1.1. Pamatojums
Likumprojekts “Nacionālās kiberdrošības likums” (turpmāk – Likumprojekts) ir izstrādāts pamatojoties uz Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvu (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (turpmāk – NIS2 direktīva) 41. panta 1. punktā noteikto, ka dalībvalstis līdz 2024. gada 17. oktobrim pieņem un publicē normatīvos un administratīvos aktus, lai izpildītu NIS2 direktīvas prasības.
1.2. Mērķis
1.3. Pašreizējā situācija, problēmas un risinājumi
Eiropas Parlamenta un Padomes 2016. gada 6. jūlija direktīva (ES) 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (turpmāk – NIS direktīva) bija liels solis kiberdrošības veicināšanā Eiropas līmenī. NIS direktīva noteica pirmos Eiropas Savienības (turpmāk – ES) mēroga noteikumus kiberdrošībā, uzlabojot kiberdrošības spējas un stiprinot dalībvalstu sadarbību. Tā noteica vitāli svarīgo nozaru uzņēmumiem veikt attiecīgus drošības pasākumus un par nopietniem kiberdrošības incidentiem (turpmāk – kiberincidenti) ziņot attiecīgajai kiberincidentu novēršanas institūcijai.
NIS2 direktīvas priekšlikumā tika novērsti vairāki NIS direktīvā konstatētie trūkumi, tostarp, ES pastāvošo uzņēmumu zemais kibernoturības līmenis, nekonsekventa kiberdrošība dažādās dalībvalstīs un nozarēs, zems kopējais situācijas izpratnes līmenis un kopīga krīžu reaģēšanas mehānisma trūkums. Pārskatot NIS direktīvu, Eiropas Komisija (turpmāk – Komisija) rosināja pārstrādāt NIS direktīvu. NIS2 direktīvas mērķis ir aizstāt un stiprināt NIS direktīvu. Līdz ar NIS2 direktīvas pieņemšanu tiek veiktas apjomīgas izmaiņas Informācijas tehnoloģiju drošības likuma (turpmāk - ITDL) ietvertajā regulējumā. Ņemot vērā to, ka grozījumu apjoms ITDL pārsniedz pusi no pašreiz spēkā esošā likuma normu apjoma, pamatojoties uz Ministru kabineta 2009. gada 3. februāra noteikumu Nr.108 “Normatīvo aktu projektu sagatavošanas noteikumi” 66. punktu, tiek izstrādāts jauns likumprojekts. Likumprojekts izstrādāts uz ITDL bāzes, aktualizējot un precizējot normas, kā arī papildinot ar jaunām saistībām, kas izriet no ES tiesību aktiem. Jomās, kuras nav NIS2 direktīvas tvērumā, saturiski saglabāts un pilnveidots ITDL regulējums.
NIS direktīvas mērķis bija veidot kiberdrošības spējas ES, mazinot draudus tīklu un informācijas sistēmām, ko izmanto pamatpakalpojumu sniegšanai svarīgās nozarēs, nodrošinot šādu pakalpojumu nepārtrauktību, saskaroties ar kiberincidentiem, un tādējādi sniedzot ieguldījumu ES drošībā un tās ekonomikas un sabiedrības efektīvā darbībā. Kopš NIS direktīvas stāšanās spēkā ES kibernoturības līmeņa paaugstināšanā ir panākts ievērojams progress. NIS direktīvas pārskatīšana apliecināja, ka tā ir kalpojusi par katalizatoru institucionālajai un regulatīvajai pieejai attiecībā uz kiberdrošību ES, bruģējot ceļu būtiskām domāšanas veida pārmaiņām. NIS direktīva ir nodrošinājusi, ka tiek pabeigti tīklu un informācijas sistēmu drošības valstu satvari, nosakot valstu tīklu un informācijas sistēmu drošības stratēģijas, veidojot valstu spējas un īstenojot regulatīvus pasākumus, kas aptver būtiskas infrastruktūras un vienības, kuras identificējusi katra dalībvalsts. Tāpat NIS direktīva ir veicinājusi sadarbību arī ES līmenī, izveidojot sadarbības grupu un valstu kiberincidentu reaģēšanas vienību tīklu. Neraugoties uz šiem sasniegumiem, NIS direktīvas pārskatīšanas gaitā ir konstatētas nepilnības, kas liedz tai rezultatīvi risināt pašreizējās un jaunās kiberdrošības problēmas.
