Anotācija (ex-ante)

NIS direktīvas mērķis bija veidot kiberdrošības spējas ES, mazinot draudus tīklu un informācijas sistēmām, ko izmanto pamatpakalpojumu sniegšanai svarīgās nozarēs, nodrošinot šādu pakalpojumu nepārtrauktību, saskaroties ar kiberincidentiem, un tādējādi sniedzot ieguldījumu ES drošībā un tās ekonomikas un sabiedrības efektīvā darbībā. Kopš NIS direktīvas stāšanās spēkā ES kibernoturības līmeņa paaugstināšanā ir panākts ievērojams progress. NIS direktīvas pārskatīšana apliecināja, ka tā ir kalpojusi par katalizatoru institucionālajai un regulatīvajai pieejai attiecībā uz kiberdrošību ES, bruģējot ceļu būtiskām domāšanas veida pārmaiņām. NIS direktīva ir nodrošinājusi, ka tiek pabeigti tīklu un informācijas sistēmu drošības valstu satvari, nosakot valstu tīklu un informācijas sistēmu drošības stratēģijas, veidojot valstu spējas un īstenojot regulatīvus pasākumus, kas aptver būtiskas infrastruktūras un vienības, kuras identificējusi katra dalībvalsts. Tāpat NIS direktīva ir veicinājusi sadarbību arī ES līmenī, izveidojot sadarbības grupu un valstu kiberincidentu reaģēšanas vienību tīklu. Neraugoties uz šiem sasniegumiem, NIS direktīvas pārskatīšanas gaitā ir konstatētas nepilnības, kas liedz tai rezultatīvi risināt pašreizējās un jaunās kiberdrošības problēmas.

Tīklu un informācijas sistēmas ir kļuvušas par būtisku iezīmi ikdienas dzīvē, ko raksturo ātra digitālā pārkārtošanās un sabiedrības savstarpējā savienotība, tai skaitā pārrobežu sakaros. Šīs attīstības rezultātā ir paplašinājusies kiberapdraudējumu aina, rodoties jaunām problēmām, kurām ir nepieciešami pielāgoti, koordinēti un inovatīvi reaģēšanas pasākumi visās dalībvalstīs. Kiberincidentu skaits, apmērs, sarežģītība, biežums un ietekme pieaug un būtiski apdraud tīklu un informācijas sistēmu darbību. Līdz ar to kiberincidenti var kavēt saimniecisko darbību īstenošanu iekšējā tirgū, radīt finansiālus zaudējumus, apdraudēt lietotāju uzticēšanos un radīt lielu kaitējumu ES ekonomikai un sabiedrībai. Tāpēc sagatavotība un rezultativitāte kiberdrošības jomā tagad iekšējā tirgus pienācīgai darbībai ir vēl svarīgāka nekā jebkad iepriekš. Turklāt kiberdrošība daudzās kritiskās nozarēs ir būtisks faktors, kas dod iespēju sekmīgi īstenot digitālo pārkārtošanos un pilnībā izmantot digitalizācijas dotos saimnieciskos, sociālos un ilgtspējīgos ieguvumus.

Līdz ar NIS direktīvas atcelšanu tiek paplašināta tās piemērošanas joma pa nozarēm, aptverot lielāku ekonomikas daļu. Tāpēc to nozaru skaits, ko aptvēra NIS direktīva, tiek palielināta, lai nodrošinātu tādu nozaru un pakalpojumu pilnīgu aptvērumu, kas ir izšķirīgi svarīgas būtiskām sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū. NIS2 direktīvai jo īpaši būtu jātiecas novērst trūkumus, kas saistīti ar pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju diferenciāciju, kura ir izrādījusies novecojusi, jo neatspoguļo nozaru vai pakalpojumu nozīmīgumu sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū. Saskaņā ar NIS direktīvu dalībvalstīm bija pienākums identificēt vienības, kuras atbilst kritērijiem, lai tās varētu uzskatīt par pamatpakalpojumu sniedzējiem. Lai šajā ziņā mazinātu lielās atšķirības starp dalībvalstīm un nodrošinātu juridisko noteiktību attiecībā uz kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem visām attiecīgajām vienībām, tiek ieviests vienots kritērijs tādu vienību noteikšanai, kuras ietilpst šīs direktīvas darbības jomā. Minētajam kritērijam vajadzētu būt maksimālā lieluma noteikumam, saskaņā ar kuru visas vienības, kas sasniedz vai pārsniedz vidējiem uzņēmumiem noteiktos maksimālos lielumus, kuri minēti Komisijas Ieteikuma 2003/361/EK^[1] pielikuma 2. panta 1. punktā, un kas darbojas šīs direktīvas aptvertajās nozarēs vai sniedz tās aptvertos pakalpojumus, vai veic tās aptvertās darbības, ietilpst tās darbības jomā. Dalībvalstīm būtu arī jāparedz, ka NIS2 direktīvas darbības jomā ietilpst konkrēti mikrouzņēmumi un mazie uzņēmumi, kas atbilst konkrētiem kritērijiem, kuri liecina par svarīgu lomu ekonomikā, sabiedrībā vai konkrētās nozarēs vai pakalpojumu veidos.

Tāpat NIS2 direktīva paredz, ka vienības, kuras ietilpst šīs direktīvas darbības jomā, attiecībā uz atbilstību kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem ir iedalāmas divās kategorijās, proti, būtiskajās vienībās un svarīgajās vienībās, atspoguļojot to, kādā mērā tās ir kritiski svarīgas to nozares vai sniegto pakalpojumu veida aspektā, kā arī to lielumu. Attiecīgā gadījumā būtu pienācīgi jāņem vērā visi attiecīgie nozaru riska novērtējumi vai norādījumi, ko sniegušas kompetentās iestādes. Uzraudzības un sodu režīmi šīm abām vienību kategorijām ir diferencējami, lai nodrošinātu taisnīgu līdzsvaru starp prasībām un pienākumiem, kas balstīti uz risku, no vienas puses, un administratīvo slogu, kas izriet no atbilstības uzraudzības, no otras puses. Ņemot vērā, ka tīklu un informācijas sistēmas ir kļuvušas par būtisku iezīmi ikdienas dzīvē, ir nepieciešams nacionālā mērogā nodrošināt atbilstošus personāla resursus reaģēšanai uz kiberincidentiem, kā arī stiprināt nacionāla līmeņa spējas ieviest atbilstošus uzraudzības un kontroles mehānismus valsts funkcionēšanai būtisko informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) resursu nepārtrauktības nodrošināšanai.

Latvijas kiberdrošības stratēģijā 2019.—2022. gadam^[2] pastiprināta uzmanība tika pievērsta kiberdrošības noturībai, investīcijām IKT drošībā un personāla apmācībā. Tāpat iepriekšējā pārskata periodā ir sperti vairāki būtiski soļi kiberdrošības veicināšanai, digitālo risku mazināšanai, IKT izturētspējas, arī sabiedrības izpratnes, izglītības un pētniecības izaugsmei. Līdz ar Krievijas iebrukumu Ukrainā, ir notikusi strauja reģionālās drošības situācijas pasliktināšanās, kas arvien vairāk aktualizē nepieciešamību stiprināt kiberdrošību Latvijā. Latvijas kiberdrošības stratēģijā 2023.—2026. gadam^[3] ir noteikts, ka novērojama paaugstināta uzbrucēju aktivitāte, tostarp ievainojamību meklēšana valstiskas nozīmes sistēmās, informācijas ieguves mēģinājumi u.c. Lielā apjomā tiek īstenoti pakalpojumatteices (Distributed Denial of Service, DDoS) uzbrukumi ne vien publiskā sektora sistēmām, bet arī sabiedrībai būtisku pakalpojumu sniedzēju sistēmām. Ļaunprātīgu aktivitāšu pieaugums kibertelpā  norāda uz nepieciešamību stiprināt nacionālā līmeņa spējas ieviest atbilstošus uzraudzības un kontroles mehānismus valsts funkcionēšanai būtisko IKT resursu nepārtrauktības nodrošināšanai.

IKT attīstība gan Latvijā, gan ārvalstīs ir sasniegusi nebijušu ātrumu un apmēru. Jaunākās paaudzes IKT risinājumi nodrošina iespējas jebkurā laikā un vietā ātri un ērti iegūt plašu informāciju par notikumiem un procesiem Latvijā vai ārvalstīs, sazināties un apmainīties ar informāciju, veikt darījumus un norēķinus internetā, saņemt elektroniskos pakalpojumus, izveidot, parakstīt un nosūtīt elektroniskos dokumentus un saglabāt informāciju elektroniskā formā, izmantojot viedo ierīču un mākoņdatošanas pakalpojumu sniedzēju sniegtās priekšrocības.

