Anotācija (ex-ante)

Noteikumu projekts nosaka: 1) publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības; 2) kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā.

Vispārējā kārtība

Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīva Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk – Direktīva 2018/1972) sevī apvieno tiesību normas, kas ietvertas Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīvā 2002/19/EK par piekļuvi elektronisko komunikāciju tīkliem un ar tiem saistītām iekārtām un to savstarpēju savienojumu, Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīvā 2002/20/EK par elektronisko komunikāciju tīklu un pakalpojumu atļaušanu, Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīvā 2002/21/EK par kopējiem reglamentējošiem noteikumiem attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem un Eiropas Parlamenta un Padomes 2002.gada 7.marta direktīva 2002/22/EK par universālo pakalpojumu un lietotāju tiesībām attiecībā uz elektronisko sakaru tīkliem un pakalpojumiem. Lai ieviestu Direktīvas 2018/1972 normas, ņemot vērā to apjomu, nebija lietderīgi veikt grozījumus spēkā esošajā Elektronisko sakaru likumā, tādēļ Satiksmes ministrija izstrādāja jaunu likumprojektu “Elektronisko sakaru likums”, kas aptver ne tikai Direktīvas 2018/1972 normas, bet arī saglabā un pilnveido ESL esošo regulējumu jautājumos, kas nav Direktīvas 2018/1972 tvērumā. Anotācijas sagatavošanas brīdī likumprojekts “Elektronisko sakaru likums” atrodas izskatīšanā Saeimā.
Eiropas Komisija (turpmāk – EK) 2019. gada 26. martā pieņēma Ieteikumu (ES) 2019/534 par 5G tīklu kiberdrošību. Ieteikumā EK aicināja dalībvalstis pabeigt nacionālos riska novērtējumus un pārskatīt nacionālos pasākumus, kā arī Eiropas Savienības (turpmāk – ES) līmenī kopīgi strādāt pie koordinēta riska novērtējuma un sagatavot rīkkopu ar iespējamiem riska mazināšanas pasākumiem. Šis paziņojums ir neatņemama daļa no EK visaptverošās Eiropas digitālās stratēģijas, kuru sagatavot aicinājusi Eiropadome.
Realizējot ieteikumu, ES dalībvalstis, līdz 2019. gada 30. jūnijam veica piektās paaudzes (turpmāk - 5G) publisko mobilo elektronisko sakaru tīklu infrastruktūras riska novērtējumu, tostarp identificējot sensitīvākos elementus, kuru drošības pārkāpumiem būtu ievērojama negatīva ietekme. Pamatojoties uz šiem nacionālajiem riska novērtējumiem, 2019. gada 9. oktobrī Direktīvas (ES) 2016/1148 par tīklu un informācijas sistēmu drošību visā ES sadarbības grupa (turpmāk – NIS sadarbības grupa), kuras sastāvā ir dalībvalstu, EK un ES Kiberdrošības aģentūras (turpmāk – ENISA) pārstāvji, publicēja ziņojumu par ES koordinēto riska novērtējumu par kiberdrošību 5G tīklos. Tajā apzināti galvenie apdraudējumi un apdraudētāji, vissensitīvākie aktīvi un galvenās ievainojamības (tostarp tehniskās un citas), kas skar 5G tīklus. Tāpat ziņojumā apzinātas vairākas to risku kategorijas, kas no ES viedokļa ir stratēģiski svarīgi, un izklāstīti konkrēti riska scenāriji, kuri atspoguļo dažādo parametru (ievainojamības, draudi un apdraudētāji) relevantās kombinācijas attiecībā uz dažādiem aktīviem.
Eiropas Savienības 2020. gada 29. janvārī publicēja ES rīkkopu 5G drošībai (turpmāk – rīkkopa), kas norāda, Direktīvas Nr.2018/1972 pārņemšanai būs būtiska loma rīkkopas mērķu īstenošanai.
Rīkkopā iztirzāti arī visi koordinētā riska novērtējuma ziņojumā apzinātie riski. ES rīkkopā ir apzināti un aprakstīti vairāki stratēģiski un tehniski pasākumi, ko var izmantot apzināto risku mazināšanai, kā arī attiecīgas pasākumu efektivitāti vairojošas atbalsta darbības.
