka vai tiesiskā valdītāja noteikto. Ārpakalpojuma saņemšana neatbrīvo publisko elektronisko sakaru tīklu īpašnieku vai tiesisko valdītāju no normatīvajos aktos vai līgumā ar tā klientiem noteiktās atbildības – tas ir atbildīgs par ārpakalpojuma sniedzēja veikumu tādā pašā mērā kā par savu.
Pirms lēmuma par ārpakalpojumu iegādi pieņemšanas publisko elektronisko sakaru tīklu īpašnieks izvērtē piegādātājus un, ņemot vērā pakalpojuma kvalitātes un drošības, tostarp pieejamības prasības, vērtē riskus, kā arī nosaka pakalpojuma izbeigšanas stratēģiju, kā arī publisko elektronisko sakaru tīklu īpašnieks līgumā ar ārpakalpojuma sniedzēju ietver ārpakalpojuma kontroles prasības, tai skaitā saņemtā ārpakalpojuma aprakstu, prasības attiecībā uz ārpakalpojuma apjomu, kvalitāti un drošību, konfidencialitātes saistības, tiesības saņemt visu pakalpojuma uzraudzībai nepieciešamo informāciju, prasību ārpakalpojuma sniedzējam nekavējoties ziņot par incidentiem, kā arī tiesības pārtraukt ārpakalpojuma līgumu.
Ja ārpakalpojuma sniedzējs atsevišķus pakalpojuma elementus deleģē citam pakalpojumu sniedzējam, tad apakšuzņēmējs ievēro visas drošības prasības, kas noteiktas ārpakalpojuma sniedzējam. Ārpakalpojuma sniedzējs ir pilnībā atbildīgs par apakšuzņēmējiem deleģēto pakalpojumu uzraudzību. Izmantojot ārpakalpojumus, tai skaitā mākoņskaitļošanu, publisko elektronisko sakaru tīklu īpašniekam ir pienākums saglabāt nepieciešamo kontroli pār informācijas resursiem, kas satur informāciju par klientiem, tai skaitā noteikt prasības attiecībā uz datu centru izvietojumu, datu šifrēšanu un drošības uzraudzību. Publisko elektronisko sakaru tīklu īpašnieka klasificētus informācijas resursus drošā veidā nošķir no citu klientu informācijas resursiem.
Noteikumu piektā nodaļa ir veltīta piegādes ķēdes drošībai un nepārtrauktībai un tajā ir noteikts, ka publisko elektronisko sakaru tīklu īpašnieka pienākums ir identificēt un samazināt drošības apdraudējumu riskus, kas rodas, ja viņš ir atkarīgs no citām personām (trešās puses piegādātājiem), kas piegādā preces vai sniedz pakalpojumus publisko elektronisko sakaru tīkla darbības nodrošināšanai. Tāpat publisko elektronisko sakaru tīklu īpašnieks iespēju robežās veic piegādātāju diversificēšanu, lai nodrošinātu tā īpašumā vai tiesiskajā valdījumā esošo publisko elektronisko sakaru tīklu pieejamību, integritāti un konfidencialitāti.
Publisko elektronisko sakaru tīklu īpašnieks nodrošina, ka ir izstrādāts plāns tā īpašumā vai tiesiskajā valdījumā esošā publiskā elektronisko sakaru tīkla darbības uzturēšanai gadījumā, ja piegāde vai trešās puses piegādātāja atbalsts tiek pārtraukts, kā arī tā pienākums ir regulāri pārskatīt šo plānu.
Noteikumu sestā nodaļa nosaka kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas. Tā paredz, ka Digitālās drošības uzraudzības komiteja uzrauga publisko elektronisko sakaru tīklu drošības prasību ievērošanu un sniedz saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai. Savukārt CERT.LV izvērtēs publisko elektronisko tīklu īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības noteikumos minētajām prasībām, lūgs attiecīgo publisko elektronisko sakaru tīklu īpašnieku veikt labojumus atbilstoši norādījumiem tās noteiktajā termiņā, kas nav īsāks par mēnesi. CERT.LV arī sniegs atbalstu Digitālās drošības uzraudzības komitejai publisko elektronisko sakaru tīklu drošības prasību ievērošanas uzraudzības funkcijas īstenošanā un būs tiesīgs izdot saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Satversmes aizsardzības birojs izvērtēs publiskajos elektronisko sakaru tīklos izmantoto iekārtu un programmatūras iespējamo ietekmi uz nacionālo drošību un varēs noteikt ierobežojumus iekārtu un programmatūras izmantošanai publiskajos elektronisko sakaru tīklos, kas var radīt draudus nacionālajai drošībai. Līdzīgi kā CERT.LV, arī Satversmes aizsardzības birojs varēs sniegt saistošus norādījumus publisko elektronisko sakaru tīklu drošības uzlabošanai.