Lai valsts spētu sekot līdzi IKT straujajai attīstībai, realizēt Digitālās transformācijas pamatnostādnēs 2021.—2027. gadam^[4] noteiktos uzdevumus un mērķus un stāties pretī kiberdraudiem, valsts un pašvaldības iestādēs nepieciešams nodrošināt labi sakārtota un pārvaldīta IKT infrastruktūra. Aizsardzības ministrija kā valsts kiberdrošības un aizsardzības politikas veidotāja un īstenotāja, šajā jomā ir identificējusi problēmas dažādos posmos, tostarp IKT risinājumu un informācijas sistēmu plānošanas un izstrādes stadijā un pēc tam arī ieviešanas un uzturēšanas stadijā. Problēma konstatējama arī IKT sistēmu ieviešanas un uzturēšanas stadijā, kā arī vēlāk IKT sistēmu uzraudzības nodrošināšanā. Saskaņā ar ITDL 8. pantu, kiberdrošības pārvaldību katrā iestādē nodrošina tās vadītājs. Attiecīgi iestādes pārziņā ir pieņemt lēmumus un īstenot darbības, lai nodrošinātu augstu kiberdrošības līmeni. Pašreiz nacionālajā tiesiskajā regulējumā nav noteikta iestāde, kura veiktu tematiskās informācijas sistēmu pārbaudes, pārbaudot vai iestādes atbilst Ministru kabineta noteikumos, kas nosaka kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām kiberdrošības prasībām. Līdz ar to nereti ir konstatējamas situācijas, kad iestāde nespēj identificēt būtiskākos kiberriskus, kā rezultātā piešķir neatbilstošu kiberdrošības līmeni savām sistēmām. Rezultātā valstī svarīgas sistēmas netiek noteiktas kā paaugstinātas drošības sistēmas, un tām netiek nodrošināta aizsardzība pietiekoši augstā līmenī. Ņemot vērā norādīto, ir nepieciešams celt valsts un pašvaldību iestāžu kibernoturības līmeni, uzlabot pastāvošo kiberdrošības pārvaldības modeli un celt atbildīgo institūciju kapacitāti. NIS2 direktīvas mērķis ir novērst atšķirības kiberdrošības prasību noteikšanā un piemērošanā, kā arī kiberdrošības pasākumu īstenošanā dažādās dalībvalstīs. Lai to panāktu, NIS2 direktīvā ir noteiktas minimālās prasības tiesiskajam regulējumam, kā arī ir noteikti mehānismi efektīvai sadarbībai starp katras dalībvalsts kompetentajām iestādēm. NIS2 direktīva kalpo par pamatu kiberdrošības risku (turpmāk – kiberriski) pārvaldības pasākumiem un ziņošanas pienākumiem par kiberincidentiem visās nozarēs, uz kurām attiecas NIS2 direktīva, piemēram, enerģētikas, transporta, veselības un digitālās infrastruktūras jomā.

[1] Komisijas Ieteikums 2003/361/EK (2003. gada 6. maijs) par mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju (OV L 124, 20.5.2003., 36. lpp.).
[2] Latvijas kiberdrošības stratēģija 2019.—2022. gadam, pieejama: http://tap.mk.gov.lv/lv/mk/tap/?pid=40466584
[3] Latvijas kiberdrošības stratēģija 2023.—2026. gadam, pieejama: https://tapportals.mk.gov.lv/legal_acts/dcaf6fc4-4dbe-491d-bcc6-1579837cd1f6
[4] Digitālās transformācijas pamatnostādnes 2021.—2027. gadam, pieejamas: https://likumi.lb/ta/id/324715-par-digitalas-transformacijas-pamatnostadnem-20212027-gadam

Likumprojekta būtiskākās izmaiņas pret pašreiz spēkā esošo ITDL:
1) tiek izveidots Nacionālais kiberdrošības centrs, nosakot tā statusu, funkcijas, tiesības un pienākumus, kā to paredz NIS2 direktīva;
2) likumprojekts papildināts ar normām, kas izriet no NIS2 direktīvas, tostarp, nosakot subjektus, paredzot koordinētu ievainojamību atklāšanu, uzraudzības mehānismus un sodīšanu par noteikto prasību nepildīšanu;
3) iekļautas tiesību normas, kas regulē informācijas un komunikācijas tehnoloģiju resursu aizsardzību pret pakalpojumatteices kiberuzbrukumiem, kas ir nacionālā iniciatīva;
4) iekļautas tiesību normas, kas regulē datu centru kiberdrošību (tostarp Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienības (turpmāk – CERT.LV) drošības operāciju centru izveide, kā arī deleģējums Ministru kabinetam noteikt datu centru drošības prasības);
5) iekļautas tiesību normas, kas regulē vienotā valsts interneta apmaiņas punkta (GLV-IX) pakalpojumu nodrošināšanu;
6) iekļautas tiesību normas, kas regulē kiberrisku pārvaldības plānu izstrādi un koordinēšanu, kā to nosaka NIS2 direktīva.

Būtiskākās izmaiņas NIS2 direktīvā pret NIS direktīvu:
1) novērstas atšķirības starp pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, tā vietā klasificējot vienības kā būtiskas un svarīgas;
2) izveidots Eiropas Kiberkrīžu sadarbības organizācijas tīkls (EU-CyCLONE), lai veicinātu koordinētu kiberdrošības pārvaldību liela mēroga kiberincidentu un krīžu gadījumā ES mērogā;
3) izveidots administratīvo sankciju saraksts (līdzīgi kā Vispārīgajā datu aizsardzības regulā noteiktajam), tai skaitā paredzot noteikt naudas sodus par kiberdrošības risku ziņošanas un pārvaldības pienākumu pārkāpšanu;
4) paredzētas paaugstinātas drošības prasības uzņēmumiem, ieviešot riska pārvaldības pieeju un paredzot obligāti piemērojamo drošības pamatelementu sarakstu. Tas paredz ieviest precīzākus noteikumus par ziņošanas procesu par kiberincidentiem, ziņojumu saturu un laiku (24 stundu laikā pēc kiberincidenta atklāšanas);
5) ieviesti stingrāki uzraudzības pasākumi valsts iestādēm, stingrākas izpildes prasības, kuru mērķis ir saskaņot sankciju režīmus visās dalībvalstīs;
6) ES mērogā tiek stiprināta galvenā informācijas un komunikācijas tehnoloģiju kiberdrošība. Dalībvalstīm sadarbībā ar Komisiju un Eiropas Savienības Kiberdrošības aģentūru (turpmāk – ENISA) būs jāveic koordinēti kritisko piegādes ķēžu riska novērtējumi, kas balstīti uz efektīvu pieeju, kas savukārt pieņemta saistībā ar Komisijas ieteikumu par 5G tīklu kiberdrošību.

Likumprojekta 3. pantā noteikta Likumprojekta darbības joma, paredzot, ka likums attiecas uz būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, kas ir šī likumprojekta subjekti. Tāpat likumprojekts attiecas uz tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes, kā arī uz privāto tiesību juridiskajām personām un likumprojektā noteiktos gadījumos – uz fiziskām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.

Likumprojekta 3. panta otrajā un trešajā daļā savukārt paredzēts, uz ko likums neattiecas, paredzot, ka likumprojekts neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu, tostarp, uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā kiberincidentu sastāvdaļa, kā arī attiecas uz finanšu vienībām Eiropas  Parlamenta un Padomes regulas par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014 (turpmāk – DORA regula) 2. panta 2. punkta izpratnē ciktāl tas nav pretrunā ar DORA regulu un citiem normatīvajiem aktiem par šo finanšu vienību kiberdrošību.

Šāds izņēmums attiecībā uz finanšu vienībām paredzēts, jo NIS2 direktīva paredz, lai izvairītos no ES tiesību aktos paredzēto kiberdrošības noteikumu sadrumstalotības, var tikt izdoti papildu nozarspecifiski ES tiesību akti (lex specialis), lai nodrošinātu augstu kiberdrošības līmeni, kas var būt attiecināmi uz kiberdrošības risku pārvaldības pasākumiem un ziņošanas pasākumiem. NIS2 direktīva nosaka, ja nozarspecifiska ES tiesību akta nosacījumi paredz būtiskajām un svarīgajām vienībām pieņemt kiberdrošības risku pārvaldības pasākumus vai ziņot par liela mēroga kiberincidentiem un, ja šādas prasības to ietekmes ziņā ir vismaz līdzvērtīgas NIS2 direktīvā noteiktajiem pasākumiem, tad šos noteikumus jāpiemēro (tostarp, noteikumus par uzraudzību un izpildes panākšanu) šādām vienībām. NIS2 direktīva nosaka, ka DORA regula ir uzskatāma par nozarspecifisku ES tiesību aktu saistībā ar NIS2 direktīvu tieši attiecībā uz finanšu vienībām. Attiecīgi NIS2 direktīva paredz, ka NIS2 izklāstīto noteikumu vietā būtu piemērojami DORA regulas nosacījumi par informācijas un komunikācijas tehnoloģiju risku pārvaldības pasākumiem, ar informācijas un komunikācijas tehnoloģiju saistītu incidentu pārvaldību un incidentu paziņošanu, kā arī digitālās darbības noturības testēšanu u.c. Tāpēc dalībvalstīm NIS2 direktīvas noteikumi par kiberdrošības risku pārvaldību un ziņošanas pasākumiem, kā arī uzraudzību un izpildes panākšanu nebūtu jāpiemēro finanšu vienībām, uz kuriem attiecas DORA regula, ņemot vērā arī to, ka DORA regula paredz līdzvērtīgas vai pat stingrākas prasības. Tas nenozīmē, ka finanšu sektors izpaliek no kopējās kiberdrošības vides un nacionālās kiberdrošības stratēģijas – notiks uzraudzības  iestāžu sadarbība ar NIS2 8. pantā minēto vienoto kontaktpunktu, atbilstoši NIS2 un DORA mērķiem, jo gan NIS2 direktīva, gan DORA regula paredz, ka ir svarīgi uzturēt ciešas attiecības un informācijas apmaiņu ar finanšu sektoru saskaņā ar NIS2 direktīvu.

NIS2 direktīvā tiek novērstas atšķirības starp pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, tāpēc NIS2 direktīvā vienības tiek klasificētas pēc to nozīmības, izdalot būtiskās un svarīgās vienības (likumprojektā - subjekti), uz kurām attieksies dažādi uzraudzības režīmi. Atšķirībā no NIS direktīvas, kas nosaka drošības prasības dalībvalstu pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, NIS2 direktīva iekļauj papildu sektorus, tā attieksies uz konkrētām publiskām vai privātām būtiskām vienībām (enerģētikas, transporta, banku pakalpojumu, finanšu tirgus infrastruktūras, veselības, dzeramā ūdens, notekūdeņu, digitālās infrastruktūras, valsts pārvaldes un kosmosa jomā) un svarīgām vienībām (pasta un kurjeru pakalpojumu, atkritumu apsaimniekošanas, ķīmisko vielu izgatavošanas, ražošanas un izplatīšanas, pārtikas ražošanas, pārstrādes un izplatīšanas, kā arī digitālo pakalpojumu jomā). NIS2 direktīva paredz iekļaut atjauninātu to nozaru un darbību sarakstu, uz kurām attieksies kiberdrošības pasākumu īstenošana un paredzēti tiesiskās aizsardzības līdzekļi, kā arī noteiktas sankcijas, lai nodrošinātu prasību izpildi.