Rīkkopā ir aplūkoti astoņi stratēģiskie pasākumi (turpmāk – SM):
Valsts iestāžu lomas stiprināšana. Saskaņā ar rīkkopu šī pasākuma realizācijā ir iesaistītas kompetentās valsts iestādes un mobilo sakaru operatori. Pasākumam būtu jāietver valsts iestāžu pilnvaru stiprināšana, lai tās varētu:
noteikt mobilo sakaru operatoriem stingrākas prasības, piemēram, attiecībā uz signalizācijas un vadības sistēmu drošību,
izmantot ex-ante pilnvaras, lai izvērtējot riskus ierobežotu, aizliegtu un/vai noteiktu īpašas prasības vai nosacījumus 5G tīkla iekārtu piegādei, ieviešanai un ekspluatācijai, cita starpā ņemot vērā:
kritisku un sensitīvu 5G tīklu daļu drošību;
aprīkojuma vai vides drošību (izvietošana, starpsavienojumi utt.);
trešās valsts iejaukšanās risku 5G piegādes ķēdē;
risku, ka individuālam mobilo sakaru operatoram vai mobilo sakaru operatoriem valsts mērogā varētu būt liela atkarība no viena piegādātāja;
valsts drošības riskus.
Auditu veikšana operatoriem un informācijas pieprasīšana. Pasākums paredz, ka īstenojot savas pilnvaras saskaņā ar Eiropas Parlamenta un Padomes 2018. gada 11. decembra direktīvas (ES) 2018/1972 par Eiropas Elektronisko sakaru kodeksa izveidi (turpmāk - Eiropas Elektronisko sakaru kodekss) 41. panta 2. punktu, dalībvalstis nodrošina to, ka kompetentās iestādes ir pilnvarotas pieprasīt, lai publisko elektronisko sakaru tīklu vai publiski pieejamu elektronisko sakaru pakalpojumu sniedzēji:
sniegtu informāciju, kas vajadzīga to tīklu un pakalpojumu drošības novērtēšanai, tostarp informē par dokumentētu drošības politiku,
īstenotu drošības revīziju, ko veic kvalificēta neatkarīga struktūra vai kompetenta iestāde, un par tās rezultātiem informētu kompetento iestādi; revīzijas izmaksas sedz pakalpojumu sniedzējs.
Piegādātāju riska profila novērtēšana un ierobežojumu piemērošana piegādātājiem, kurus uzskata par augsta riska piegādātājiem. Lai īstenotu pasākumu, rīkkopa paredz, ka ir nepieciešams izveidot sistēmu ar skaidriem kritērijiem, ņemot vērā ES koordinētā riska novērtējuma 2.37. punktā[1] noteiktos riska faktorus un pievienojot katrai valstij specifisku informāciju, lai valsts kompetentās iestādes un mobilo sakaru operatori:
veiktu visu piegādātāju riska profila novērtējumus valsts un/vai ES līmenī (kopīgi ar citām dalībvalstīm vai citiem mobilo sakaru operatoriem);
pamatojoties uz riska profila novērtējumu, piemērotu ierobežojumus, tostarp nepieciešamos izņēmumus, lai efektīvi mazinātu riskus, galvenajiem aktīviem, kas definēti kā kritiski vai jutīgi ES koordinētajā riska novērtējuma ziņojumā (piemēram, tīkla pamatfunkcijas, tīkla pārvaldības un vadības funkcijas un piekļuves tīkla funkcijas);
veiktu pasākumus, lai nodrošinātu, ka mobilo sakaru operatori veic atbilstošas kontroles un procesus, lai pārvaldītu iespējamos riskus, piemēram, regulāras piegādes ķēdes revīzijas un riska novērtējumus, stingru riska pārvaldību un/vai īpašas prasības piegādātājiem, pamatojoties uz to riska profilu.
Pārvaldīto pakalpojumu sniedzēju un iekārtu piegādātāju kontrole. Rīkkopa paredz izveidot regulējumu, kas nosaka ierobežojumus attiecībā uz darbības veidiem un nosacījumiem, saskaņā ar kuriem mobilo sakaru operatori drīkst nodot specifiskas funkcijas pārvaldīto pakalpojumu sniedzējiem gan fiziskā, gan virtuālā infrastruktūrā, tostarp:
noteikt ierobežojumus, jo īpaši 5G tīklu kritiskajās un sensitīvajās daļās, piemēram, drošības un tīkla ekspluatācijas funkcijās, un gadījumos, kad pārvaldītie pakalpojumu sniedzēji tiek uzskatīti par augsta riska piegādātājiem iepriekšējā stratēģiskā pasākuma izpratnē;
