24-TA-1834: Noteikumu projekts (Grozījumi)
Anotācijas (ex-ante) nosaukums
Tiesību akta projekta "Grozījumi Ministru kabineta 2022. gada 6. septembra noteikumos Nr. 553 "Augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam izvirzāmās prasības un tā atzīšanas kārtība"" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija)
1. Tiesību akta projekta izstrādes nepieciešamība
1.1. Pamatojums
Izstrādes pamatojums
ES dokuments
Apraksts
Noteikumu projekts ir izstrādāts, pamatojoties uz:
1) Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID2 direktīva) (turpmāk – NIS2 direktīva) 41. panta 1. punktā noteikto, ka dalībvalstis līdz 2024. gada 17. oktobrim pieņem un publicē normatīvos un administratīvos aktus, lai izpildītu NIS2 direktīvas prasības.
2) Nacionālās kiberdrošības likuma 23.panta sesto daļā noteikto, ka prasības domēnu vārdu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra uzturētājam un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, nosaka Ministru kabinets, un likuma pārejas noteikumu 2.punktā noteikto, ka Ministru kabinets līdz 2024. gada 17. oktobrim izdod likuma 23. panta sestajā daļā minētos noteikumus, kā arī tiesību akta "Nacionālās kiberdrošības likums" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija) 5.4.1. tabulā "Tiesību akta projekta atbilstība ES tiesību aktiem" norādīto, ka likumprojekta 21. panta sestajā daļā (pieņemtajā likumā 23.panta sestajā daļā) ir ietverts deleģējums Ministru kabinetam noteikt prasības domēnu nosaukumu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem noteiks Ministru kabineta 2022. gada 6. septembra noteikumos Nr. 553. "Augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam izvirzāmās prasības un tā atzīšanas kārtība" (turpmāk - Ministru kabineta noteikumi Nr.553).
1) Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID2 direktīva) (turpmāk – NIS2 direktīva) 41. panta 1. punktā noteikto, ka dalībvalstis līdz 2024. gada 17. oktobrim pieņem un publicē normatīvos un administratīvos aktus, lai izpildītu NIS2 direktīvas prasības.
2) Nacionālās kiberdrošības likuma 23.panta sesto daļā noteikto, ka prasības domēnu vārdu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra uzturētājam un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, nosaka Ministru kabinets, un likuma pārejas noteikumu 2.punktā noteikto, ka Ministru kabinets līdz 2024. gada 17. oktobrim izdod likuma 23. panta sestajā daļā minētos noteikumus, kā arī tiesību akta "Nacionālās kiberdrošības likums" sākotnējās ietekmes (ex-ante) novērtējuma ziņojums (anotācija) 5.4.1. tabulā "Tiesību akta projekta atbilstība ES tiesību aktiem" norādīto, ka likumprojekta 21. panta sestajā daļā (pieņemtajā likumā 23.panta sestajā daļā) ir ietverts deleģējums Ministru kabinetam noteikt prasības domēnu nosaukumu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem noteiks Ministru kabineta 2022. gada 6. septembra noteikumos Nr. 553. "Augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam izvirzāmās prasības un tā atzīšanas kārtība" (turpmāk - Ministru kabineta noteikumi Nr.553).
1.2. Mērķis
Mērķa apraksts
Mērķis ir noteikt prasības domēnu nosaukumu reģistrācijas datubāzei, kas piemērojamas augstākā līmeņa domēna ".lv" reģistra un elektroniskās numurēšanas sistēmas uzturētājam un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem, kā arī ieviest NIS2 direktīvā noteiktos pasākumus.
Spēkā stāšanās termiņš
Vispārējā kārtība
1.3. Pašreizējā situācija, problēmas un risinājumi
Pašreizējā situācija
Nacionālās kiberdrošības likums ievieš NIS2 direktīvas prasības, kas līdzās būtiskiem uzlabojumiem kiberdrošības jomā, lai nodrošinātu domēna vārdu sistēmas drošību, stabilitāti un noturību, nosaka nepieciešamību augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem noteikt juridisku pienākumu (Vispārīgās datu aizsardzības regulas 6.panta pirmās daļas c) apakšpunkta izpratnē) vākt noteiktus domēna vārdu reģistrācijas datus, iegūstot pilnīgu un precīzu datu kopu, un nodrošināt likumīgu piekļuvi šādiem datiem.
Problēmas un risinājumi
Problēmas apraksts
Nepieciešams noteikt juridiski pienākumu augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, lai iegūtu pilnīgu un precīzu reģistrācijas datu kopumu, nodrošinot savākto datu integritāti un pieejamību.