Nacionālais kiberdrošības centrs

NIS2 direktīvas 8. pants nosaka, ka katra dalībvalsts izraugās vai izveido vienu vai vairākas kompetentās iestādes, kas atbild par kiberdrošību un uzraudzības uzdevumiem, kā arī to, ka tieši kompetentās iestādes uzrauga šīs direktīvas īstenošanu valsts līmenī. Likumprojekta 4. pantā noteikts, ka Nacionālais kiberdrošības centrs ir nacionālā kompetentā institūcija kiberdrošības jautājumos, kura īsteno nacionālo kiberdrošības pārraudzību, veido nacionālās kiberdrošības rīcībpolitikas iniciatīvas un savas kompetences ietvaros veido un īsteno starptautisko sadarbību kiberdrošības jomā. Lai veidotu visaptverošu, efektīvu un sistemātisku kiberdrošības pārvaldības modeli, kā arī nodrošināti šā Likumprojekta subjektu uzraudzības sistēmu Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir noteiktas kā vadošās iestādes, kuras atbilstoši Likumprojekta 39. pantā noteiktajam subjektu uzraudzības dalījumam uzrauga kā tiek īstenotas kiberdrošības prasības, kā arī gadījumos, kad netiek ievērotas Likumprojektā noteiktās prasības, īsteno korektīvās darbības. Nacionālā kiberdrošības centra funkcijas īsteno Aizsardzības ministrija sadarbībā ar CERT.LV, tādējādi apvienojot nacionālās kiberdrošības politikas veidošanu un koordinēšanu, par ko atbildīga Aizsardzības ministrija un incidentu novēršanu, par ko atbildīgs CERT.LV. Jāuzsver, ka neraugoties uz minēto, CERT.LV saglabās  vienu no saviem galvenajiem uzdevumiem  - sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā jebkurai fiziskai vai juridiskai personai.
 
Nacionālā kiberdrošības centra mērķis ir:
1) veidot un koordinēt kiberdrošības politiku, kā arī uzraudzīt tās ieviešanu;
2) īstenot nacionālo IKT drošības un nacionālo kiberdrošības pārraudzību;
3) kā nacionālā mēroga vienotajam kontaktpunktam kiberdrošības jomā, nodrošināt visu ar kiberdrošību saistīto jautājumu pārresoru koordināciju;
4) savas kompetences ietvaros veidot un īstenot starptautisko sadarbību kiberdrošības jomā;
5) nodrošināt būtisko un svarīgo pakalpojumu sniedzēju uzraudzību;
6) izstrādāt rekomendācijas kiberdrošības jomā.

Nacionālā kiberdrošības centra uzdevumi un tiesības tiek noteikti likumprojekta 5. un 6. pantā. Likumprojekta 7. un 8. pantā savukārt tiek noteikta Satversmes aizsardzības biroja kompetence, uzdevumi un tiesības, ņemot vērā to, ka Satversmes aizsardzības birojs atbilstoši Likumprojekta 39. pantā noteiktajam subjektu uzraudzības dalījumam, uzrauga informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru. Paredzēts, ka Nacionālā kiberdrošības centra galvenās darbības jomas būs:
1) kiberdrošības politikas veidošana;
2) kiberdrošības prasību uzraudzība;
3) projektu koordinācija un starptautiskā sadarbība savas kompetences ietvaros;
4) sabiedrības izglītošana kiberdrošības jomā;
5) kiberincidentu reaģēšana un risināšana;
6) kiberdrošības un ielaušanās testi;
7) tehnoloģisko risinājumu izpēte un draudu analīze;
8) drošības operāciju centru darbības nodrošināšana valsts IKT resursu datu centros.

Nacionālajam kiberdrošības centram kā nacionālajai kompetentajai institūcijas kiberdrošības jautājumos NIS2 direktīvas izpratnē būs jānodrošina, lai tiktu identificētas vienības (subjekti), kas darbojas NIS2 direktīvā noteiktajās nozarēs, un lai šīs vienības veiktu atbilstīgus un samērīgus tehniskos un organizatoriskos pasākumus kiberdrošības risku pārvaldībai. Gadījumā, ja subjekti neievēro NIS2 direktīvā noteiktās drošības prasības, Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam ir tiesības veikt dažādas izpildes darbības, piemēram, izdot brīdinājumu, saistošus norādījumus, uzdot izbeigt konkrētu rīcību vai darbības, novērst prasību neizpildi konkrētā termiņā un papildus vai atsevišķi piemērot arī sankcijas.

Kiberincidentu novēršanas institūcijas, to uzdevumi, tiesības un sadarbība

Likumprojekta 9. pantā ir noteiktas kiberincidentu novēršanas institūcijas, nosakot, ka kiberincidentu novēršanas institūcijas ir institūcijas, kas sniedz atbalstu valsts un pašvaldību institūcijām kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem, un sniedz atbalstu fiziskām un juridiskām personām kiberincidentu novēršanā. Kiberincidentu novēršanas institūciju uzdevumus veic Militārās izlūkošanas  un drošības dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem, savukārt Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām, kā arī privāto tiesību juridiskajām personām. Kiberincidentu novēršanas institūciju uzdevumi un tiesības noteiktas Likumprojekta 10. un 11. pantā. Līdzīgi kā ITDL, arī Likumprojektā noteikta kiberincidentu novēršanas institūciju sadarbība, paredzot, ka kiberincidentu novēršanas institūcijas regulāri savstarpēji apmainās ar informāciju par aktualitātēm kiberincidentu jomā.

Likumprojekta 12. pantā ir noteikti Nacionālā kiberdrošības centra un  Satversmes aizsardzības biroja izdoto lēmumu veidi, paredzot kādos gadījumos Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja lēmums, pieprasījums vai tiesiskais pienākums ir administratīvais akts un kādos gadījumos nav, piemēram, ja lēmuma, pieprasījuma vai tiesiskā pienākuma adresāts ir tiešās vai pastarpinātās pārvaldes iestāde, cita valsts institūcija vai atvasināta publiska persona, tad Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja lēmums, pieprasījums vai tiesiskais pienākums nav administratīvais akts. Tostarp tiek paredzēta izdoto lēmumu, pieprasījumu un tiesisko pienākumu apstrīdēšanas un pārsūdzēšanas kārtība. Attiecībā uz valsts un pašvaldību iestādēm pieņemtie Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja lēmumi nav administratīvie akti un pret valsts un pašvaldību iestādēm nevar veikt administratīvā akta piespiedu izpildi, ņemot vērā to, ka valsts un pašvaldību iestādes nevar būt administratīvā akta adresāti. Vienlaikus skaidrojam, ka Likumprojekta 12. pantā minētie lēmumi, pieprasījumi un tiesiskie pienākumi tādi, kas izriet no Likumprojekta 32. panta desmitajā daļā, 35. panta pirmajā daļā un 43. pantā noteiktā. Attiecīgi, ja Nacionālais kiberdrošības centrs vai Satversmes aizsardzības birojs lūdz sniegt informāciju vai citu pieprasījumu, tas citos gadījumos, ārpus Likumprojektā noteiktā regulējuma, nav uzskatāms par administratīvo aktu.
Savukārt likumprojekta 12. panta trešajā daļā paredzētais mehānisms ieviests ar mērķi nodrošināt, ka tiešās vai pastarpinātās pārvaldes iestādes, citas valsts institūcijas un atvasinātas publiskas personas pilda projektā paredzētos lēmumus, pieprasījumus un tiesiskos pienākums.

Likumprojekta 13. pantā noteikta kompetento institūciju sadarbība, nosakot sadarbības mehānismu starp Nacionālo kiberdrošības centru, Satversmes aizsardzības biroju un kiberincidentu novēršanas institūcijām, kā arī kiberincidentu novēršanas institūciju sadarbību ar Latvijas Banku, Sabiedrisko pakalpojumu regulēšanas komisiju, Civilās aviācijas aģentūru, Datu valsts inspekciju u.c. institūcijām.

Likumprojekta 14. pantā ir noteikta kārtība, kādā Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un kiberincidentu novēršanas institūcijas sadarbojas un sniedz savstarpēju palīdzību atbilstoši NIS2 direktīvas 37. pantā ietvertajam regulējumam. Ja būtisko pakalpojumu sniedzējs vai svarīgo pakalpojumu sniedzējs sniedz pakalpojumus vairāk nekā vienā ES dalībvalstī vai sniedz pakalpojumus vienā vai vairākās ES dalībvalstīs, kā arī tās tīklu un informācijas sistēmas atrodas vienā vai vairākās citās ES dalībvalstīs, tad šo attiecīgo ES dalībvalstu kompetentās institūcijas nepieciešamības gadījumā sadarbojas un sniedz cita citai savstarpēju palīdzību. Sadarbība īstenojot savstarpējas palīdzības sniegšanu ietver lūgumu, lai cita ES dalībvalsts kompetentā institūcija veic uzraudzības vai izpildes panākšanas pasākumus, kā arī pieprasījums veikt klātienes pārbaudes vai attālinātu pārraudzību. Savukārt Likumprojekta 15. pantā ir noteikts, ka subjektu, valsts un pašvaldību institūciju un privāto tiesību juridisko personu pienākums ir sadarboties ar kiberincidentu novēršanas institūcijām, Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.

Likumprojekta 16. pantā noteikts, ka Nacionālā kibedrošības padome ir koleģiāla institūcija, kas izveidota ar mērķi, lai koordinētu ar informācijas tehnoloģiju drošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu. Nacionālo informācijas tehnoloģiju drošības padomi izveido Ministru Prezidents un tās darbību nodrošina vadošā valsts pārvaldes iestāde aizsardzības nozarē. Likumprojektā ir precizēts ITDL ietvertais Nacionālās informācijas tehnoloģiju drošības padomes nosaukums, padomes nosaukumu salāgojot ar Likumprojektā ietverto terminoloģiju. Attiecīgi Likumprojektā vārdi “informācijas un komunikāciju tehnoloģijas” un “informācijas tehnoloģiju drošība” tiek aizstāts ar vārdu “kiberdrošība”, līdzīgi kā mainās Likumprojekta nosaukums pret pašreiz spēkā esošo ITDL.