funkcijām, kuras ir nodotas pārvaldīto pakalpojumu sniedzējiem, noteikt paaugstinātas drošības prasības pārvaldīto pakalpojumu sniedzēju pieejas tiesībām, kuras tiem ir piešķirtas, lai tie varētu īstenot tiem nodotās funkcijas.
iekārtu ražotāju trešās līnijas (Tier 3) tehniskajam atbalstam tīklu projektēšanas, izvēršanas un/vai ekspluatācijas laikā noteikt stingru piekļuves kontroli, īpaši attiecībā uz kritiski jutīgiem tīkla komponentiem un/vai jutīgām tīkla daļām, un jo īpaši attiecībā uz piegādātājiem, kurus uzskata par augsta riska piegādātājiem iepriekšējā stratēģiskā mērķa izpratnē.
Piegādātāju daudzveidības nodrošināšana atsevišķiem mobilo tīklu operatoriem, izmantojot vairāku piegādātāju stratēģijas. Pasākums paredz nodrošināt, lai katram mobilo sakaru operatoram būtu atbilstoša vairāku piegādātāju stratēģija, ņemot vērā tehniskās prasības un savietojamības prasības dažādām 5G tīkla daļām, lai:
novērstu vai ierobežotu jebkādu būtisku atkarību no viena piegādātāja (vai piegādātājiem ar līdzīgu riska profilu);
lai izvairītos no atkarības no piegādātājiem, kurus uzskata par augsta riska piegādātājiem pasākuma 3.1.3. nozīmē.
Izturētspējas stiprināšana valsts līmenī. Šis stratēģiskais pasākums paredz, ka ir nepieciešams nodrošināt pietiekamu piegādātāju līdzsvaru valsts līmenī, lai nodrošinātu, ka pastāv izturētspēja gadījumā, ja notiek incidents ar vienu mobilo sakaru operatoru un/vai vienu piegādātāju, ņemot vērā ģeogrāfijas un iedzīvotāju skaita atšķirības atsevišķās dalībvalstīs.
Galveno resursu noteikšana un daudzveidīgas un ilgtspējīgas 5G ekosistēmas veicināšana ES. Pasākums paredz balstīties uz ES ārvalstu tiešo ieguldījumu pārbaudes mehānismu, lai uzlabotu ārējo tiešo investīciju ieguldījumu uzraudzību visā 5G vērtību ķēdē (piemēram, kartējot galvenos 5G aktīvus, izmantojot monitoringa instrumentus un izpētot īpašas vadlīnijas), lai labāk noteiktu ārvalstu ieguldījumus 5G vērtību ķēdē, kas var apdraudēt kritiskās infrastruktūras drošību vai sabiedrisko kārtību, sabiedrības drošību, utt.
Daudzveidības un ES spēju saglabāšana un veidošana nākotnes tīkla tehnoloģijās. Stratēģiskais pasākums paredz izstrādāt politiku, kas rada optimālus apstākļus Eiropas tehnoloģiskajiem uzņēmumiem un veicina jauninājumus galvenajās tehnoloģiju jomās, lai veicinātu daudzveidīgu, ilgtspējīgu un drošu Eiropas 5G ekosistēmu, tostarp:
attīstīt ierosināto ES iestāžu partnerību nākošās paaudzes interneta, 6G tīklu jomā, lai nodrošinātu pietiekamu piegādātāju daudzveidību, zināšanas un piegādes spējas;
ES spēju attīstīšana un izvairīšanās no atkarības. Tas attiecas uz dažādu ES finansēšanas programmu īstenošanu, jo īpaši uz Horizon Europe, Digitālās Eiropas programmu un Eiropas infrastruktūras savienošanas instrumentu (CEF),
apvienot zināšanas, finanšu resursus un tirgus dalībniekus visā ES, lai pārvarētu potenciāli nozīmīgas tirgus vai sistēmiskas nepilnības visā vērtību ķēdē, kā arī veicinātu turpmākas konkrētas nozares iniciatīvas.
Rīkkopā ir aplūkoti vienpadsmit tehniskie pasākumi (turpmāk – TM):
Drošības pamatprasību piemērošanas nodrošināšana. Tehniskais pasākums paredz, ka ir jānodrošina, ka mobilo sakaru operatori īsteno labāko praksi un ieteikumus drošības jomā, kas nav specifiski 5G tīkliem, piemēram, produktu izstrādē, konfigurācijā, tīkla ikdienas pārvaldībā, incidentu pārvaldībā, drošības atjaunojumu pārvaldībā , piemēram, nosakot un pārskatot mobilo sakaru operatoru riska novērtējuma plānus. Papildus jānodrošina, ka mobilo sakaru operatori pastāvīgi atjaunina informāciju par drošības politiku, tostarp operatīvo informāciju, kā arī saista to ar izmaiņu un incidentu pārvaldības procedūrām attiecībā uz galvenajiem tīkliem un informācijas sistēmām.