Gan CERT.LV, gan Satversmes aizsardzības birojam būs tiesības pieprasīt publisko elektronisko sakaru tīklu īpašniekam vai tiesiskajam valdītājam papildus informāciju, kā arī sniegto informāciju pārbaudīt jebkurā laikā.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
Nē
Juridiskās personas
JāIetekmes apraksts
Publisko elektronisko sakaru tīklu īpašnieki, izņemot valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašniekus vai tiesiskos valdītājus un privāto tiesību juridisko personas, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, kā arī kabeļtelevīzijas tīklu īpašniekus.
Noteikumi noteiks publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības.
Noteikumi noteiks publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Nē
2.3. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
2.4. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
-
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Jā
5.1. Saistības pret Eiropas Savienību
Vai ir attiecināms?
Jā
ES tiesību akta CELEX numurs
-
ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva Nr. 2018/1972/ES).
Apraksts
Noteikumu projekts izstrādāts, pamatojoties uz Elektronisko sakaru likuma 8.panta pirmo un otro daļu, kas savukārt izstrādāts, lai pārņemtu Direktīvā Nr.2018/1972/ES noteiktos pasākumus. Ņemot vērā to, ka par Direktīvas Nr.2018/1972/ES nepārņemšanu laikā ir ierosināta pārkāpuma procedūras lieta un ir ierosināta tiesvedība, arī noteikumu projektam ir jāstājas spēkā iespējami drīz.
5.2. Citas starptautiskās saistības
Vai ir attiecināms?
Nē
5.3. Cita informācija
Apraksts
-
5.4. 1. tabula. Tiesību akta projekta atbilstība ES tiesību aktiem
Attiecīgā ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva Nr. 2018/1972/ES).
ES TA panta numurs
Projekta vienība, kas pārņem vai ievieš A minēto
Tiek pārņemts pilnībā vai daļēji
Vai B minētais paredz stingrākas prasības un pamatojums
A
B
C
D
Kā ir izmantota ES tiesību aktā paredzētā rīcības brīvība dalībvalstij pārņemt vai ieviest noteiktas ES tiesību akta normas? Kādēļ?
-
Saistības sniegt paziņojumu ES institūcijām un ES dalībvalstīm atbilstoši normatīvajiem aktiem, kas regulē informācijas sniegšanu par tehnisko noteikumu, valsts atbalsta piešķiršanas un finanšu noteikumu (attiecībā uz monetāro politiku) projektiem
-
Cita informācija
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
Satiksmes ministrija, Sabiedrisko pakalpojumu regulēšanas komisijaNevalstiskās organizācijas
NēCits
Satversmes aizsardzības birojs, Latvijas Universitātes Matemātikas un informātikas institūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV)6.2. Sabiedrības līdzdalības organizēšanas veidi
Veids
Publiskā apspriešana
Saite uz sabiedrības līdzdalības rezultātiem
-
6.3. Sabiedrības līdzdalības rezultāti
-
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Jā
7.1. Projekta izpildē iesaistītās institūcijas
Institūcijas
- Aizsardzības ministrija, Satversmes aizsardzības birojs, Latvijas Universitātes Matemātikas un informātikas institūta Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV)
7.2. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.3. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
Nē
-
2. Tiks likvidēta institūcija
Nē
-
3. Tiks veikta esošās institūcijas reorganizācija
Nē
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Nē
-
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Nē
-
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Nē
-
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Nē
-
8. Cita informācija
Nē
-
7.5. Cita informācija
Nav
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Nē
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Nē
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
Nav
Pielikumi