Tīklu un informācijas sistēmas ir kļuvušas par būtisku iezīmi ikdienas dzīvē, ko raksturo ātra digitālā pārkārtošanās un sabiedrības savstarpējā savienotība, tai skaitā pārrobežu sakaros. Šīs attīstības rezultātā ir paplašinājusies kiberdraudu aina, rodoties jaunām problēmām, kurām ir nepieciešami pielāgoti, koordinēti un inovatīvi reaģēšanas pasākumi visās dalībvalstīs. Kiberincidentu skaits, apmērs, sarežģītība, biežums un ietekme pieaug un būtiski apdraud tīklu un informācijas sistēmu darbību. Līdz ar to kiberincidenti var kavēt saimniecisko darbību īstenošanu iekšējā tirgū, radīt finansiālus zaudējumus, apdraudēt lietotāju uzticēšanos un radīt lielu kaitējumu ES ekonomikai un sabiedrībai. Tāpēc sagatavotība un rezultativitāte kiberdrošības jomā tagad iekšējā tirgus pienācīgai darbībai ir vēl svarīgāka nekā jebkad iepriekš. Turklāt kiberdrošība daudzās kritiskās nozarēs ir būtisks faktors, kas dod iespēju sekmīgi īstenot digitālo pārkārtošanos un pilnībā izmantot digitalizācijas dotos saimnieciskos, sociālos un ilgtspējīgos ieguvumus.
Līdz ar NIS direktīvas atcelšanu tiek paplašināta tās piemērošanas joma pa nozarēm, aptverot lielāku ekonomikas daļu. Tāpēc to nozaru skaits, ko aptvēra NIS direktīva, tiek palielināta, lai nodrošinātu tādu nozaru un pakalpojumu pilnīgu aptvērumu, kas ir izšķirīgi svarīgas būtiskām sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū. NIS2 direktīvai jo īpaši būtu jātiecas novērst trūkumus, kas saistīti ar pamatpakalpojumu sniedzēju un digitālo pakalpojumu sniedzēju diferenciāciju, kura ir izrādījusies novecojusi, jo neatspoguļo nozaru vai pakalpojumu nozīmīgumu sabiedriskajām un saimnieciskajām darbībām iekšējā tirgū. Saskaņā ar NIS direktīvu dalībvalstīm bija pienākums identificēt vienības, kuras atbilst kritērijiem, lai tās varētu uzskatīt par pamatpakalpojumu sniedzējiem. Lai šajā ziņā mazinātu lielās atšķirības starp dalībvalstīm un nodrošinātu juridisko noteiktību attiecībā uz kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem visām attiecīgajām vienībām, tiek ieviests vienots kritērijs tādu vienību noteikšanai, kuras ietilpst šīs direktīvas darbības jomā. Minētajam kritērijam vajadzētu būt maksimālā lieluma noteikumam, saskaņā ar kuru visas vienības, kas sasniedz vai pārsniedz vidējiem uzņēmumiem noteiktos maksimālos lielumus, kuri minēti Komisijas Ieteikuma 2003/361/EK[1] pielikuma 2. panta 1. punktā, un kas darbojas šīs direktīvas aptvertajās nozarēs vai sniedz tās aptvertos pakalpojumus, vai veic tās aptvertās darbības, ietilpst tās darbības jomā. Dalībvalstīm būtu arī jāparedz, ka NIS2 direktīvas darbības jomā ietilpst konkrēti mikrouzņēmumi un mazie uzņēmumi, kas atbilst konkrētiem kritērijiem, kuri liecina par svarīgu lomu ekonomikā, sabiedrībā vai konkrētās nozarēs vai pakalpojumu veidos.