Drošības pasākumu īstenošanas nodrošināšana un novērtēšana esošajos 5G standartos. Šis pasākums ir īstenojams, no drošinot, ka mobilo sakaru operatori un to piegādātāji īsteno spēkā esošos drošības pasākumus, kas iekļauti attiecīgajos 5G tehnoloģijas standartos (piemēram, 3GPP) un izmanto tos kā minimālo drošības sākumpunktu, lai nodrošinātu, ka arī šo standartu fakultatīvās daļas, kas attiecas uz drošību, tiek pienācīgi īstenotas.
Stingras piekļuves kontroles nodrošināšana. Pasākuma realizēšanai ir nepieciešams nodrošināt, ka mobilo sakaru operatori īsteno atbilstošus, elastīgus un pārbaudāmus tehniskos pasākumus, lai nodrošinātu, ka:
1)  tiek piemērotas secīgas tīkla piekļuves kontroles;
2)  piemēro vismazāko privilēģiju principu, nodrošinot, ka tiek minimizētas dažādas tiesības tīklā (piemēram, piekļuves tiesības starp tīkla funkcijām, tīkla administratora tiesības, virtualizācijas konfigurācija);
3)  piemēro pienākumu nošķiršanas principu;
4)  tiek veiktas procedūras, lai nodrošinātu, ka šie tehniskie noteikumi ir spēkā visu laiku un attīstās kopā ar tīklu.
Nosakot piekļuves kontroles politiku, īpaša uzmanība jāpievērš tam, lai nodrošinātu, ka tiek samazināta un/vai novērsta attālā piekļuve, ko sniedz trešās personas, jo īpaši piegādātāji, kurus uzskata par augsta riska piegādātājiem. Ja ir nepieciešama attāla piekļuve, piemēram, lai novērstu pakalpojumu traucējumus, mobilo sakaru operatoriem būtu jāpiemēro atbilstoša autentifikācija, autorizācija, reģistrēšana un auditēšana, lai nodrošinātu caurredzamību attiecībā uz piekļuves datiem un konfigurācijas izmaiņām vai tīkla izmaiņām.
Virtualizēto tīkla funkciju drošības palielināšana. Lai īstenotu pasākumu ir jānodrošina, lai mobilo sakaru operatori ievērotu drošības labāko praksi attiecībā uz tīkla funkciju virtualizāciju. Jāņem vērā, ka var būt situācijas, piemēram, ja tīkla funkcija ir kritiska vai ja tā apstrādā ļoti sensitīvu informāciju, ka virtualizācija nav piemērota un šādos iestatījumos var būt nepieciešama fiziska nošķiršana.
Drošas 5G tīkla pārvaldības, darbības un uzraudzības nodrošināšana. Pasākuma īstenošanai ir jānodrošina, ka mobilo sakaru operatori vada savus tīkla darbības centrus (turpmāk - NOC) un/vai drošības operāciju centrus (turpmāk - SOC) valsts un/vai ES teritorijā. NOC un SOC ir būtiska mobilo sakaru operatoru infrastruktūras sastāvdaļa, īstenojot un uzraugot pasākumus drošai tīkla pārvaldībai un darbībai. Tiem jānodrošina pārredzamība un jāīsteno efektīva tīkla uzraudzība vismaz attiecībā uz visiem 5G tīklu kritiskajiem komponentiem un sensitīvo daļu, lai atklātu novirzes, identificētu un novērstu draudus, piemēram, apdraudējumu pamattīklam, ko rada apdraudētas lietotāju ierīces un lietu internets. Nepieciešams nodrošināt, lai mobilo sakaru operatori aizsargātu sakaru tīkla vai pakalpojuma pārvaldības datplūsmu, lai izvairītos no nesankcionētām izmaiņām sakaru tīklā vai pakalpojumu komponentos.
Fiziskās drošības stiprināšana. Pasākums paredz nodrošināt, ka mobilo sakaru operatori pastiprina kritisko 5G tīklu komponentu fizisko aizsardzību, izmantojot uz risku balstītu pieeju, piemēram, apsverot, kur komponenti tiek izvietoti un izmantoti. Pastiprinot fiziskās piekļuves kontroli, ir svarīgi nodrošināt, ka piekļuve tiek piešķirta tikai ierobežotam skaitam apsargāto, apmācīto un kvalificēto darbinieku. Trešo personu, piegādātāju/pārdevēju piekļuve ir jāierobežo un jāuzrauga, jo īpaši, ja tā attiecas uz 5G tīklu kritiskajām daļām.