NIS2 direktīvas subjektu identifikācija

Būtisko pakalpojumu sniedzēji ir ietverti Likumprojekta 18. pantā, savukārt svarīgo pakalpojumu sniedzēji ir ietverti Likumprojekta 19. pantā. Papildus NIS2 direktīvā ietvertajām būtiskajām un svarīgajām vienībām, kas ietvertas NIS2 direktīvas I un II pielikumā un attiecīgi Likumprojektā norādītas 18. un 19. pantā, tiek paplašināts NIS2 direktīvas tvērums, papildus nacionālajā tiesiskajā regulējumā kā svarīgo pakalpojumu sniedzēju ietverot arī apsardzes pakalpojumu sniedzējus. Šo pakalpojumu sniedzēju iekļaušana Likumprojekta 19. pantā pamatojama ar to, ka apsardzes kompānijas sniedz savus pakalpojumus valsts un pašvaldības iestādēm, tostarp arī informācijas un komunikācijas kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, līdz ar to, tas skar valsts drošību un var potenciāli radīt draudus nacionālajai drošībai, tāpēc apsardzes pakalpojumu sniedzējiem ir jāatbilst Likumprojektā noteiktajām drošības prasībām.

Savukārt Likumprojekta subjektu loka paplašināšana ārpus NIS2 direktīvas tvēruma likumprojekta 19. panta otrajā daļā, iekļaujot izglītības informācijas sistēmu uzturētājus, ir pamatojama ar nepieciešamību nacionāli stiprināt informācijas sistēmu kiberdrošību un kibernoturību. Izglītības informācijas sistēmās cita starpā tiek apstrādāti nepilngadīgu personu dati, kuriem saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) preambulas 38. punktu pienākas īpaša personas datu aizsardzība. Aizsardzības ministrijas vērtējumā izglītības informācijas sistēmas ir īpaši pakļautas kiberriskiem un samērā bieži kļūst par kiberuzbrukumu mērķi. Pašlaik Latvijā izglītības informācijas sistēmām nav noteiktas konkrētas kiberdrošības prasības, kā arī nav vienotas iestādes vai institūcijas, kas pārraudzītu šo sistēmu kiberdrošību. Tādējādi, lai mazinātu kiberapdraudējumu izglītības informācijas sistēmām, Likumprojekts paredz, ka šo sistēmu uzturētāji tiek uzskatīti par svarīgo pakalpojumu sniedzējiem, un uz tiem attiecas šajā likumā un tam pakārtotajos Ministru kabineta noteikumos noteiktās kiberdrošības prasības, kuru izpildi Likumprojektā noteiktajā kārtībā uzraudzīs Nacionālais kiberdošības centrs.

Gadījumā, ja attiecībā uz pakalpojuma sniedzēju vienlaicīgi izpildās būtisko pakalpojumu sniedzēja un svarīgo pakalpojumu sniedzēja pazīmes, šāds pakalpojuma sniedzējs šā Likumprojekta izpratnē uzskatāms par būtisko pakalpojumu sniedzēju. Piemēram, valsts dibināta augstskola, kas vienlaikus ir atvasināta publiska persona un izglītības informācijas sistēmas uzturētājs, šā Likumprojekta izpratnē uzskatāma par būtisko pakalpojumu sniedzēju, savukārt šīs augstskolas dibinātās pastarpinātās pārvaldes iestādes (piemēram, zinātniskie institūti), kā arī subjekti, kas uztur augstskolas izglītības informācijas sistēmas (piemēram, privāto tiesību juridiskā persona - izglītības informācijas sistēmas ārpakalpojuma sniedzējs), uzskatāmi par svarīgo pakalpojumu sniedzējiem.

Likumprojekta 20. panta pirmā daļa paredz, ka pakalpojumu sniedzēji veic pašizvērtējumu, nosakot savu atbilstību būtiska pakalpojuma sniedzēja vai svarīga pakalpojuma sniedzēja statusam, par to informē Nacionālo kiberdrošības centru, iesniedzot informāciju par pakalpojuma sniedzēja nosaukumu, adresi, kontaktpersonu, interneta protokola adresēm, tautsaimniecības nozarēm, kurās veic saimniecisko darbību, un sniegto pakalpojumu būtību, kā arī norādot citas valstis, kurās pakalpojumu sniedzējs sniedz pakalpojumus. Likumprojekta 20. panta pirmās daļas 1. punktā un Likumprojekta 23. panta otrajā daļā ir paredzēta prasība norādīt personas kodu, kas nepieciešams tāpēc, lai izpildītu uz Aizsardzības ministriju (Nacionālo kiberdrošības centru) attiecināmu tiesisko pienākumu, saistībā ar administratīvo aktu izdošanu. Savukārt, Satversmes aizsardzības birojam attiecībā uz IKT kritisko infrastruktūru personas koda norādīšana ir nepieciešama, lai precīzi identificētu fizisko personu un varētu veikt tās pārbaudi, kas ir tieši kontekstā ar Likumprojekta  23. pantā noteikto kiberdrošības pārvaldnieka noteikšanu attiecīgajā subjektā.

Savukārt, Likumprojekta 20. panta trešajā daļā noteikts, ka Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina būtisko un svarīgo pakalpojumu sniedzēju sarakstu. Vienlaikus Likumprojekts paredz, ka gadījumā, ja persona par savu atbilstību būtisko vai svarīgo pakalpojumu sniedzēja statusam noteiktajā termiņā nav paziņojusi Nacionālajam kiberdrošības centram, bet Nacionālā kiberdrošības centra rīcībā esošā informācija ir pietiekama, Digitālās drošības uzraudzības komiteja pēc Nacionālā kiberdrošības centra ierosinājuma, iekļauj attiecīgo personu būtisko vai svarīgo pakalpojumu sniedzēju sarakstā un par to rakstveidā informē attiecīgo personu. Šādā gadījumā personai, kas pēc Nacionālā kiberdrošības centra ierosinājuma, ir iekļauta būtisko vai svarīgo pakalpojumu sniedzēju sarakstā, ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā no paziņošanas brīža, paziņot Nacionālajam kiberdrošības centram Likumprojekta 20. panta pirmajā daļā minēto informāciju. Būtisko un svarīgo pakalpojumu sniedzēju saraksts tiek pārskatīts vismaz reizi divos gados un Nacionālais kiberdrošības centrs nodrošina apkopotas informācijas par būtisko un svarīgo pakalpojumu sniedzēju skaitu, darbības jomām, kā arī sniegtajiem pakalpojumiem, iesniegšanu Eiropas Komisijai, NIS sadarbības grupai vai pēc pieprasījuma - citām kompetentām ES institūcijām. 

Ņemot vērā to, ka domēnu vārdu reģistrācijas pakalpojumu sniedzēji saskaņā ar NIS2 direktīvu ir ietverti NIS2 direktīvas subjektu lokā, vienlaikus tiem nav piemērojami ne uzraudzības pasākumi, ne sodīšanas mehānisma piemērošana, Likumprojekta 21. pantā ir noteikts, ka domēnu vārdu reģistrācijas pakalpojumu sniedzējs, kura lēmumi saistībā ar kiberdrošību tiek pieņemti Latvijas Republikā vai, kuram Latvijas Republikā ir vislielākais darbinieku skaits, atbilstības gadījumā noteiktā termiņā iesniedz paziņojumu Nacionālajam kiberdrošības centram, kurā norāda personas nosaukumu, juridisko statusu un saimnieciskās darbības formu, reģistrācijas numuru, juridisko adresi, kontaktinformāciju, informāciju par personas darbības jomu u.c. informāciju, kas detalizēti uzskaitīta Likumprojekta 21. panta pirmās daļas apakšpunktos. Līdzīgi kā Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina būtisko un svarīgo pakalpojumu sniedzēju sarakstu, Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina domēnu vārdu reģistrācijas pakalpojumu sniedzēju sarakstu. Gadījumā, ja persona par savu atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam noteiktajā termiņā nav paziņojusi Nacionālajam kiberdrošības centram, bet tā rīcībā esošā informācija ir pietiekama, lai varētu noteikt attiecīgās personas atbilstību domēnu vārdu reģistrācijas pakalpojumu sniedzēja statusam, Digitālās drošības uzraudzības komiteja pēc Nacionālā kiberdrošības centra ierosinājuma iekļauj attiecīgo personu domēnu vārdu reģistrācijas pakalpojumu sniedzēju sarakstā, par ko rakstveidā paziņo attiecīgajai personai. Šādā gadījumā domēnu vārdu reģistrācijas pakalpojumu sniedzējam ir pienākums nekavējoties, bet ne vēlāk kā mēneša laikā no paziņošanas brīža, paziņot Nacionālajam kiberdrošības centram Likumprojekta 21. panta pirmajā daļā minēto informāciju. Likumprojekta 21. panta sestajā daļā paredzēts, ka prasības domēnu nosaukumu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra uzturētājam un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem nosaka Ministru kabineta noteikumos par augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam izvirzāmām prasībām un tā atzīšanas kārtību.

