Anotācija (ex-ante)

Situācija, kad valsts un pašvaldību iestāžu kritiskās datu plūsmas var iziet ārpus Latvijas teritorijas, kā arī nepastāv centralizēta iespēja nodrošināt kritisko informācijas sistēmu sasniedzamību jebkuros apstākļos, tiek apdraudētas nacionālās drošības intereses. Lai nodrošinātu, ka valsts pārvaldes iestādēm un IKT kritiskās infrastruktūras objektu īpašniekiem vai tiesiskajiem valdītājiem ir pieeja drošam valsts internetam (intranetam), nodrošinot kritiskās datu plūsmas atrašanos tikai Latvijas teritorijā un kritisko informācijas sistēmu sasniedzamību gadījumos, ja Latvijā nav pieejams globālais internets vai nozīmīgu kiberuzbrukumu gadījumā ir nepieciešams veikt atslēgšanos no globālā interneta, ir jānodrošina šo iestāžu pieslēgšanas valsts vienoto interneta plūsmu apmaiņas punktam – GLV-IX.
GLV-IX mērķis ir nodrošināt drošu valsts internetu (intranetu), kurā:
Primāri valsts pārvaldes iestādes un kritiskās IKT infrastruktūras informācijas un komunikāciju tehnoloģiju sistēmas un tās apkalpojošās organizatoriskās struktūras sazinās savā starpā, izmantojot drošu un kontrolētu datu pārraides vidi, tādējādi nodrošinot kritiskās datu plūsmas maršrutēšanu tikai Latvijas teritorijā;
Tiek nodrošināta kritisko informācijas sistēmu sasniedzamība un Valsts un kritiskās infrastruktūras e-pakalpojumu pieejamība gadījumos, ja Latvijā nav pieejams globālais internets vai nozīmīgu kiberuzbrukumu gadījumā ir nepieciešams veikt atslēgšanos no globālā interneta.

Atbilstoši Nacionālās kiberdrošības likuma 5. panta pirmās daļas 9. punktā noteiktajam, likumdevējs Nacionālās kiberdrošības centram ir deleģējis uzdevumu koordinēt vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņemšanu, kur, saskaņā ar 2022. gada 2. novembra informatīvajā ziņojumā "Par valsts vienoto interneta plūsmas apmaiņas punktu" (DIENESTA VAJADZĪBĀM) noteikto, ir izveidots valsts vienotais interneta plūsmu apmaiņas punkts jeb GLV-IX un identificēts konkrēts pakalpojuma sniedzējs, ar kuru, atsaucoties uz Aizsardzības un drošības jomas iepirkumu likuma 6. panta sestās daļas piektā punkta regulējumu, Aizsardzības ministrija ir noslēgusi vienošanos par pakalpojumu nodrošināšanu visām Noteikumu projekta 4. punktā minētajām institūcijām un personām.  Iepriekš minētā ziņojuma ietvaros ir apstiprināts finansējums risinājuma izveidei un nodrošināšanai. Ņemot vērā minēto, GLV-IX pakalpojuma saņemšana noteikumu projekta subjektiem tiek nodrošināta tikai un vienīgi Aizsardzības ministrijas un konkrētā pakalpojuma sniedzēja vienošanās ietvaros, kur šīm personām ir pienākums noslēgt savstarpēju vienošanos ar konkrēto GLV-IX pakalpojuma sniedzēju, lai autorizētos vienotā pakalpojuma saņemšanai.


Nosakot, ka valsts tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, kā arī būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri ir valsts kapitālsabiedrības pievienošanās GLV-IX ir obligāta, ir iespējams uzturēt krīzes vadības rīku dažādu informācijas un komunikācijas tehnoloģiju un ar drošību saistīto valstiskas nozīmes risinājumu nodrošināšanai. Vienlaikus tas ļauj arī nodrošināt valsts pārvaldes iestādēm kontrolētas, tiešas un drošas datu plūsmas un to pārredzamību, kā arī iespēju atslēgties no globālā interneta, lai nozīmīgu kiberuzbrukumu gadījumā turpinātu nodrošināt kritiski svarīgas informācijas apmaiņu un sabiedrībai nozīmīgu lokālo pakalpojumu sniegšanas un saņemšanas nepārtrauktību. Papildus iestādēm, kam pieslēgšanās GLV-IX ir jānosaka kā obligāta, jebkura juridiska persona var pieteikties GLV-IX izveidei, taču, lai nodrošinātu, ka GLV-IX izveidotie pieslēgumi nerada draudus GLV-IX darbībai saskaņā ar izvirzīto mērķi, ir nepieciešams izveidot starpinstitūciju komisiju, kuras uzdevums būs izvērtēt saņemtos pieslēgumu pieprasījumus. Šo komisiju ir jāizveido Nacionālajam kiberdrošības centram (turpmāk - NKDC), tajā iekļaujot Militārās izlūkošanas un drošības dienestu, Satversmes aizsardzības biroju, Valsts drošības dienestu un Latvijas Universitātes Matemātikas un informātikas institūta (turpmāk - LUMII) pārstāvjus.