Programmatūras integritātes, atjaunināšanas un drošības atjauninājumu pārvaldības stiprināšana. Tehniskais pasākums paredz, ka ir nepieciešams nodrošināt, ka mobilo sakaru operatori izvietotu atbilstošus rīkus un procesus, lai nodrošinātu programmatūras integritāti, kas, veicot programmatūras atjauninājumus un lietojot drošības ielāpus 5G tīklos, droši identificē un reģistrē izmaiņas un ielāpu statusu.
Drošības standartu paaugstināšana piegādātāju procesos, izmantojot iepirkuma nosacījumus. Īstenojot pasākumu mobilo sakaru operatori pieprasa drošības standartus no iekārtu piegādātājiem iepirkuma procesā, piemēram, par konkrētiem drošības uzlabojumiem un kvalitātes līmeņa demonstrēšanu, aprīkojuma drošības uzturēšanu visā tā ekspluatācijas laikā un produkta izstrādes procesā tajā iebūvēto drošības risinājumu.
Izmantot ES sertifikāciju 5G tīkla komponentiem, klientu iekārtām un/vai piegādātāju procesiem. Pasākuma īstenošanā Eiropas Komisijai būtu jāapsver attiecīgo ES mēroga shēmu attiecībā uz kritiskajiem tīkla komponentiem, ko izmanto 5G tīklos, un/vai 5G klientu iekārtām iekļaušana Savienības pastāvīgajā darba programmā. Vēlākā posmā būtu arī jāizvērtē, vai sertifikācijas un piegādātāju procesa jautājumi arī būtu pievienojami pastāvīgajai darba programmai.
ES sertifikācijas izmantošana citiem ne 5G specifiskiem IKT produktiem un pakalpojumiem. Tehniskais pasākums paredz, ka Eiropas Komisijai būtu jāapsver iespēja iekļaut Savienības Pastāvīgajā darba programmā Eiropas Savienības mēroga shēmu izstrāde saskaņā ar ES sertifikācijas sistēmu attiecībā uz IKT produktiem un pakalpojumiem, kas nav saistīti ar 5G, piemēram, mākoņdatošanas pakalpojumu un ar tiem saistīto tehnoloģiju drošība un pievienoto (galalietotāja) ierīču, tostarp lietu interneta, drošību.
Izturētspējas un darbības nepārtrauktības plānu stiprināšana. Nodrošināt, ka mobilo sakaru operatori pastiprina savus izturētspējas un darbības nepārtrauktības plānus. Mobilo sakaru operatoriem ir jānodrošina, ka to rīcībā ir atbilstoši plāni, ja notiek negadījums, kas ietekmē tīkla darbību, un jānodrošina, ka visas kritiskās atkarības tiek fiksētas un pēc vajadzības mazinātas. Mobilo sakaru operatoriem jāpieprasa līdzīgas vienošanās saviem piegādātājiem un tikai tad jāizmanto piegādātāji, kas pierāda pietiekamu noturības līmeni ilgtermiņā.
Latvijā elektronisko sakaru jomu un informācijas tehnoloģiju drošības jomu regulē divi likumi, Elektronisko sakaru likums un Informācijas tehnoloģiju drošības likums, un uz to pamata izdotie Ministru kabineta noteikumi.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Elektronisko sakaru likuma 19. panta pirmā daļa uzskaita elektronisko sakaru komersantu pienākumus, no kuriem specifiski ar drošības jautājumiem ir saistīti šādi 19. panta pirmās daļas punkti:
4) nodrošināt lietotāju datu, tajā skaitā personu datu, aizsardzību saskaņā ar normatīvajiem aktiem;
5) saskaņā ar Satversmes aizsardzības biroja direktora rakstveida pieprasījumu par saviem līdzekļiem ierīkot, uzturēt, papildināt un pārveidot atbilstoši jaunieviestajām funkcionalitātēm pārtveršanas punktu (punktus), kas pēc operatīvās darbības subjekta vadītāja rakstveida pieprasījuma bez atlīdzības jānodod tā lietošanā operatīvās darbības pasākumu un kriminālprocesuālo darbību veikšanai;