Risinājuma apraksts
Lai sasniegtu mērķi, NIS2 direktīva paredz, ka augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem:
- ir jābūt juridiskam pienākumam domēnu nosaukumu reģistrācijas datubāzē ietvert informāciju par:
a) domēna vārdu;
b) domēna vārda reģistrācijas datumu;
c) domēna vārda lietotāja vārdu un uzvārdu, e-pasta adresi un tālruņa numuru;
d) domēna vārda lietotāju kontaktpersonu e-pasta adresi un tālruņa numuru, ja tie atšķiras no domēna vārda lietotāja e-pasta adreses un tālruņa numura,
lai nodrošinātu domēna vārdu lietotāju un tā kontaktpersonu identificēšanu un saziņu ar tiem. Reģistrā uzkrātās informācijas kopums ir ierobežotas pieejamības informācija, kas sastāv no noteiktā veidā publiski pieejamiem datiem un nepubliskiem datiem. Prasības iekļautas grozījumu 6. prim 1. un 6. prim 2. punktā, vienlaikus nosakot, ka norādītie dati ir minimālais datu kopums, tādējādi neierobežojot cita veida datu vākšanu, kas nepieciešami personu identificēšanai un verificēšanai, piemēram, personas kods, reģistrācijas numurs, pasta adrese u.c. Tā kā domēna vārdu nozarē juridisko personu e-pasta adreses un tālruņa numuri, kas būtu nodalīti no administratīvo kontaktpersonu e-pasta adresēm un tālruņa numuriem, domēna vārdu reģistrācijas pieteikumos šobrīd nav iekļauti kā atsevišķi datu lauki, šādi dati nav pieejami.
- jāizstrādā, jāievieš un jāpublisko rīcībpolitikas un procedūras precīzu un pilnīgu domēnu vārdu reģistrācijas datu vākšanai un uzturēšanai, kā arī neprecīzu reģistrācijas datu novēršanai un izlabošanai saskaņā ar datu aizsardzības tiesību aktiem, pēc iespējas ņemot vērā standartus, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras. Prasības iekļautas grozījumu Prasības iekļautas grozījumu 9 prim 5. un 9 prim 8. punktā.
- iepriekš norādītajās rīcībpolitikās un procedūrās jānosaka samērīgas domēnu vārdu reģistrācijas datu verifikācijas procedūras (izmantojot uz risku izvērtēšanu balstītu pieeju, lai atlasītu tos domēna vārdu lietotājus, kuru datus jāverificē), kas var tikt veiktas domēna vārda reģistrācijas laikā vai pēc tā reģistrācijas, verificējot vismaz vienu no domēna vārda lietotāja saziņas līdzekļiem. Verifikācijas procedūra var būt balstīta uz domēna vārdu nozarei raksturīgo praksi un pēc iespējas elektroniskās identifikācijas jomā panākto progresu, kas iekļauj e-pasta adrešu un telefona numuru pārbaudi, izmantojot sintaktisko metodi, lai pārbaudītu atbilstību RFC 5322 un ITU-T E 164 standartiem, un darbības pārbaudi. Identitātes verifikācijas metodēm jāaptver gan fizisko, gan juridisko personu pārbaude, izmantojot trešo pušu, pašu vai jauktas verifikācijas metodes. Elektroniskai identifikācijai ir jādod priekšroka gadījumos, kad tā ir pieejama attiecīgajā valstī un attiecīgo domēna vārdu lietotāju kategorijai. Prasības iekļautas grozījumu 9 prim 5. un 9 prim 8. punktā.
- ir jābūt juridiskam pienākumam domēnu nosaukumu reģistrācijas datubāzē ietvert informāciju par:
a) domēna vārdu;
b) domēna vārda reģistrācijas datumu;
c) domēna vārda lietotāja vārdu un uzvārdu, e-pasta adresi un tālruņa numuru;
d) domēna vārda lietotāju kontaktpersonu e-pasta adresi un tālruņa numuru, ja tie atšķiras no domēna vārda lietotāja e-pasta adreses un tālruņa numura,
lai nodrošinātu domēna vārdu lietotāju un tā kontaktpersonu identificēšanu un saziņu ar tiem. Reģistrā uzkrātās informācijas kopums ir ierobežotas pieejamības informācija, kas sastāv no noteiktā veidā publiski pieejamiem datiem un nepubliskiem datiem. Prasības iekļautas grozījumu 6. prim 1. un 6. prim 2. punktā, vienlaikus nosakot, ka norādītie dati ir minimālais datu kopums, tādējādi neierobežojot cita veida datu vākšanu, kas nepieciešami personu identificēšanai un verificēšanai, piemēram, personas kods, reģistrācijas numurs, pasta adrese u.c. Tā kā domēna vārdu nozarē juridisko personu e-pasta adreses un tālruņa numuri, kas būtu nodalīti no administratīvo kontaktpersonu e-pasta adresēm un tālruņa numuriem, domēna vārdu reģistrācijas pieteikumos šobrīd nav iekļauti kā atsevišķi datu lauki, šādi dati nav pieejami.
- jāizstrādā, jāievieš un jāpublisko rīcībpolitikas un procedūras precīzu un pilnīgu domēnu vārdu reģistrācijas datu vākšanai un uzturēšanai, kā arī neprecīzu reģistrācijas datu novēršanai un izlabošanai saskaņā ar datu aizsardzības tiesību aktiem, pēc iespējas ņemot vērā standartus, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras. Prasības iekļautas grozījumu Prasības iekļautas grozījumu 9 prim 5. un 9 prim 8. punktā.