Noteikumi nosaka GLV-IX komisijas sastāvu, izveidi un darbības kārtību un GLV-IX darbības un sniegšanas un saņemšanas kārtību, kritērijus valsts un pašvaldību institūciju un subjektu iekļaušanai vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā, valsts un pašvaldību institūcijas un subjektus, kuriem ir noteikta prasība datu plūsmu nepastarpināti virzīt caur vienoto valsts interneta plūsmu apmaiņas punktu. Noteikumu pirmā nodaļa skaidro noteikumos iekļautos terminus, kā arī to, ka GLV -IX darbību nodrošina NKDC, nosakot pakalpojuma izpildītāju atbilstoši Aizsardzības un drošības jomas iepirkuma likuma 6. panta sestās daļas 5. punktā noteiktajā kārtībā, piemērojot sarunu procedūru.

Noteikumu otrā nodaļa ir veltīta jautājumiem, kas skar kritērijus valsts un pašvaldību institūciju un organizāciju iekļaušanai vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā.  Noteikumu 4. punkts nosaka, ka pievienošanās GLV-IX ir obligāta Valsts tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, privāto tiesību juridiskajām personām, kas pilda valsts pārvaldes deleģētu uzdevumu, IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, kā arī būtisko pakalpojumu un svarīgo pakalpojumu sniedzējiem, kuri ir valsts kapitālsabiedrības. Vienlaikus tiek paredzēta iespēja, ka jebkura juridiska persona var pieteikties GLV-IX pakalpojuma saņemšanai, taču pieteikumu izvērtēs valsts drošības iestādes un, balstoties vienbalsīgā starpinstitūciju komisijas lēmumā, NKDC lems par pieteikuma iesniedzēja apstiprināšanu GLV-IX pakalpojuma saņemšanai. Pēc pieteikuma saņemšanas NKDC sagatavo informāciju par pieteikuma iesniedzēja patieso labuma guvēju un īpašnieku struktūru, kā arī NKDC pieejamo informāciju par to, vai pieteikuma iesniedzējs ir no valsts, kuru Eiropas Parlaments vai Latvijas Republikas Saeima ir atzinusi par terorismu atbalstošu valsti, kā arī to, vai pieteikuma iesniedzējs ir no valsts, kura ir iekļauta publiskā kiberincidenta attiecināšanas paziņojumā, kuru Latvija ir iniciējusi vai kuram ir pievienojusies. Ja netiek konstatēta pieteikuma iesniedzēja atbilstība šiem kritērijiem, valsts drošības iestādes sniedz atzinumu, izvērtējot vismaz vienu no 13. punktā minētajiem kritērijiem. Kritēriju būtība ļauj valsts drošības iestādēm izvērtēt, vai juridiskās personas pievienošana GLV-IX tīklam nerada draudus tīkla darbībai un netraucē GLV-IX tīkla izveides mērķu sasniegšanai atbilstoši valsts drošības interesēm. Juridiskām personām, kas brīvprātīgi izvēlas pievienoties GLV-IX, ir jāiesniedz oficiāls pieteikums Nacionālajam kiberdrošības centram, norādot 7. punktā prasīto informāciju (nosaukums, kontaktpersona līguma slēgšanas jautājumos, kontaktpersona tehniskajos jautājumos). Noteikumu 4. punktā minēto organizāciju pieteikumus Nacionālais kiberdrošības centrs nosūta pakalpojuma sniedzējam un pakalpojuma sniedzējs slēdz līgumu par GLV-IX pakalpojuma sniegšanu, savukārt juridsko personu pieteikumu izvērtēšanu veic starpinstitūciju komisija. NKDC lemj par pieteikuma iesniedzēja pievienošanos GLV-IX, pamatojoties uz vienbalsīgu komisijas vērtējumu. Starpinstitūciju komisijas izveide ir noteikta 8. punktā, bet tās sastāvs - 9. punktā.  NKDC paziņo pieteikuma iesniedzējam komisijas lēmumu (pozitīvu vai negatīvu) un pozitīva lēmuma gadījumā pakalpojuma sniedzējs slēdz līgumu par GLV-IX pakalpojuma saņemšanu. Iestādēm vai juridiskām personām, kas līdz šo noteikumu apstiprināšanai jau ir kļuvušas par GLV-IX dalībniekiem, nav jāsniedz atkārtots pieteikums. Viena resora ietvaros organizācijas var sniegt vienotu pieteikumu, norādot visas organizācijas, kam jānodrošina GLV-IX pakalpojums. Lai vienkāršotu šo procesu, Nacionālais kiberdrošības centrs nosūtīs informatīvu vēstuli resoru atbildīgajām iestādēm.