16) veikt tehniskus un organizatoriskus pasākumus attiecībā uz elektronisko sakaru tīkla drošību tā lietotāju datu aizsardzībai, kā arī konkrēta elektronisko sakaru tīkla drošības apdraudējuma gadījumā informēt lietotājus par elektronisko sakaru tīkla lietošanas riskiem un pieejamiem tiesiskās aizsardzības līdzekļiem šo risku mazināšanai;
18) ja elektronisko sakaru komersants nodrošina publisko elektronisko sakaru tīklu, — veikt tehniskus un organizatoriskus pasākumus attiecīgo elektronisko sakaru tīklu integritātes nodrošināšanai un sadarboties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūciju atbilstoši Informācijas tehnoloģiju drošības likumā noteiktajam.
Papildus iepriekš uzskaitītajiem pienākumiem, Elektronisko sakaru likuma 19. panta otrā daļa nosaka, ka publiskā telefonu tīkla operatoram ir papildus pienākumi, taču neviens no tiem neskar drošības jautājumus.
Savukārt Informācijas tehnoloģiju drošības likuma mērķis ir uzlabot informācijas tehnoloģiju drošību, nosakot svarīgākās prasības, lai garantētu tādu būtisku pakalpojumu saņemšanu, kuru sniegšanai tiek izmantotas šīs tehnoloģijas un šis likums attiecas uz valsts un pašvaldību institūcijām, kā arī uz komersantiem un citām privāto tiesību juridiskajām personām. Informācijas tehnoloģiju drošības likuma 9.panta pirmā daļa nosaka, ka elektronisko sakaru komersantiem ir šādi pienākumi:
ja attiecīgais komersants nodrošina publisko elektronisko sakaru tīklu, — nodrošināt šā sakaru tīkla integritāti, tādējādi panākot pakalpojumu sniegšanas nepārtrauktību, kā arī sastādīt rīcības plānu elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot tehniskos un organizatoriskos pasākumus, kuru mērķis ir pārvarēt tīkla un pakalpojumu sniegšanas drošības apdraudējumus;
ziņot kompetentajai Drošības incidentu novēršanas institūcijai par drošības incidentu, kuram ir būtiska ietekme uz elektronisko sakaru tīklu vai elektronisko sakaru pakalpojuma nepārtrauktību;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma sniegt tai pakalpojumu un tīkla drošības vai integritātes novērtēšanai nepieciešamo informāciju, tostarp dokumentētu drošības politiku;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma, ja konstatēti būtiski drošības vai integritātes pārkāpumi, organizēt drošības auditu, ko veic ar kompetento Drošības incidentu novēršanas institūciju saskaņots kvalificēts un no iesaistītajām pusēm neatkarīgs tiesību subjekts. Par audita rezultātiem informē kompetento Drošības incidentu novēršanas institūciju. Audita izmaksas sedz un auditā konstatētos pārkāpumus novērš elektronisko sakaru komersants;
pēc kompetentās Drošības incidentu novēršanas institūcijas pieprasījuma īslaicīgi, bet ne ilgāk kā 24 stundas slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasot šādas darbības veikšanu, kompetentā Drošības incidentu novēršanas institūcija norāda pieprasījuma iemeslu.
Uz Informācijas tehnoloģiju drošības likuma pamata ir izdoti Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība”, kas nosaka informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtību. Savukārt Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”, nosaka valsts un pašvaldību institūciju informācijas un komunikācijas tehnoloģiju minimālās drošības prasības un kārtību, kādā valsts un pašvaldību institūcijas un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieki vai tiesiskie valdītāji nodrošina informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām prasībām, valsts informācijas sistēmu vispārējās drošības prasības un informācijas tehnoloģiju drošības prasības privāto tiesību juridiskajām personām, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji.