Tāpat NIS2 direktīva paredz, ka vienības, kuras ietilpst šīs direktīvas darbības jomā, attiecībā uz atbilstību kiberdrošības risku pārvaldības pasākumiem un ziņošanas pienākumiem ir iedalāmas divās kategorijās, proti, būtiskajās vienībās un svarīgajās vienībās, atspoguļojot to, kādā mērā tās ir kritiski svarīgas to nozares vai sniegto pakalpojumu veida aspektā, kā arī to lielumu. Attiecīgā gadījumā būtu pienācīgi jāņem vērā visi attiecīgie nozaru riska novērtējumi vai norādījumi, ko sniegušas kompetentās iestādes. Uzraudzības un sodu režīmi šīm abām vienību kategorijām ir diferencējami, lai nodrošinātu taisnīgu līdzsvaru starp prasībām un pienākumiem, kas balstīti uz risku, no vienas puses, un administratīvo slogu, kas izriet no atbilstības uzraudzības, no otras puses. Ņemot vērā, ka tīklu un informācijas sistēmas ir kļuvušas par būtisku iezīmi ikdienas dzīvē, ir nepieciešams nacionālā mērogā nodrošināt atbilstošus personāla resursus reaģēšanai uz kiberincidentiem, kā arī stiprināt nacionāla līmeņa spējas ieviest atbilstošus uzraudzības un kontroles mehānismus valsts funkcionēšanai būtisko informācijas un komunikācijas tehnoloģiju (turpmāk – IKT) resursu nepārtrauktības nodrošināšanai.
Latvijas kiberdrošības stratēģijā 2019.—2022. gadam[2] pastiprināta uzmanība tika pievērsta kiberdrošības noturībai, investīcijām IKT drošībā un personāla apmācībā. Tāpat iepriekšējā pārskata periodā ir sperti vairāki būtiski soļi kiberdrošības veicināšanai, digitālo risku mazināšanai, IKT izturētspējas, arī sabiedrības izpratnes, izglītības un pētniecības izaugsmei. Līdz ar Krievijas iebrukumu Ukrainā, ir notikusi strauja reģionālās drošības situācijas pasliktināšanās, kas arvien vairāk aktualizē nepieciešamību stiprināt kiberdrošību Latvijā. Latvijas kiberdrošības stratēģijā 2023.—2026. gadam[3] ir noteikts, ka novērojama paaugstināta uzbrucēju aktivitāte, tostarp ievainojamību meklēšana valstiskas nozīmes sistēmās, informācijas ieguves mēģinājumi u.c. Lielā apjomā tiek īstenoti pakalpojumatteices (Distributed Denial of Service, DDoS) uzbrukumi ne vien publiskā sektora sistēmām, bet arī sabiedrībai būtisku pakalpojumu sniedzēju sistēmām. Būtiskais ļaunprātīgu aktivitāšu pieaugums kibertelpā 2022. gadā norāda uz nepieciešamību stiprināt nacionālā līmeņa spējas ieviest atbilstošus uzraudzības un kontroles mehānismus valsts funkcionēšanai būtisko IKT resursu nepārtrauktības nodrošināšanai.
IKT attīstība gan Latvijā, gan ārvalstīs ir sasniegusi nebijušu ātrumu un apmēru. Jaunākās paaudzes IKT risinājumi nodrošina iespējas jebkurā laikā un vietā ātri un ērti iegūt plašu informāciju par notikumiem un procesiem Latvijā vai ārvalstīs, sazināties un apmainīties ar informāciju, veikt darījumus un norēķinus internetā, saņemt elektroniskos pakalpojumus, izveidot, parakstīt un nosūtīt elektroniskos dokumentus un saglabāt informāciju elektroniskā formā, izmantojot viedo ierīču un mākoņdatošanas pakalpojumu sniedzēju sniegtās priekšrocības.