- iepriekš norādītajās rīcībpolitikās un procedūrās jānosaka samērīgas domēnu vārdu reģistrācijas datu verifikācijas procedūras (izmantojot uz risku izvērtēšanu balstītu pieeju, lai atlasītu tos domēna vārdu lietotājus, kuru datus jāverificē), kas var tikt veiktas domēna vārda reģistrācijas laikā vai pēc tā reģistrācijas, verificējot vismaz vienu no domēna vārda lietotāja saziņas līdzekļiem. Verifikācijas procedūra var būt balstīta uz domēna vārdu nozarei raksturīgo praksi un pēc iespējas elektroniskās identifikācijas jomā panākto progresu, kas iekļauj e-pasta adrešu un telefona numuru pārbaudi, izmantojot sintaktisko metodi, lai pārbaudītu atbilstību RFC 5322 un ITU-T E 164 standartiem, un darbības pārbaudi. Identitātes verifikācijas metodēm jāaptver gan fizisko, gan juridisko personu pārbaude, izmantojot trešo pušu, pašu vai jauktas verifikācijas metodes. Elektroniskai identifikācijai ir jādod priekšroka gadījumos, kad tā ir pieejama attiecīgajā valstī un attiecīgo domēna vārdu lietotāju kategorijai. Prasības iekļautas grozījumu 9 prim 5. un 9 prim 8. punktā.
Problēmas apraksts
Regulējums paredz, ka augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem ir būtiski nodrošināt noteiktiem datu pieprasītājiem savlaicīgu piekļuvi domēna vārdu reģistrācijas datiem, lai novērstu un apkarotu DNS ļaunprātīgu izmantošanu (angļu valodā nozarē tiek lietots termins DNS Abuse), novērstu, atklātu kiberincidentus un reaģētu uz tiem, paredzot:
- pienākumu darīt publiski pieejamu daļu no domēnu vārdu reģistrācijas datiem (šāds pienākums jau noteikts augstākā līmeņa domēna ".lv" reģistra uzturētājam Ministru kabineta noteikumos Nr. 553),
- kārtību, kādā iespējams pieprasīt nepubliskos domēna vārdu reģistrācijas datus,
- jaunu prasību atbildēt uz piekļuves pieprasījumiem 72 stundu laikā.
NIS2 direktīva ar leģitīmiem piekļuves pieprasītājiem fiziskas vai juridiskas personas, kas iesniedz pieprasījumu, ievērojot Eiropas Savienības vai valsts tiesību aktus. To vidū var būt kompetentās iestādes, kas novērš, izmeklē, atklāj noziedzīgus nodarījumus vai veic kriminālvajāšanu, kā arī kiberincidentu novēršanas institūcijas. NIS Sadarbības grupa NIS2 direktīvas 28. panta ieviešanas ieteikumos, norāda, ka valstis var norādīt arī citas valsts iestādes, kam ir tiesības pieprasīt informāciju. Šobrīd pamatojoties uz normatīvajos aktos noteiktajām tiesībām no augstākā līmeņa domēna .lv reģistra informāciju pieprasa tādas Latvijas valsts pārvaldes iestādes kā tiesa, Datu valsts inspekcija, Valsts ieņēmumu dienests, Patērētāju tiesību aizsardzības centrs, Veselības inspekcija, Izložu un azartspēļu inspekcija, valsts drošības iestādes. NIS Sadarbības grupa ieteikumos norāda, ka datu izsniegšana iespējams noteikt tādos pamatotos gadījumos, kas saistīti ar cita veida domēna vārdu sistēmas (DNS) pārkāpumiem privāto tiesību jomā, piemēram, intelektuālā īpašuma tiesībām.
Atbilstoši Ministru kabineta noteikumu Nr. 553 7.4.apakšpunktam reģistra uzturētājs, uzturot reģistru, nodrošina, lai tiktu ievērotas datu aizsardzības prasības, kādas Elektronisko sakaru likumā noteiktas elektronisko sakaru komersantam. Attiecīgi uz augstākā līmeņa domēnu reģistru uzturētājiem attiecas Elektronisko sakaru likuma XV nodaļā "Datu aizsardzība elektronisko sakaru nozarē" 94.pantā noteiktais pienākums bez galalietotāja piekrišanas neizpaust ziņas par galalietotāju, izņemot gadījumus, kad šī informācija ir nepieciešama šajā likumā noteiktajām institūcijām un iestādēm normatīvajos aktos noteikto funkciju veikšanai un likumā noteiktajiem mērķiem.
Augstākā līmeņa domēna ".lv" reģistra uzturētājs, regulāri saņem pieprasījumus sniegt informāciju par “.lv” reģistrēto domēna vārdu lietotājiem fiziskām personām ne tikai no kompetentajām valsts pārvaldes iestādēm, bet arī fiziskām un juridiskām personām, kas atsaucas uz leģitīmo interesi (Vispārējās datu aizsardzības regulas (ES) 2016/679 6.panta pirmās daļas f) punkts) kā datu izsniegšanas pamatu. Tā kā augstākā līmeņa domēna ".lv" reģistra uzturētājs, Latvijas Universitātes Matemātikas un informātikas institūts, ir valsts pārvaldes iestāde atbilstoši Datu valsts inspekcijas 2019.gada rakstveida konsultācijai, Latvijas Universitātes Matemātikas un informātikas institūtam būtu personas datu apstrādi jāpamato uz Vispārējās datu aizsardzības regulas (ES) 2016/679 prasības 6.panta pirmās daļas e) punktu: “apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras.”, nevis 6.panta pirmās daļas f) punktu.