ES koordinētā riska novērtējuma 2.37. punkts paredz, ka atsevišķu piegādātāju riska profilus var novērtēt, pamatojoties uz vairākiem faktoriem, proti: 1) iespējamību, ka piegādātājs varētu tikt pakļauts intervencei no valsts, kas nav ES dalībvalsts. Tas ir viens no galvenajiem aspektiem ar 5G tīkliem saistīto netehnisko ievainojamību novērtējumā. Šādu ietekmi var veicināt turpmāk uzskaitīto kā arī citu faktoru klātbūtne: a) cieša saikne starp piegādātāju un attiecīgās trešās valsts valdību, b) trešās valsts tiesību akti, jo īpaši tad, ja nav tiesību aktu vai neeksistē demokrātiska kontrole, vai ja starp ES un attiecīgajām trešām valstīm nav nolīgumu drošības vai datu aizsardzības jomās, c) piegādātāja korporatīvo īpašumtiesību īpatnības, d) trešās valsts spēju veikt jebkāda veida spiedienu, tostarp attiecībā uz iekārtas ražošanas vietu, 2) piegādātāja spēju nodrošināt piegādi, 3) produktu vispārējo kvalitāti un piegādātāja kiberdrošības praksi, tostarp kontroles pakāpi pār savu piegādes ķēdi un to, vai drošības praksei tiek piešķirta pienācīga prioritāte.

 

Nē

Nē

Publisko elektronisko sakaru tīklu īpašnieki, izņemot valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašniekus vai tiesiskos valdītājus un privāto tiesību juridisko personas, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, kā arī kabeļtelevīzijas tīklu īpašniekus.
Noteikumi noteiks publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības.

Nē

Nē

Nē

Jā

Nē

-