Subjektu kiberdrošības pārvaldība

NIS2 direktīvas 20. panta 1. punktā noteikts, ka dalībvalstis nodrošina, ka būtisku un svarīgu vienību pārvaldes struktūras apstiprina kiberdrošības risku pārvaldības pasākumus, ko minētās vienības veikušas, lai izpildītu NIS2 direktīvas 21. panta prasības, pārrauga to īstenošanu, un no tām var prasīt atbildību par to, ka vienības ir pārkāpušas minēto pantu. Attiecīgi Likumprojekta 23. pantā noteikta subjekta vadītāja un kiberdrošības pārvaldnieka kompetence, paredzot, ka subjekta kiberdrošības pārvaldību  nodrošina un par to atbild subjekta vadītājs un katra subjekta vadītājs nosaka atbildīgo personu, kura īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā. Prasības kiberdrošības pārvaldniekam noteiks Ministru kabinets. Likumprojekts vienlaikus paredz prasību, ka subjektam par kiberdrošības pārvaldnieka noteikšanu noteiktā termiņā ir jāpaziņo Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam. Informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka kiberdrošības pārvaldnieku pēc saskaņošanas ar Satversmes aizsardzības biroju, kas veic kiberdrošības pārvaldnieka atbilstības izvirzītajām prasībām pārbaudi. Kiberdrošības pārvaldnieks subjektā organizē institūcijas informācijas un komunikācijas tehnoloģiju infrastruktūras drošības pasākumus, veic informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši pārbaudes rezultātiem, organizē konstatēto trūkumu novēršanu, apmeklē kiberincidentu novēršanas institūcijas organizētās apmācības kiberdrošības jautājumos, kā arī veic institūcijā/ subjektā nodarbināto instruktāžu par aktuālajiem kiberriskiem un kiberdrošību.

Lai noteiktu minimālās kiberdrošības prasības subjektiem un kārtību, kādā subjekti nodrošina savu informācijas un komunikācijas tehnoloģiju sistēmu atbilstību minimālajām kiberdrošības prasībām, Likumprojekta 24. pantā ir ietverts deleģējums Ministru kabineta noteikumu izstrādei. Ņemot vērā minēto, tiek veikti apjomīgi grozījumi pašreiz spēkā esošajos Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", kas veicamo grozījumu apjoma dēļ aizstās pašreiz spēkā esošos noteikumus.

Likumprojekta 25. pantā ir noteikti subjekta pienākumi kiberapdraudējuma pārvaldības jomā, nosakot, ka subjekts veic piemērotus un samērīgus tehniskus un organizatoriskus pasākumus, lai atbilstīgi pārvarētu informācijas un komunikācijas tehnoloģiju tīklu un pakalpojumu kiberapdraudējumus kā tas noteikts NIS2 direktīvas 32. panta 1. punktā. Skaidrojam, ka minimālās kiberdrošības prasības attiecas tikai uz būtisko un svarīgo pakalpojumu sniedzējiem, savukārt informācijas un komunikācijas tehnoloģiju prasības ir attiecināmas uz visām jomām.

Savukārt Likumprojekta 26. pantā paredzēts, ka subjekts sastāda kiberrisku pārvaldības un darbības nepārtrauktības plānu, tajā norādot tehniskos un organizatoriskos pasākumus kiberapdraudējuma pārvarēšanai. Attiecībā uz agrās brīdināšanas sensoriem, datu centru kiberdrošību, kā arī aizsardzību pret pakalpojumatteices kiberuzbrukumiem, Likumprojekta 27., 28. un 29. pantā noteikts deleģējums Ministru kabinetam noteikt kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā; noteikt datu centru drošības prasības, valsts informācijas un komunikācijas tehnoloģiju sistēmu izvietošanas noteikumus datu centros un kiberdrošības operāciju centru izveides un darbības noteikumus datu centros, kā arī; noteikt prasības informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu aizsardzībai pret pakalpojumatteices kiberuzbrukumiem.

Likumprojektā ietverts termina “datu centrs” skaidrojums, nosakot, ka datu centrs ir telpa vai telpu komplekss, kas paredzēts informācijas tehnoloģiju un tīkla iekārtu centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas nodrošina datu uzglabāšanas, apstrādes un pārsūtīšanas (transportēšanas) pakalpojumus, kā arī visas iekārtas un infrastruktūras elektroenerģijas sadalei un klimata kontrolei. Tiek plānots veidot datu centrus un izstrādāt datu centru drošības prasību gradāciju, tādējādi veidojot daļēji centralizētu IKT pārvaldības modeli, kas paredz IKT koplietošanas pakalpojumu nodrošināšanu ar vairāku specializētu datu centru – koplietošanas pakalpojumu sniedzēju – palīdzību. Plānots veidot četrus koplietošanas datu centrus (Zemkopības ministrija, Latvijas valsts radio un televīzijas centrs, Bibliotēka un Iekšlietu ministrijas informācijas centrs), kuros tiks apvienoti vairāku valsts un pašvaldības iestāžu datu centri un to pakalpojumu grozu komponentes, t.i., žurnālfailus, datu plūsmas, serveru veiktspējas datu un drošības prasību uzraudzība.

Valsts un pašvaldības iestādes varēs nogādāt savus serverus datu centrā un daļu atbildības par serveri nodot datu centram. Tāpat tiks nodrošināti un būs pieejami dažādu līmeņu virtualizācijas pakalpojumi, iestādes varēs izvēlēties, kas tām tiek nodrošināts centralizēti, un par ko turpinās rūpēties iestādes administratori. Datu centru un citu datu centru, kur tiek uzturēti valsts un pašvaldību IKT resursi, drošības līmeņiem un tiem atbilstošām drošības prasībām. Datu centros izvietotie IKT resursi – informācijas sistēmas, reģistri, datu bāzes ir dažāda rakstura, sākot ar dokumentu un resursu vadības sistēmām un informatīvajām mājaslapām, līdz plaši izmantojamiem e-pakalpojumiem, kas var kļūt par kiberuzbrukumu mērķi, vai kritiski nozīmīgiem reģistriem, kuru datu kompromitēšana var radīt plašas un iespējams pat neatgriezeniskas sekas.

Ņemot vērā minēto, uzskatām, ka nepieciešams definēt datu centru organizatorisko un tehnisko kritēriju kopumu, tostarp arī minimālās drošības prasības, kādām jāatbilst datu centriem, lai nodrošinātu spēju aizsargāt tajos izvietotos resursus. Vienlaikus norādām, ka datu centru veidošana un drošības prasību gradācijas izstrāde neierobežos valsts pārvaldes iestāžu un kapitālsabiedrību iespējas izvēlēties savām vajadzībām vispiemērotāko datu glabāšanas risinājumu, tai skaitā arī, piemēram, izvietot valsts IKT kādā no privātajiem datu centriem ar nosacījumu, ka šis centrs ievērto tam noteiktās drošības prasības, un tā piedāvājums ir konkurētspējīgs.

Līdz ar datu centru izveidi, lai valstī veidotu visaptverošu, centralizētu kiberdrošības stiprināšanas modeli, nepieciešams paredzēt CERT.LV operacionālo šūnu jeb Security Operations Centre (SOC) integrēšanu katrā no plānotajiem datu centriem. Tas savukārt datu centros nodrošinātu mūsdienu izaicinājumiem atbilstošas apdraudējumu monitoringa, reaģēšanas, izmeklēšanas un apdraudējumu identificēšanas (threat hunt) spējas. Tas praktiski nozīmētu to, ka katrā no datu centriem darbotos ekspertu komanda, kura uzraudzītu iestāžu apmaiņas plūsmu, tai skaitā, monitorētu, analizētu un reaģētu uz drošības apdraudējumiem un uzbrukumiem, kuri vērsti pret datu centra infrastruktūru vai konkrētajām iestādēm. CERT.LV operacionālo šūnu jeb drošības operāciju centra izveidošana katrā no datu centriem nodrošinās daļēji centralizētu valsts pārvaldes iestāžu IKT sistēmu kiberdrošības uzraudzības modeli.

Tāpat Likumprojektā tiek skaidrots termins - pakalpojumatteices kiberuzbrukums, nosakot, ka tas ir uzbrukums, kas tiek izdarīts pret pakalpojuma sniedzēja infrastruktūru ar mērķi negatīvi ietekmēt pakalpojuma pieejamību. Šāda veida uzbrukums var būt izraisīts ar daudziem faktoriem, tostarp pārslogotību, vīrusiem, kā arī citām kaitīgām darbībām. Pakalpojumatteices uzbrukumi var radīt nopietnas sekas uz uzņēmuma reputāciju, kā arī radīt finansiālus zaudējumus, tāpēc ir svarīgi, lai uzņēmumi veic atbilstīgus drošības pasākumus, lai novērstu šāda veida uzbrukumus. Likumprojekta 30. pantā noteikts vienotā valsts interneta apmaiņas punkta izveides mērķis. Paredzēts, ka Ministru kabinets nosaka vienotā valsts interneta plūsmu apmaiņas punkta darbības un pakalpojumu sniegšanas un saņemšanas kārtību, kritērijus valsts un pašvaldību institūciju  un subjektu iekļaušanai vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā, kā arī valsts un pašvaldību institūcijas un subjektus, kuriem ir noteikta prasība datu plūsmu nepastarpināti virzīt caur vienoto valsts interneta plūsmu apmaiņas punktu.

Vienlaikus, Likumprojekta 31. pantā ir paredzēts deleģējums Ministru kabineta noteikumu izstrādei, kurā tiks noteikti kiberhigiēnas pasākumu pamatelementi un prasības kiberhigiēnas pasākumu īstenošanai valsts un pašvaldību institūcijām, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes.