Šobrīd Ministru kabineta noteikumos Nr. 553 augstākā līmeņa domēna ".lv" reģistra uzturētājam nav noteikts atbilstošs personas datu izsniegšanas pamats.
- pienākumu darīt publiski pieejamu daļu no domēnu vārdu reģistrācijas datiem (šāds pienākums jau noteikts augstākā līmeņa domēna ".lv" reģistra uzturētājam Ministru kabineta noteikumos Nr. 553),
- kārtību, kādā iespējams pieprasīt nepubliskos domēna vārdu reģistrācijas datus,
- jaunu prasību atbildēt uz piekļuves pieprasījumiem 72 stundu laikā.
NIS2 direktīva ar leģitīmiem piekļuves pieprasītājiem fiziskas vai juridiskas personas, kas iesniedz pieprasījumu, ievērojot Eiropas Savienības vai valsts tiesību aktus. To vidū var būt kompetentās iestādes, kas novērš, izmeklē, atklāj noziedzīgus nodarījumus vai veic kriminālvajāšanu, kā arī kiberincidentu novēršanas institūcijas. NIS Sadarbības grupa NIS2 direktīvas 28. panta ieviešanas ieteikumos, norāda, ka valstis var norādīt arī citas valsts iestādes, kam ir tiesības pieprasīt informāciju. Šobrīd pamatojoties uz normatīvajos aktos noteiktajām tiesībām no augstākā līmeņa domēna .lv reģistra informāciju pieprasa tādas Latvijas valsts pārvaldes iestādes kā tiesa, Datu valsts inspekcija, Valsts ieņēmumu dienests, Patērētāju tiesību aizsardzības centrs, Veselības inspekcija, Izložu un azartspēļu inspekcija, valsts drošības iestādes. NIS Sadarbības grupa ieteikumos norāda, ka datu izsniegšana iespējams noteikt tādos pamatotos gadījumos, kas saistīti ar cita veida domēna vārdu sistēmas (DNS) pārkāpumiem privāto tiesību jomā, piemēram, intelektuālā īpašuma tiesībām.
Atbilstoši Ministru kabineta noteikumu Nr. 553 7.4.apakšpunktam reģistra uzturētājs, uzturot reģistru, nodrošina, lai tiktu ievērotas datu aizsardzības prasības, kādas Elektronisko sakaru likumā noteiktas elektronisko sakaru komersantam. Attiecīgi uz augstākā līmeņa domēnu reģistru uzturētājiem attiecas Elektronisko sakaru likuma XV nodaļā "Datu aizsardzība elektronisko sakaru nozarē" 94.pantā noteiktais pienākums bez galalietotāja piekrišanas neizpaust ziņas par galalietotāju, izņemot gadījumus, kad šī informācija ir nepieciešama šajā likumā noteiktajām institūcijām un iestādēm normatīvajos aktos noteikto funkciju veikšanai un likumā noteiktajiem mērķiem.
Augstākā līmeņa domēna ".lv" reģistra uzturētājs, regulāri saņem pieprasījumus sniegt informāciju par “.lv” reģistrēto domēna vārdu lietotājiem fiziskām personām ne tikai no kompetentajām valsts pārvaldes iestādēm, bet arī fiziskām un juridiskām personām, kas atsaucas uz leģitīmo interesi (Vispārējās datu aizsardzības regulas (ES) 2016/679 6.panta pirmās daļas f) punkts) kā datu izsniegšanas pamatu. Tā kā augstākā līmeņa domēna ".lv" reģistra uzturētājs, Latvijas Universitātes Matemātikas un informātikas institūts, ir valsts pārvaldes iestāde atbilstoši Datu valsts inspekcijas 2019.gada rakstveida konsultācijai, Latvijas Universitātes Matemātikas un informātikas institūtam būtu personas datu apstrādi jāpamato uz Vispārējās datu aizsardzības regulas (ES) 2016/679 prasības 6.panta pirmās daļas e) punktu: “apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras.”, nevis 6.panta pirmās daļas f) punktu.
Šobrīd Ministru kabineta noteikumos Nr. 553 augstākā līmeņa domēna ".lv" reģistra uzturētājam nav noteikts atbilstošs personas datu izsniegšanas pamats.
Risinājuma apraksts
Lai sasniegtu mērķi, NIS2 direktīva paredz, ka augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem:
- jānosaka prasība darīt publiski pieejamus domēnu vārdu reģistrācijas datus, uz kuriem neattiecas Eiropas Savienības datu aizsardzības tiesību akti, piemēram, par juridiskām personām būtu jādara publiski pieejami vismaz to nosaukums un kontakttālruņa numurs. Būtu jāpublicē arī saziņas e-pasta adrese ar noteikumu, ka tā nesatur persondatus, piemēram, e-pasta pseidonīmu vai funkcionālo kontu gadījumā. Šobrīd pienākums noteikts augstākā līmeņa domēna ".lv" reģistra uzturētājam Ministru kabineta noteikumu Nr.553 8.3.1 un 8.3.2.apakšpunktā, vienlaikus tādu pašu pienākumu nosakot domēnu vārdu reģistrācijas pakalpojumu sniedzējiem grozījumu 12. prim un 13.punktā.