Noteikumu 3. nodaļa apraksta GLV-IX darbības un pakalpojuma sniegšanas un saņemšanas kārtību. NKDC var lemt par GLV-IX pakalpojuma sniegšanas pārtraukšanu ar GLV-IX dalībnieku, ja komisija konstatē GLV-IX dalībnieka patiesā labuma guvēja, amatpersonas vai prokūrista saistību ar kādu no 10.2., 10.3. vai 13.1. apakšpunktā minētajām valstīm vai ir saņemts valsts drošības iestādes atzinums, ka turpmāka GLV-IX pakalpojuma nodrošināšana GLV-IX dalībniekam ir pretrunā ar valsts drošības iestādēm. Vienlaikus kiberincidenta gadījumā, kad ir nepieciešama rīcība nekavējoties, jebkuram komisijas dalībniekam ir tiesības pieprasīt GLV-IX pakalpojuma sniegšanas apturēšanu GLV-IX dalībniekam uz laiku līdz kiberincidenta novēršanai. Abos gadījumos NKDC informē pakalpojuma sniedzēju par lēmumu un pakalpojuma sniedzējs veic tehnisko GLV-IX pakalpojuma sniegšanas apturēšanu GLV-IX dalībniekam, kā arī nepieciešamības gadījumā nodrošina līguma izbeigšanu ar konkrēto GLV-IX dalībnieku (ja pakalpojuma sniegšana tiek pārtraukta pilnībā). NKDC paziņo GLV-IX dalībniekam lēmumu pārtraukt GLV-IX savienojumu ar GLV-IX dalībnieku pilnībā vai uz laiku.

Savukārt noteikumu 23. punkts nosaka GLV-IX dalībnieku interneta datu plūsmas virzīšanas pamatprincipus. GLV-IX dalībnieki, kas ir šo noteikumu 4. punktā minētās organizācijas un kuriem ir savas autonomās sistēmas, nodrošina, ka interneta datu plūsma no attiecīgā GLV-IX dalībnieka piederošajām autonomajām sistēmām uz citu GLV-IX dalībnieku autonomajām sistēmām tiek prioritāri virzīta caur GLV-IX. Organizācijai ir pienākums pieprasīt tā autonomās sistēmas interneta datu plūsmas prioritāru virzīšanu caur GLV-IX. Izņēmums ir 4. punktā minētās organizācijas, kurām ir iekārtoti tieši datu pārraides savienojumi. Šīm organizācijām ir tiesības interneta datu plūsmu starp savām autonomajām sistēmām prioritāri virzīt pa tiešo datu pārraides savienojumu. Citos gadījumos netiek uzlikts pienākums interneta datu plūsmu uz citiem GLV-IX dalībniekiem virzīt caur GLV-IX, taču GLV-IX dalībnieks to var darīt.

Noteikumu noslēguma sadaļa apraksta noteikumu spēkā stāšanās kārtību, nosakot šo noteikumu 4.1.-4.3. apakšpunktos noteiktajām organizācijām prasību piemēro no 2025. gada 1. septembra.