Rīcība kiberincidenta gadījumā

ITDL 6. pantā noteikta rīcība informācijas tehnoloģiju drošības incidenta gadījumā. Atšķirībā no ITDL, Likumprojektā ir nodalīta subjekta rīcība no kiberincidentu novēršanas institūcijas rīcības kiberincidenta gadījumā, tādējādi padarot uzskatāmākus pasākumus, kuri veicami kiberincidenta gadījumā. Likumprojekta 32. pantā noteikta subjekta rīcība kiberincidenta gadījumā, paredzot, ka konstatējot kiberincidentu, subjekts nekavējoties veic visas kiberincidenta novēršanai nepieciešamās darbības un nekavējoši informē par kiberincidentu kompetento kiberincidentu novēršanas institūciju, kā arī izpilda tās sniegtās rekomendācijas par rīcību kiberincidenta gadījumā. Likumprojektā attiecīgi tiek saglabāts identisks formulējums, kas nosaka, ka Likumprojekta tvērumā esošajiem subjektiem ziņošanas pienākums ir obligāts. Līdzšinējā praksē gan ITDL, gan Likumprojekta subjektiem ziņošana par jebkuru incidentu bijusi obligāta, savukārt personām, kas nav ITDL un Likumprojekta subjekti ziņošana ir brīvprātīga. Uzskatām, ka līdzšinējo praksi nav nepieciešams mainīt un tā saglabājama arī Likumprojektā.Vienlaikus, lai noteiktu saprātīgu slieksni un mazinātu administratīvo slogu kiberincidentu novēršanas institūcijai, Likumprojekta 32. panta pirmajā daļā paredzēts deleģējums Ministru kabinetam noteikt kārtību, kādā informē par kiberincidentu un paredzēt kritērijus, par kādiem kiberincidentiem ir jāinformē par kiberincidentu kompetento kiberincidentu novēršanas institūciju.

Likumprojekts paredz, ka subjektam četru stundu laikā pēc tam, kad ir konstatēts nozīmīgs kiberincidents, vai tiklīdz tas kļuvis iespējams, elektroniski ir jāiesniedz kompetentajai kiberincidentu novēršanas institūcijai ziņojumu par kiberincidenta novēršanu. Mēneša laikā pēc sākotnējā ziņojuma iesniegšanas par nozīmīgu kiberincidentu vai nozīmīga kiberincidenta novēršanas, subjektam mēneša laikā ir elektroniski jāiesniedz kompetentajai kiberincidentu novēršanas institūcijai ziņojumu par kiberincidenta novēršanu.

Likumprojekta 34. pantā noteikts kā tiek nodrošināta nozīmīgu kiberincidentu un krīžu vadība. Nozīmīgu kiberincidentu un krīžu vadības mērķus un kārtību nosaka Nacionālajā kiberincidentu krīzes vadības plānā, kuru apstiprina Ministru kabinets. Nacionālajā kiberincidentu krīzes vadības plānā iekļauj:
1) Nacionālā kiberdrošības centra, kiberincidentu novēršanas institūciju un valsts drošības iestāžu uzdevumus, pienākumus un savstarpējo sadarbības mehānismu;
2) ar Nacionālā kiberincidentu krīzes vadības plāna īstenošanu saistītas apmācību aktivitātes un izspēli mācību scenārijos;
3) sadarbības ietvaru ar ārvalstu un starptautiskajiem partneriem;
4) sadarbības ietvaru ar valsts un pašvaldību iestādēm, kā arī privātā sektora pārstāvjiem, uz ko potenciāli attiektos arī nozīmīga kiberincidenta ietekme.

Likumprojekta 35. pantā ir atsevišķi nodalītas un noteiktas ierobežojošās darbības kiberincidenta gadījumā, paredzot, ja kiberincidents nozīmīgi apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un kiberincidentu nav iespējams novērst citā veidā, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgs pieņemt vienu no šādiem lēmumiem:         
1) atslēgt vai ierobežot piekļuvi kiberincidentā iesaistītajam augstākā līmeņa domēna ".lv" vārdam;,         
2) ierobežot piekļuvi kiberincidentā iesaistītajai interneta protokola (IP) adresei;,         
3) ierobežot piekļuvi kiberincidentā iesaistītajai mobilo platformu lietotnei vai;,         
4) veikt izmaiņas domēna vārdu sistēmas ierakstos.

Likumprojekta 35. panta desmitajā daļā noteikts, ka pēc Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja pieprasījuma ne ilgāk kā uz piecām dienām slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasījumā norāda kiberapdraudējumu, piekļuves ierobežojuma ilgumu un, ja nepieciešams, citas papildu darbības, kas veicamas elektronisko sakaru komersantam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru). Vienlaikus norādām, ka spēkā esošajā ITDL ir noteikts, ka valsts un pašvaldību institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs drošības incidenta gadījumā nekavējoties veic visas tā novēršanai nepieciešamās darbības (īpaši izpilda Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī tūlīt informē par notikušo kompetento Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā.

Vēršam uzmanību, ka iepriekš attiecīgais lēmums attiecībā uz Likumprojekta 35. panta pirmo daļu tiek pieņemts, ja galalietotāja iekārta veic aktīvus uzbrukumus, kas ietekmē cietušo pieejamību, integritāti, autentiskumu vai konfidencialitāti un citādāk nav iespējams šo apdraudējumu apturēt.

Nacionālajam kiberdrošības centram jāiesniedz Eiropas Komisijā un Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā (CyCLONe) informāciju par Nacionālo kibeincidentu krīzes vadības plānu. Likumprojekta 35. panta trešajā daļā ir noteikts, ka Nacionālā kiberdrošības centra vai Satversmes aizsardzības biroja lēmums stājas spēkā tā paziņošanas brīdī. Lēmuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību un izpildi. Šāds tiesiskais regulējums Likumprojektā iekļauts, lai nodrošinātu iespēju nekavējoties novērst tūlītēju kaitējumu, ko rada vai var radīt kiberincidents. Lēmuma darbības vai izpildes apturēšana var radīt nesamērīgu kaitējuma risku vitāli svarīgām valsts un sabiedrības drošības interesēm un nebūtu pieļaujama. Jāuzsver, ka pretstatā ITDL ietvertajam regulējumam, Likumprojekts neparedz atsevišķi izdalīt rīcību informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumos un termins “drošības nepilnība” Likumprojektā netiek ietverts un lietots. Tas pamatojams ar to, ka izstrādājot Likumprojektu tika konstatēts, ka termins “drošības nepilnība”, kas ir definēts ITDL ir daļa no termina “ievainojamība”, kas savukārt tiek skaidrots Likumprojektā. NIS2 direktīvas 6. panta 15. apakšpunktā skaidrots, ka “ievainojamība” ir IKT produktu vai pakalpojumu vājums, uzņēmība pret tehniskām problēmām vai nepilnība, ko var izmantot kiberdraudiem. Ņemot vērā norādīto, Likumprojekta 1. panta 7. punktā  arī ietverts līdzīgs termina “ievainojamība” skaidrojums, kas ietver arī terminu "drošības nepilnības". 

Likumprojekta 36. pantā noteikta kiberincidentu un kiberuzbrukumu attiecināšana, paredzot, ka Ministru kabinets nosaka kārtību un kritērijus, kādā Latvija veic kiberincidentu un kiberuzbrukumu attiecināšanu. Attiecināšana ir nacionāls lēmums par atbildīgā noteikšanu kiberincidenta vai kiberuzbrukuma veikšanā. Lēmums par attiecināšanu tiek pieņemts, analizējot noteiktu pazīmju kopumu. Attiecināšana tiek veikta ar mērķi novērst, apturēt kiberincidentu vai kiberuzbrukumu vai mazināt  to negatīvās sekas. Pievienošanās citas valsts, ES, NATO vai citas starptautiskas organizācijas iniciētai kiberincidenta vai kiberuzbrukuma attiecināšanai var kalpot kā solidaritātes apliecinājums un nodot signālu kiberincidenta vai kiberuzbrukuma īstenotājam par veikto darbību konstatēšanu un nepieciešamību ievērot valstu atbildīgu uzvedību kibertelpā. Pēc Ministru kabineta instrukcijas projekta izstrādes varētu būt nepieciešams lemt par papildus finansējumu piešķiršanu atbildīgajām iestādēm instrukcijas projektā noteikto papildus funkciju īstenošanai.

Likumprojekta 37. un 38. pantā noteikta koordinēta ievainojamību atklāšana un novēršana. Tiek noteikts, ja persona piekļūstot informācijas sistēmai vai elektronisko sakaru tīklam, tajā konstatē ievainojamību, tā nekavējoties, bet ne vēlāk kā piecu darba dienu laikā iesniedz ievainojamības atklāšanas ziņojumu kompetentajai kiberincidentu novēršanas institūcijai. Kompetentā kibeincidentu novēršanas institūcija apstiprina ievainojamības atklāšanas ziņojuma saņemšanu un tajā ietverto informāciju. Ja iesniegtā informācija kiberincidentu novēršanas institūcijas vērtējumā ir pamatota, tā nekavējoties par to informē attiecīgo subjektu. Subjekts kompetentās kiberincidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā no  informācijas saņemšanas brīža, veic ievainojamības novēršanai nepieciešamās darbības un par ievainojamības novēršanu informē kompetento kiberincidentu novēršanas institūciju. Ar Likumprojekta 37. panta piektajā ietvertajām kompetentās kiberincidentu novēršanas institūcijas pilnvarām noteikt nosacījumus, kārtību un apjomu, kādā var tikt izpausta informācija par atklāto ievainojamību saprotama norādījumu sniegšana konkrētā situācijā noteiktiem subjektiem un ievainojamības atklāšanas ziņojuma iesniedzējam (ievainojamības atklājējam).

Vienlaikus skaidrojam, ka Likumprojekta 37. panta otrajā daļā ir norādīts, ievainojamības atklāšanas ziņojumā iekļaujamās informācijas saturs, paredzot, ka tajā iekļauj ievainojamības konstatēšanas datumu un laiku, ja tas ir iespējams; informāciju par informācijas sistēmu vai elektronisko sakara tīklu, kurā konstatēta ievainojamība; ievainojamības aprakstu; ievainojamības konstatēšanai izmantotās metodoloģijas vai veikto darbību secības aprakstu; ievainojamības atklāšanas ziņojuma iesniedzēja kontaktinformāciju kā arī; citu informāciju, ko ievainojamības atklāšanas ziņojuma iesniedzējs uzskata par nepieciešamu konstatētās ievainojamības identificēšanai un novēršanai.     Vēršam uzmanību, ka ar “citu informāciju” saprotama jebkāda cita informācija, kas varētu būt būtiska saistībā ar konstatēto ievainojamību, kuru persona, kas konstatējusi ievainojamību, uzskata par nepieciešamu (bez jau uzskaitītās), lai to iekļautu/ norādītu ievainojamības atklāšanas ziņojumā.