Lai valsts spētu sekot līdzi IKT straujajai attīstībai, realizēt Digitālās transformācijas pamatnostādnēs 2021.—2027. gadam[4] noteiktos uzdevumus un mērķus un stāties pretī kiberdraudiem, valsts un pašvaldības iestādēs nepieciešams nodrošināt labi sakārtota un pārvaldīta IKT infrastruktūra. Aizsardzības ministrija kā valsts kiberdrošības un aizsardzības politikas veidotāja un īstenotāja, šajā jomā ir identificējusi problēmas dažādos posmos, tostarp IKT risinājumu un informācijas sistēmu plānošanas un izstrādes stadijā un pēc tam arī ieviešanas un uzturēšanas stadijā. Problēma konstatējama arī IKT sistēmu ieviešanas un uzturēšanas stadijā, kā arī vēlāk IKT sistēmu uzraudzības nodrošināšanā. Saskaņā ar ITDL 8. pantu, kiberdrošības pārvaldību katrā iestādē nodrošina tās vadītājs. Attiecīgi iestādes pārziņā ir pieņemt lēmumus un īstenot darbības, lai nodrošinātu augstu kiberdrošības līmeni. Pašreiz nacionālajā tiesiskajā regulējumā nav noteikta iestāde, kura veiktu tematiskās informācijas sistēmu pārbaudes, pārbaudot vai iestādes atbilst Ministru kabineta noteikumos, kas nosaka kārtību, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām kiberdrošības prasībām. Līdz ar to nereti ir konstatējamas situācijas, kad iestāde nespēj identificēt būtiskākos kiberriskus, kā rezultātā piešķir neatbilstošu kiberdrošības līmeni savām sistēmām. Rezultātā valstī svarīgas sistēmas netiek noteiktas kā paaugstinātas drošības sistēmas, un tām netiek nodrošināta aizsardzība pietiekoši augstā līmenī. Ņemot vērā norādīto, ir nepieciešams celt valsts un pašvaldību iestāžu kibernoturības līmeni, uzlabot pastāvošo kiberdrošības pārvaldības modeli un celt atbildīgo institūciju kapacitāti. NIS2 direktīvas mērķis ir novērst atšķirības kiberdrošības prasību noteikšanā un piemērošanā, kā arī kiberdrošības pasākumu īstenošanā dažādās dalībvalstīs. Lai to panāktu, NIS2 direktīvā ir noteiktas minimālās prasības tiesiskajam regulējumam, kā arī ir noteikti mehānismi efektīvai sadarbībai starp katras dalībvalsts kompetentajām iestādēm. NIS2 direktīva kalpo par pamatu kiberdrošības risku (turpmāk – kiberriski) pārvaldības pasākumiem un ziņošanas pienākumiem par kiberincidentiem visās nozarēs, uz kurām attiecas NIS2 direktīva, piemēram, enerģētikas, transporta, veselības un digitālās infrastruktūras jomā.
[1] Komisijas Ieteikums 2003/361/EK (2003. gada 6. maijs) par mikrouzņēmumu, mazo un vidējo uzņēmumu definīciju (OV L 124, 20.5.2003., 36. lpp.).
[2] Latvijas kiberdrošības stratēģija 2019.—2022. gadam, pieejama: http://tap.mk.gov.lv/lv/mk/tap/?pid=40466584
[3] Latvijas kiberdrošības stratēģija 2023.—2026. gadam, pieejama: https://tapportals.mk.gov.lv/legal_acts/dcaf6fc4-4dbe-491d-bcc6-1579837cd1f6
[4] Digitālās transformācijas pamatnostādnes 2021.—2027. gadam, pieejamas: https://likumi.lb/ta/id/324715-par-digitalas-transformacijas-pamatnostadnem-20212027-gadam
Likumprojekta būtiskākās izmaiņas pret pašreiz spēkā esošo ITDL:
1) tiek izveidots Nacionālais kiberdrošības centrs, nosakot tā statusu, funkcijas, tiesības un pienākumus;
2) likumprojekts papildināts ar normām, kas izriet no NIS2 direktīvas, tostarp, nosakot subjektus, paredzot koordinētu ievainojamību atklāšanu, uzraudzības mehānismus un sodīšanu par noteikto prasību nepildīšanu;
3) iekļautas tiesību normas, kas regulē informācijas un komunikācijas tehnoloģiju resursu aizsardzību pret pakalpojumatteices kiberuzbrukumiem;
4) iekļautas tiesību normas, kas regulē datu centru kiberdrošību (tostarp Latvijas Universitātes Matemātikas un informātikas institūta struktūrvienības (turpmāk – CERT.LV) drošības operāciju centru izveide, kā arī deleģējums Ministru kabinetam noteikt datu centru drošības prasības);
5) iekļautas tiesību normas, kas regulē vienotā valsts interneta apmaiņas punkta (GLV-IX) pakalpojumu nodrošināšanu;
6) iekļautas tiesību normas, kas regulē kiberrisku pārvaldības plānu izstrādi un koordinēšanu, kā to nosaka NIS2 direktīva.