- ir jānodrošina leģitīmiem piekļuves prasītājiem iespēja pieprasīt domēnu vārdu reģistrācijas nepublisko datu (tai skaitā fizisko personu datu) izsniegšanu, kas vajadzīgi prasītās piekļuves mērķiem un atbilst Eiropas Savienības un valsts tiesību aktiem. Leģitīmu piekļuves prasītāju pieprasījumam būtu jāpievieno pamatojums, pēc kā var novērtēt nepieciešamību piekļūt datiem. Prasība iekļauta grozījumu 7.5. apakšpunktā, vienlaikus svītrojot 7.4. punktu, kas ierobežoja datu izsniegšanu tādiem leģitīmiem piekļuves pieprasītājiem, kas nav kompetentās valsts pārvaldes iestādes.
- bez nepamatotas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc jebkādu piekļuves pieprasījumu saņemšanas jāatbild uz piekļuves pieprasījumiem. Prasība iekļauta grozījumu 7.5. punktā. NIS Sadarbības grupa ieteikumos norāda, ka par jebkuriem pieprasījumiem atklāt nepubliskos domēna vārdu reģistrācijas datus 72 stundu laikā būtu jāatbild par to, vai piekļuve pieprasītajiem datiem tiks piešķirta, un informācijas saņemšanas termiņu, atteikuma gadījumā ieteicams norādīt iemeslus. Ņemot vērā, ka var rasties situācijas, kad augstākā līmeņa domēna “.lv” reģistra uzturētājs vai domēnu vārdu reģistrācijas pakalpojumu sniedzēji objektīvi pamatotu iemeslu dēļ nevar sniegt atbildi 72 stundu laikā (pamatota kavēšanās), papildus nosakot, ka, ja termiņš izbeidzas nedēļas atpūtas dienā (sestdienā, svētdienā) vai svētku dienā, par termiņa pēdējo dienu atzīstamas nākamās darbdienas beigas.
- ir jāizstrādā un jāpublisko rīcībpolitikas un procedūras reģistrācijas datu publicēšanai un izpaušanai, pēc iespējas ņemot vērā norādījumus un standartus, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras (piemēram, Interneta vārdu un numuru piešķires korporācija). Piekļuve domēna vārdu reģistrācijas datiem jānodrošina bez maksas. Piekļuves procedūra var ietvert saskarnes, portāla vai citu tehnisku rīku izmantošanu nolūkā nodrošināt efektīvu sistēmu reģistrācijas datu pieprasīšanai un piekļūšanai tiem. Šajā jomā, lai veicinātu saskaņotu praksi visā iekšējā tirgū, Eiropas Komisijai ir tiesības sniegt pamatnostādnes. Prasības iekļautas grozījumu 9. prim 5. un 9. prim 8.apakšpunktā.
- jānosaka prasība darīt publiski pieejamus domēnu vārdu reģistrācijas datus, uz kuriem neattiecas Eiropas Savienības datu aizsardzības tiesību akti, piemēram, par juridiskām personām būtu jādara publiski pieejami vismaz to nosaukums un kontakttālruņa numurs. Būtu jāpublicē arī saziņas e-pasta adrese ar noteikumu, ka tā nesatur persondatus, piemēram, e-pasta pseidonīmu vai funkcionālo kontu gadījumā. Šobrīd pienākums noteikts augstākā līmeņa domēna ".lv" reģistra uzturētājam Ministru kabineta noteikumu Nr.553 8.3.1 un 8.3.2.apakšpunktā, vienlaikus tādu pašu pienākumu nosakot domēnu vārdu reģistrācijas pakalpojumu sniedzējiem grozījumu 12. prim un 13.punktā.
- ir jānodrošina leģitīmiem piekļuves prasītājiem iespēja pieprasīt domēnu vārdu reģistrācijas nepublisko datu (tai skaitā fizisko personu datu) izsniegšanu, kas vajadzīgi prasītās piekļuves mērķiem un atbilst Eiropas Savienības un valsts tiesību aktiem. Leģitīmu piekļuves prasītāju pieprasījumam būtu jāpievieno pamatojums, pēc kā var novērtēt nepieciešamību piekļūt datiem. Prasība iekļauta grozījumu 7.5. apakšpunktā, vienlaikus svītrojot 7.4. punktu, kas ierobežoja datu izsniegšanu tādiem leģitīmiem piekļuves pieprasītājiem, kas nav kompetentās valsts pārvaldes iestādes.