Subjektu uzraudzība

NIS2 direktīvas 32. pantā un 33. pantā noteikti uzraudzības un izpildes panākšanas pasākumi attiecībā uz būtiskajām un svarīgām vienībām, nosakot, ka dalībvalstis nodrošina, ka uzraudzības vai izpildes panākšanas pasākumi, kas noteikti būtiskajām un svarīgām vienībām attiecībā uz NIS2 direktīvā noteiktajiem pienākumiem, ir iedarbīgi, samērīgi un atturoši, ņemot vērā katra atsevišķa gadījuma apstākļus.

Likumprojekta 40. pantā noteikts, ka subjekta uzraudzība ietver kiberdrošības prasību ievērošanas kontroli, IKT klātienes pārbaudes un attālinātu pārraudzību, dokumentācijas pārbaudes, tostarp attiecībā uz risku vadību un auditos konstatēto nepilnību novēršanu. Likumprojekta 39. pantā tiek noteikts uzraugošo iestāžu dalījums paredzot, ka subjektu uzraudzību veic Nacionālais kiberdrošības centrs attiecībā uz būtisko un svarīgo pakalpojumu sniedzējiem, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru un Satversmes aizsardzības birojs attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru. Likumprojekta 41. pants paredz, ka subjekts izstrādā atbilstības ikgadējo pašnovērtējuma ziņojumu, kuru līdz kārtējā gada 1. jūlijam atbilstoši Likumprojekta 39. pantā noteiktajam subjektu uzraudzības dalījumam, iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam.

Likumprojekta 42. pantā paredzēts, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi veikt subjekta auditu vai uzdot subjektam veikt ārēju auditu par subjekta atbilstību Likumprojekta un Ministru kabineta noteiktajām kiberdrošības prasībām. Ārēju auditu veic neatkarīgs kiberdrošības auditors, kuram ar subjektu nav interešu konflikta, un kurš ir reģistrēts Digitālās drošības uzraudzības komitejas apstiprinātajā kiberdrošības auditoru sarakstā. Ārēju auditu IKT kritiskajā infrastruktūrā veic ar Satversmes aizsardzības biroju saskaņots kiberdrošības auditors. Likumprojekts paredz, ka ārējā audita izmaksas sedz attiecīgais subjekts un auditā konstatētos pārkāpumus novērš attiecīgais subjekts.

NIS2 direktīvas 32. pantā noteikts, ka “mērķtiecīgo drošības revīziju pamatā ir riska novērtējumi, ko veic kompetentā iestāde vai revidētā vienība, vai cita ar risku saistīta pieejamā informācija. Ikvienas mērķtiecīgās drošības revīzijas rezultātus dara pieejamus kompetentajai iestādei. Šādas neatkarīgas struktūrasveiktas mērķtiecīgas drošības revīzijas izmaksas sedz revidētā vienība, izņemot pienācīgi pamatotus gadījumus, kad kompetentā iestāde nolemj citādi.” Līdz ar to Likumprojektā netiek paredzēti gadījumi, kad ārējā audita izmaksas subjektam nav jāsedz.

Neatbilstību konstatēšanas gadījumā, atbilstoši Likumprojekta 43. pantā noteiktajam, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši likumprojekta 39. pantā noteiktajam uzraudzības dalījumam ir tiesīgi izteikt subjektam brīdinājumu vai attiecīgi uzdot subjektam veikt kādu no šādām darbībām:
1) veikt noteiktas darbības neatbilstības novēršanai;
2) nekavējoties pārtraukt un turpmāk nepieļaut rīcību, kas pārkāpj šajā likumprojektā noteikto;
3) informēt pakalpojumu saņēmējus vai publicēt informāciju par kiberapdraudējumu, tā veidu un apmēru, kā arī tā novēršanai un mazināšanai nepieciešamajām darbībām;
4) informēt pakalpojumu saņēmējus vai publicēt informāciju par konstatētajiem subjekta pārkāpumiem;
5) apturēt subjekta informācijas sistēmas, resursa vai e-pakalpojuma darbību līdz konstatētās neatbilstības novēršanai vai;
6) apturēt IKT produkta tirdzniecību vai pakalpojuma sniegšanu līdz konstatētās neatbilstības novēršanai.
Tiek noteikts, ka subjekts bez nepamatotas kavēšanās veic visus nepieciešamos, piemērotos un samērīgos pasākumus neatbilstību novēršanai, tostarp pilda Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja norādījumus.

Prasība noteikt konkrētus uzraudzības un izpildes panākšanas pasākumus attiecībā uz vienībām izriet no NIS2 direktīvas 32. panta, kurā noteikts, ja noteiktie izpildes pasākumi ir neefektīvi, dalībvalstis nodrošina, ka to kompetentajām iestādēm ir pilnvaras noteikt termiņu, līdz kuram vienībai ir jāveic nepieciešamā darbības, lai novērstu konstatētās neatbilstības un izpildītu noteiktās prasības. Ja konstatētā neatbilstība netiek novērsta noteiktajā termiņā, dalībvalstis nodrošina, ka kompetentā iestāde izpilda kādu no Likumprojekta 44. panta pirmajā daļā minētajām pilnvarām. Papildus Likumprojekta 43. panta pirmajā daļā norādītajām darbībām neatbilstības konstatēšanas gadījumā, NIS2 direktīvas 32. panta 5. punktā ir noteikts, ja izrādās, ka izpildes panākšanas pasākumi, kas pieņemti ir neefektīvi, dalībvalstis nodrošina, ka to kompetentajām iestādēm ir pilnvaras noteikt termiņu, līdz kuram būtisko pakalpojumu sniedzējam ir jāveic nepieciešamā rīcība, lai novērstu trūkumus vai izpildītu minēto iestāžu prasības. Ja pieprasītā darbība netiek veikta noteiktajā termiņā, dalībvalstis nodrošina, ka kompetentajām iestādēm ir papildus pilnvaras, tostarp, pieprasīt uz laiku aizliegt jebkurai fiziskai personai, kas ir atbildīga par vadības pienākumu veikšanu galvenās izpildpersonas vai juridiskā pārstāvja līmenī būtiskajā vienībā, veikt vadības un pārstāvības funkcijas šajā vienībā.

Likumprojekta 43. panta piektajā daļā ir noteikts, ja neatbilstība konstatēta subjektā, kas ir būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam var aizliegt jebkurai fiziskai personai, kas ir atbildīga par vadības pienākumu veikšanu galvenās izpildpersonas vai juridiskā pārstāvja līmenī subjektā, kas ir būtisko pakalpojumu sniedzējs vai informācijas un komunikācijas tehnoloģiju kritiskajā infrastruktūras īpašnieks vai tiesiskais valdītājs, veikt vadības un pārstāvniecības funkcijas attiecīgajā subjektā. Ņemot vērā iepriekš norādīto, Likumprojekta 43. panta astotajā daļā ir noteikts, ka Likumprojekta 43. panta piektās daļas 3. punktā minēto aizliegumu nepiemēro svarīgo pakalpojumu sniedzējiem, kuri nav informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, kas izriet no NIS2 direktīvas 32. panta 5. punkta.

Likumprojekta 43. panta sestajā daļā ietverts regulējums, kas nosaka, ka izlemjot par jebkuru no Likumprojekta 43. panta pirmajā  vai piektajā daļā minētajiem izpildes panākšanas pasākumiem, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ņem vērā apsvērumus kas uzskaitīti Likumprojekta 43. panta sestajā daļā un izriet no NIS2 direktīvas 32. panta 7. punkta.
Likumprojekta 43. panta septītā daļa paredz, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs Likumprojekta 43. panta piektās daļas 3. punktā minēto lēmumu nosūta subjektam. Subjektam savukārt kā krietnam un rūpīgam saimniekam ir pienākums par minēto aizliegumu informēt trešās personas un par konstatētajām neatbilstībām subjektā informēt savus sadarbības partnerus, respektīvi, ja ir kāds notiekošs darījums, tad konkrētajam sadarbības partnerim ir par to jāpaziņo un jādara zināmu. Vienlaikus vēršam uzmanību, ka iepriekš minētais subjekta pienākums iziet no Likumprojekta 43. panta pirmajā daļā noteiktā - veikt noteiktas darbības neatbilstības novēršanai, kā arī ziņot Nacionālajam kiberdrošības centram vai Satversmes aizsardzības birojam par neatbilstības novēršanas gaitu. Tāpat no Likumprojekta 43. panta pirmās daļas izriet subjekta pienākums informēt pakalpojumu saņēmējus vai publicēt informāciju par kiberapdraudējumu, tā veidu un apmēru, kā arī tā novēršanai vai mazināšanai nepieciešamajām darbībām un publicēt informāciju par konstatētajiem subjekta pārkāpumiem.
Likumprojekta 43. panta piektās daļas 3. punktā minētais aizliegums tiek piemērots līdz brīdim, kad attiecīgais subjekts veic nepieciešamo darbību, lai novērstu trūkumus vai izpildītu Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja prasības, attiecībā uz kurām šāds izpildes panākšanas pasākums piemērots.
Kad subjekts ir izpildījis saskaņā ar Likumprojekta 43. panta panta pirmo daļu uzliktos tiesiskos pienākumus, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs atbilstoši šā likuma 39. pantā noteiktajam subjektu uzraudzības dalījumam atceļ šā panta piektās daļas 3. punktā minēto aizliegumu.

Šāda prasība izriet no NIS2 direktīvas 32. panta 5. punkta b) apakšpunkta vienlaikus paredzot, ka atstādināšana no amata uz noteiktu laiku netiek piemērota tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātām publiskām personām.
Likumprojekta 44. pantā paredzēta tiesiskā pienākuma piespiedu izpilde, kas paredz, ja tiesiskais pienākums netiek pildīts, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs var veikt tiesiskā pienākuma izpildi piespiedu kārtā ar piespiedu naudas palīdzību Administratīvā procesa likuma noteiktajā kārtībā.