- bez nepamatotas kavēšanās un jebkurā gadījumā 72 stundu laikā pēc jebkādu piekļuves pieprasījumu saņemšanas jāatbild uz piekļuves pieprasījumiem. Prasība iekļauta grozījumu 7.5. punktā. NIS Sadarbības grupa ieteikumos norāda, ka par jebkuriem pieprasījumiem atklāt nepubliskos domēna vārdu reģistrācijas datus 72 stundu laikā būtu jāatbild par to, vai piekļuve pieprasītajiem datiem tiks piešķirta, un informācijas saņemšanas termiņu, atteikuma gadījumā ieteicams norādīt iemeslus. Ņemot vērā, ka var rasties situācijas, kad augstākā līmeņa domēna “.lv” reģistra uzturētājs vai domēnu vārdu reģistrācijas pakalpojumu sniedzēji objektīvi pamatotu iemeslu dēļ nevar sniegt atbildi 72 stundu laikā (pamatota kavēšanās), papildus nosakot, ka, ja termiņš izbeidzas nedēļas atpūtas dienā (sestdienā, svētdienā) vai svētku dienā, par termiņa pēdējo dienu atzīstamas nākamās darbdienas beigas.
- ir jāizstrādā un jāpublisko rīcībpolitikas un procedūras reģistrācijas datu publicēšanai un izpaušanai, pēc iespējas ņemot vērā norādījumus un standartus, ko starptautiskā līmenī izstrādājušas daudzpusējās ieinteresēto personu pārvaldības struktūras (piemēram, Interneta vārdu un numuru piešķires korporācija). Piekļuve domēna vārdu reģistrācijas datiem jānodrošina bez maksas. Piekļuves procedūra var ietvert saskarnes, portāla vai citu tehnisku rīku izmantošanu nolūkā nodrošināt efektīvu sistēmu reģistrācijas datu pieprasīšanai un piekļūšanai tiem. Šajā jomā, lai veicinātu saskaņotu praksi visā iekšējā tirgū, Eiropas Komisijai ir tiesības sniegt pamatnostādnes. Prasības iekļautas grozījumu 9. prim 5. un 9. prim 8.apakšpunktā.
Problēmas apraksts
Lai iegūtu pilnīgu un precīzu reģistrācijas datu kopumu, augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem nevajadzētu vienus un tos pašus datus vākt divreiz/divkārši/vairākas reizes.
NIS2 direktīva nosaka regulējumu augstākā līmeņa domēnu reģistra uzturētājiem un un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, savukārt Ministru kabineta noteikumi Nr. 553 nosaka prasības tikai augstākā līmeņa domēna ".lv" reģistra uzturētājam un pastarpināti reģistratūrām, kas ir viens no domēnu vārdu reģistrācijas pakalpojumu sniedzēju veidiem NIS2 direktīvas izpratnē. Gadījumā, ja Latvijas jurisdikcijā nākotnē būtu vēl kāds augstākā līmeņa domēna reģistra uzturētājs, būs jāplāno plašāki grozījumi Elektronisko sakaru likumā un šajos noteikumos.
NIS2 direktīva nosaka regulējumu augstākā līmeņa domēnu reģistra uzturētājiem un un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, savukārt Ministru kabineta noteikumi Nr. 553 nosaka prasības tikai augstākā līmeņa domēna ".lv" reģistra uzturētājam un pastarpināti reģistratūrām, kas ir viens no domēnu vārdu reģistrācijas pakalpojumu sniedzēju veidiem NIS2 direktīvas izpratnē. Gadījumā, ja Latvijas jurisdikcijā nākotnē būtu vēl kāds augstākā līmeņa domēna reģistra uzturētājs, būs jāplāno plašāki grozījumi Elektronisko sakaru likumā un šajos noteikumos.
Risinājuma apraksts
Lai sasniegtu mērķi, NIS2 direktīva paredz, ka augstākā līmeņa domēnu reģistru uzturētājiem un domēnu vārdu reģistrācijas pakalpojumu sniedzējiem ir savstarpēji jāsadarbojas, lai divreiz nevāktu datus.
Ar grozījumu 4.1 punktu tiek ieviests jauns tiesību subjektu veids - domēnu vārdu reģistrācijas pakalpojumu sniedzējs, tajā pašā laikā paredzot, ka primāri augstākā līmeņa domēna ".lv" reģistra uzturētājs sadarbojas ar reģistratūrām, savukārt ar citiem domēna vārdu reģistrācijas pakalpojumu sniedzējiem sadarbība notiek ar reģistratūru starpniecību. Līdztekus tiek precizēts 4.punkts, nosakot, ka reģistratūras ir juridiskas personas.
Esošā Ministru kabineta noteikumu Nr.553 struktūra primāri nosaka prasības augstākā līmeņa domēna ".lv" reģistra uzturētājam, tādēļ, lai saglabātu noteikumu struktūru, bet vienlaikus iekļautu pienākumus, kas caur sadarbības līgumu ietvaru attiecas uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, grozījumos iekļauti jauni punkti 9. prim un 12. prim un grozīts 13.punkts.
Ar grozījumu 4.1 punktu tiek ieviests jauns tiesību subjektu veids - domēnu vārdu reģistrācijas pakalpojumu sniedzējs, tajā pašā laikā paredzot, ka primāri augstākā līmeņa domēna ".lv" reģistra uzturētājs sadarbojas ar reģistratūrām, savukārt ar citiem domēna vārdu reģistrācijas pakalpojumu sniedzējiem sadarbība notiek ar reģistratūru starpniecību. Līdztekus tiek precizēts 4.punkts, nosakot, ka reģistratūras ir juridiskas personas.
Esošā Ministru kabineta noteikumu Nr.553 struktūra primāri nosaka prasības augstākā līmeņa domēna ".lv" reģistra uzturētājam, tādēļ, lai saglabātu noteikumu struktūru, bet vienlaikus iekļautu pienākumus, kas caur sadarbības līgumu ietvaru attiecas uz domēnu vārdu reģistrācijas pakalpojumu sniedzējiem, grozījumos iekļauti jauni punkti 9. prim un 12. prim un grozīts 13.punkts.
Vai ir izvērtēti alternatīvie risinājumi?
Nē
Vai ir izvērtēts prasību un izmaksu samērīgums pret ieguvumiem?
Nē
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
Vai tiks veikts?
Nē
1.6. Cita informācija
-
2. Tiesību akta projekta ietekmējamās sabiedrības grupas, ietekme uz tautsaimniecības attīstību un administratīvo slogu
Vai projekts skar šo jomu?
Jā
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
Fiziskās personas
- Visi domēna vārdu lietotāji.
Ietekmes apraksts
Grozījumi paredz tiesības leģitīmiem piekļuves pieprasītājiem, tai skaitā, privātpersonām, pieprasīt domēna vārda lietotāja, kas ir fiziska persona, datu izsniegšanu.
Juridiskās personas
- Visi domēna vārdu lietotāji.
Ietekmes apraksts
Grozījumi nosaka augstākā līmeņa domēna ".lv" reģistra uzturētājam un domēna vārdu reģistrācijas pakalpojumu sniedzējiem pienākumus iegūt pilnīgus un precīzus domēna vārdu reģistrācijas datus un nodrošināt savākto datu integritāti un pieejamību, kā arī pienākumu nodrošināt savlaicīgu piekļuvi domēna vārdu reģistrācijas datiem. Tāpat grozījumi nosaka sadarbības ietvaru starp augstākā līmeņa domēna ".lv" reģistra uzturētāju un domēna vārdu reģistrācijas pakalpojumu sniedzējiem.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
Vai projekts skar šo jomu?
Jā
2.2.1. uz makroekonomisko vidi:
Nē2.2.2. uz nozaru konkurētspēju:
Jā
Ietekmes apraksts
NIS2 direktīvas 28.panta atšķirīga ieviešana dalībvalstīs var būtiski ietekmēt domēna vārdu nozares uzņēmumu konkurētspēju. Īpaši gadījumos, kad uzņēmums darbojas globāli un piedāvā dažādu augstākā līmeņa domēna vārdu reģistrācijas pakalpojumus vai ir globāls, liels uzņēmums ar tādu ietekmi, ka var atteikties no sadarbības ar noteiktiem augstākā līmeņa domēnu reģistra uzturētājiem, ja attiecīgais nacionālais regulējums paredz stingrākas prasības nekācitās dalībvalstīs.
2.2.3. uz uzņēmējdarbības vidi:
Nē2.2.4. uz mazajiem un vidējiem uzņēmējiem:
Nē2.2.5. uz konkurenci:
Nē2.2.6. uz nodarbinātību:
Nē2.3. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
2.4. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
3. Tiesību akta projekta ietekme uz valsts budžetu un pašvaldību budžetiem
Vai projekts skar šo jomu?
Nē
Cita informācija
-
4. Tiesību akta projekta ietekme uz spēkā esošo tiesību normu sistēmu
Vai projekts skar šo jomu?
Nē
4.2. Cita informācija
-
5. Tiesību akta projekta atbilstība Latvijas Republikas starptautiskajām saistībām
Vai projekts skar šo jomu?
Jā
5.1. Saistības pret Eiropas Savienību
Vai ir attiecināms?
Jā
ES tiesību akta CELEX numurs
32022L2555
ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīva (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148.
Apraksts
-
5.2. Citas starptautiskās saistības
Vai ir attiecināms?
-
5.3. Cita informācija
Apraksts
-
5.4. 1. tabula. Tiesību akta projekta atbilstība ES tiesību aktiem
Attiecīgā ES tiesību akta datums, izdevējinstitūcija, numurs, veids un nosaukums
Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīva (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148.
ES TA panta numurs
Projekta vienība, kas pārņem vai ievieš A minēto
Tiek pārņemts pilnībā vai daļēji
Vai B minētais paredz stingrākas prasības un pamatojums
A
B
C
D
Direktīvas 28.panta 1.punkts
6.1 punkts, 12.1 un 13.punkts
Pārņemtas pilnībā
Grozījumi stingrākas prasības neparedz.
Direktīvas 28.panta 2.punkts
6.2 , 12. 1 un 13.punkts
Pārņemtas pilnībā
Grozījumi stingrākas prasības neparedz.
Direktīvas 28.panta 3.punkts
9.15., 9.18., 12.1 un 13. punkts
Pārņemtas pilnībā
Grozījumi stingrākas prasības neparedz.
Direktīvas 28.panta 4.punkts
8.3.1., 8.3.2., 12.1 un 13. punkts
Pārņemtas pilnībā
Grozījumi stingrākas prasības neparedz.
Direktīvas 28.panta 5.punkts
7.5., 12.1 un 13. punkts
Pārņemtas pilnībā
Grozījumi stingrākas prasības neparedz.