Piespiedu naudu var uzlikt papildus jebkuram no izpildes panākšanas pasākumiem, kas minēti Likumprojekta 43. panta pirmajā daļā un piektajā daļā, kā to nosaka NIS2 direktīvas 34. panta 2. punkts. Vienlaikus Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs izlemjot par piespiedu naudas piemērošanu un piespiedu naudas apmēru ņem vērā Likumprojekta 43. panta sestajā daļā minētos apsvērumus, kas izriet no NIS2 direktīvas 34. panta 3. punkta.
Likumprojektā paredzētais piespiedu naudas apmērs būtisko un svarīgo pakalpojumu sniedzējiem atbilst NIS2 direktīvā paredzētajam soda apmēram būtiskajām un svarīgajām vienībām par NIS2 direktīvas pārkāpumiem. Jāuzsver, ka maksimālais likumprojektā paredzētais piespiedu naudas apmērs (10 miljoni euro vai 2 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem un būtisko pakalpojumu sniedzējiem, un 7 miljoni euro vai 1,4 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē svarīgo pakalpojumu sniedzējiem) atbilst NIS2 direktīvas 34. panta 4. un 5. punktā noteiktajam minimālajam maksimālā soda apmēram. Savukārt piespiedu naudas apmērs fiziskajai personai (subjekta vadītājam vai kiberdrošības pārvaldniekam) ir nosakāms atbilstoši Administratīvā procesa likuma 370. panta trešajā daļā noteiktajam.
Ņemot vērā, ka pret tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātām publiskām personām nevar veikt tiesiskā pienākuma piespiedu izpildi un noteikt piespiedu naudas uzlikšanu, kā arī NIS2 direktīva paredz dalībvalstu rīcības brīvību, nosakot kā tiek veikta neatbilstību novēršana minētajās institūcijās, Likumprojekta 12. panta trešajā daļā ir noteikts deleģējums Ministru kabinetam noteikt kārtību, kādā ziņo par tiešās vai pastarpinātās pārvaldes iestādēm, citām valsts institūcijām un atvasinātām publiskām personām, kuras neveic visus nepieciešamos, piemērotos un samērīgos pasākumus konstatētās neatbilstības novēršanai, kā arī neatbilstības novēršanas kārtību.

Nacionālā kiberdrošības stratēģija

NIS2 direktīvas 7. pantā noteikts, ka katra dalībvalsts pieņem valsts kiberdrošības stratēģiju, kurā nosaka stratēģiskos mērķus, vajadzīgos resursus minēto mērķu sasniegšanai un atbilstīgus rīcībpolitikas un regulatīvus pasākumus, lai sasniegtu un uzturētu augstu kiberdrošības līmeni. Likumprojekta 45. pantā noteikts, ka Nacionālās kiberdrošības stratēģiju reizi četros gados izstrādā Nacionālais kiberdrošības centrs sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un  privātā sektora pārstāvjiem un to apstiprina Ministru kabinets.

Atbilstoši NIS2 direktīvā un Likumprojektā noteiktajam, Nacionālā kiberdrošības stratēģija nosaka:
1) kiberdrošības pārvaldības stratēģiskos mērķus un modeli, kiberdrošības pārvaldībai nepieciešamos resursus;
2) kiberdrošības pārvaldībā iesaistīto valsts pārvaldes iestāžu lomu sadalījumu, kā arī nacionālos un starptautiskos sadarbības mehānismus;
3) valstiski aizsargājamo informācijas un komunikācijas tehnoloģiju un resursu noteikšanas un kiberrisku izvērtēšanas kārtību;
4) kiberincidentu reaģēšanas un novēršanas plānu izstrādes kārtību un prasības, informācijas apmaiņas veidus un sadarbību starp publisko un privāto sektoru, kā arī;
5) pasākumu kopumu sabiedrības digitālo un kiberdrošības prasmju uzlabošanai.

Visbeidzot Likumprojekta 46. pantā ir noteikti personas datu apstrādes kritēriji, kas saistīti ar notikušu vai potenciālu kiberincidentu novēršanu un analīzi kontekstā ar citiem kiberincidentiem, sadarbību ar nacionālajiem un starptautiskajiem partneriem kiberincidentu novēršanā, kā arī iespējamu novēršanas institūciju sadarbību ar  Latvijas Republikas Zemessardzi.

Jāuzsver, ka atbilstoši Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/ 679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – Vispārīgā datu aizsardzības regula) preambulas 16. punktu, Vispārīgā datu aizsardzības regulu nepiemēro tādu personas datu brīvu apriti, kas saistīta ar darbībām, kuras neietilpst ES tiesību darbības, piemēram, darbībām attiecībā uz valsts drošību. Līdz ar to Likumprojektā ietvertā tiesību norma par personu identificējošās informācijas apstrādi, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, ir pamatojama ar Latvijas valsts drošības interesēm un neietilpst Vispārīgās datu aizsardzības regulas tvērumā.

Tāpat jāuzsver, ka kompetentās kiberincidentu novēršanas institūcijas (Militārās izlūkošanas un drošības dienesta struktūrvienība (MilCERT) un CERT.LV) var garantēt īpaši rūpīgu to rīcībā esošo personas datu aizsardzību. Nacionālais tiesiskais regulējums un starptautiskie tiesību akti paredz ļoti stingru regulējumu attiecībā uz klasificētas informācijas, vai jebkādas informācijas, kas saistīta ar valsts drošības iestāžu darbību vai iegūta valsts drošības iestāžu darbības gaitā, aizsardzību.

Vienlaikus skaidrojam, ka Likumprojektā nav iespējams skaidri definēt apstrādājamo datu veidus jeb kategorijas, jo datu veidi atkarīgi no apdraudējuma vai incidenta veida un satura, kā arī no incidentu ziņojumos iekļautās informācijas. Piemēram, CERT.LV apstrādā datus ne tikai gadījumos, kad subjekti, kuriem likuma prasības jāizpilda obligāti ziņo par incidentu, bet arī ziņojumu atsūta trešās personas brīvprātīgi. Attiecīgi tie var būt jebkāda veida dati, kas saistīti ar apdraudējumu vai incidentu. Datu apjoms atkarīgs no apdraudējuma vai incidenta mēroga, savukārt subjektu loks ir visas personas, ko aptver Nacionālais kiberdrošības likums, tai skaitā gan personas, kurām likums uzliek pienākumus, gan personas, kas vēršas pēc palīdzības brīvprātīgi.

Likumprojekta 46. panta pirmajā daļā noteikts, ka  kiberincidentu novēršanas institūcija, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem un apstrādā personu identificējošu informāciju, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, kā arī nodrošinātu saziņu ar iesaistītām personām. Likumprojekta 11. panta pirmās daļas otrajā apakšpunktā savukārt noteikts, ka kiberincidentu novēršanas institūcijām ir tiesības iegūt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tiešsaistes datu plūsmu pēc abpusējas vienošanās kiberapdraudējuma identificēšanai un novēršanai. Līdz ar to ar kiberincidentu novēršanas institūciju tiesību īstenošanu attiecībā uz datu apstrādi, vēršam uzmanību, ka tas ir gadījumos un pēc vienošanās, kad tas ir nepieciešams ar mērķi, lai identificētu vai novērstu kiberapdraudējumu.

Attiecībā uz Likumprojekta 46. panta otro daļu, kurā noteikts, ka kiberincidentu novēršanas institūcija ir tiesīga uzglabāt un analizēt datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par drošības nepilnību, ievainojamību un kiberincidentu, un satur personas datus, skaidrojam, ka Likumprojekta attiecīgā panta otrās daļas redakcija pieļauj datu glabāšanu tikai, ja tā ir noderīga saistītu drošības nepilnību, ievainojamību un kiberincidentu atklāšanā vai novēršanā. Citos gadījumos datu glabāšana nav pieļaujama. Likumprojekta 46. panta sestā daļa nosaka, ka personas datus kiberincidentu novēršanas institūcijas drīkst nodot Satversmes aizsardzības birojam tādā apjomā un veidā, lai atpazītu un novērstu tādu drošības nepilnību, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai vai sabiedrības drošībai. Vēršam uzmanību, ka tās primāri ir Latvijas tiesībsargājošās iestādes.

Atbilstoši NIS2 direktīvas prasībām tās var būt arī citas iestādes, kas atbilst NIS2 direktīvas 13. panta ceturtā daļā aprakstītajām iestādēm:
- Nacionālais kiberdrošības centrs (Aizsardzības ministrija un CERT.LV);
- Satversmes aizsardzības birojs;
- Militārās izlūkošanas un drošības dienesta struktūrvienība;
- vienotais kontaktpunkts;
- tiesībaizsardzības iestādes;
- datu aizsardzības iestāde;
- valsts iestādes, kas minētas:
a) civilās aviācijas regulas  300/2008  un 2018/1139
b) elektronisko identifikāciju un uzticamības pakalpojumu elektronisko darījumu veikšanai iestādes 910/2014,
c) finanšu nozare 2022/2554
d) elektronisko sakaru nozare 2018/1972
e) kritiskās infrastruktūras joma 2022/2557
- kā arī kompetentās iestādes, kas minētas citos Savienības nozarspecifiskos tiesību aktos.

Iestāžu uzskaitījums ir iekļauts Nacionālā kiberdrošības likumā, piemēram, CSIRT tīkls, NIS sadarbības grupa,  Eiropas Savienības Kiberdrošības aģentūra, Eiropas Savienības dalībvalsts kompetentā institūcija. Atbilstoši NIS2 direktīvas prasībām, citām iestādēm tiek nodoti tikai relevanta informācija, proti, tāda informācija, kas tieši attiecas uz attiecīgās iestādes kompetenci. Piemēram, ja CERT.LV rīcībā nonāk informācija par kiberapdraudējumu un pazīmes norāda uz piederību citai valstij, tad attiecīgā informācija tiek pārsūtīta pēc piederības.