Direktīvas 28.panta 6.punkts
12.1 un 13.punkts
Pārņemtas pilnībā
Grozījumi stingrākas prasības neparedz.
Kā ir izmantota ES tiesību aktā paredzētā rīcības brīvība dalībvalstij pārņemt vai ieviest noteiktas ES tiesību akta normas? Kādēļ?
Attiecībā uz Direktīvas 28.panta 5.punktu, ņemot vērā to, ka var rasties situācijas, kad augstākā līmeņa domēna .lv reģistra uzturētājs vai domēnu vārdu reģistrācijas pakalpojumu sniedzējiem tiesiski pamatotu iemeslu dēļ nav iespējams sniegt atbildi 72 stundu laikā (pamatota kavēšanās) nosakot, ka ja termiņš izbeidzas nedēļas atpūtas dienā (sestdienā, svētdienā) vai svētku dienā, par termiņa pēdējo dienu atzīstamas nākamās darbdienas beigas.
Saistības sniegt paziņojumu ES institūcijām un ES dalībvalstīm atbilstoši normatīvajiem aktiem, kas regulē informācijas sniegšanu par tehnisko noteikumu, valsts atbalsta piešķiršanas un finanšu noteikumu (attiecībā uz monetāro politiku) projektiem
Nav attiecināms.
Cita informācija
-
6. Projekta izstrādē iesaistītās institūcijas un sabiedrības līdzdalības process
Sabiedrības līdzdalība uz šo tiesību akta projektu neattiecas
Nē
6.1. Projekta izstrādē iesaistītās institūcijas
Valsts un pašvaldību institūcijas
NēNevalstiskās organizācijas
NēCits
Latvijas Universitātes Matemātikas un informātikas institūts6.2. Sabiedrības līdzdalības organizēšanas veidi
Veids
Publiskā apspriešana
Saite uz sabiedrības līdzdalības rezultātiem
-
6.3. Sabiedrības līdzdalības rezultāti
-
6.4. Cita informācija
-
7. Tiesību akta projekta izpildes nodrošināšana un tās ietekme uz institūcijām
Vai projekts skar šo jomu?
Jā
7.1. Projekta izpildē iesaistītās institūcijas
Institūcijas
- Satiksmes ministrija
- Aizsardzības ministrija
7.2. Administratīvo izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.3. Atbilstības izmaksu monetārs novērtējums
Vai projekts skar šo jomu?
Nē
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
Ietekme
Jā/Nē
Skaidrojums
1. Tiks veidota jauna institūcija
Nē
-
2. Tiks likvidēta institūcija
Nē
-
3. Tiks veikta esošās institūcijas reorganizācija
Nē
-
4. Institūcijas funkcijas un uzdevumi tiks mainīti (paplašināti vai sašaurināti)
Jā
Augstākā līmeņa domēna “.lv” reģistra uzturētājam tiek noteiktas plašākas tiesības izsniegt domēna vārdu lietotāju datus.
5. Tiks veikta iekšējo institūcijas procesu efektivizācija
Nē
-
6. Tiks veikta iekšējo institūcijas procesu digitalizācija
Nē
-
7. Tiks veikta iekšējo institūcijas procesu optimizācija
Nē
-
8. Cita informācija
Nē
-
7.5. Cita informācija
-
8. Horizontālās ietekmes
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
Vai projekts skar šo jomu?
Nē
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
Vai projekts skar šo jomu?
Jā
Apraksts
grozījumi attiecas uz augstākā līmeņa domēna “.lv” reģistra uzturētāja, kas ir valsts pārvaldes iestāde, uzturēto domēna nosaukumu reģistru.
8.1.3. uz informācijas sabiedrības politikas īstenošanu
Vai projekts skar šo jomu?
Nē
8.1.4. uz Nacionālā attīstības plāna rādītājiem
Vai projekts skar šo jomu?
Nē
8.1.5. uz teritoriju attīstību
Vai projekts skar šo jomu?
Nē
8.1.6. uz vidi
Vai projekts skar šo jomu?
Nē
8.1.7. uz klimatneitralitāti
Vai projekts skar šo jomu?
Nē
8.1.8. uz iedzīvotāju sociālo situāciju
Vai projekts skar šo jomu?
Nē
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
Vai projekts skar šo jomu?
Nē
8.1.10. uz dzimumu līdztiesību
Vai projekts skar šo jomu?
Nē
8.1.11. uz veselību
Vai projekts skar šo jomu?
Nē
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
Vai projekts skar šo jomu?
Nē
8.1.13. uz datu aizsardzību
Vai projekts skar šo jomu?
Jā
Apraksts
grozījumi paredz augstākā līmeņa domēna “.lv” reģistra uzturētājam plašākās tiesības izsniegt domēna vārdu lietotāju fizisko personu datus.
8.1.14. uz diasporu
Vai projekts skar šo jomu?
Nē
8.1.15. uz profesiju reglamentāciju
Vai projekts skar šo jomu?
Nē
8.1.16. uz bērna labākajām interesēm
Vai projekts skar šo jomu?
Nē
8.2. Cita informācija
-
Pielikumi