Būtiskākās izmaiņas NIS2 direktīvā pret NIS direktīvu:
1) novērstas atšķirības starp pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, tā vietā klasificējot vienības kā būtiskas un svarīgas;
2) izveidots Eiropas Kiberkrīžu sadarbības organizācijas tīkls (EU-CyCLONE), lai veicinātu koordinētu kiberdrošības pārvaldību liela mēroga kiberincidentu un krīžu gadījumā ES mērogā;
3) izveidots administratīvo sankciju saraksts (līdzīgi kā Vispārīgajā datu aizsardzības regulā noteiktajam), tai skaitā paredzot noteikt naudas sodus par kiberdrošības risku ziņošanas un pārvaldības pienākumu pārkāpšanu;
4) paredzētas paaugstinātas drošības prasības uzņēmumiem, ieviešot riska pārvaldības pieeju un paredzot obligāti piemērojamo drošības pamatelementu sarakstu. Tas paredz ieviest precīzākus noteikumus par ziņošanas procesu par kiberincidentiem, ziņojumu saturu un laiku (24 stundu laikā pēc kiberincidenta atklāšanas);
5) ieviesti stingrāki uzraudzības pasākumi valsts iestādēm, stingrākas izpildes prasības, kuru mērķis ir saskaņot sankciju režīmus visās dalībvalstīs;
6) ES mērogā tiek stiprināta galvenā informācijas un komunikācijas tehnoloģiju kiberdrošība. Dalībvalstīm sadarbībā ar Komisiju un Eiropas Savienības Kiberdrošības aģentūru (turpmāk – ENISA) būs jāveic koordinēti kritisko piegādes ķēžu riska novērtējumi, kas balstīti uz efektīvu pieeju, kas savukārt pieņemta saistībā ar Komisijas ieteikumu par 5G tīklu kiberdrošību.
Likumprojekta 3. pantā noteikta Likumprojekta darbības joma, paredzot, ka likums attiecas uz būtisko pakalpojumu sniedzējiem, svarīgo pakalpojumu sniedzējiem un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, kas ir šī likumprojekta subjekti. Tāpat likumprojekts attiecas uz tiešās un pastarpinātās pārvaldes iestādēm, atvasinātajām publiskajām personām un citām valsts institūcijām, izņemot valsts drošības iestādes, kā arī uz privāto tiesību juridiskajām personām un likumprojektā noteiktos gadījumos – uz fiziskām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā. Vienlaikus likumprojekts attiecas uz būtisko un svarīgo pakalpojumu sniedzējiem, kā arī IKT kritisko infrastruktūru, kas nav ne būtisko pakalpojumu sniedzējs, ne svarīgo pakalpojumu sniedzējs.
Likumprojekta 3. panta otrajā un trešajā daļā savukārt paredzēts, uz ko likums neattiecas, paredzot, ka likumprojekts neattiecas uz elektronisko sakaru tīklos pārraidāmās informācijas saturu, tostarp, uz informācijas sabiedrības pakalpojumu saturu un audiovizuālajiem darbiem, ja tie netiek izmantoti kā kiberincidentu sastāvdaļa, kā arī attiecas uz finanšu vienībām Eiropas Parlamenta un Padomes regulas par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014 (turpmāk – DORA regula) 2. panta 2. punkta izpratnē ciktāl tas nav pretrunā ar DORA regulu un citiem normatīvajiem aktiem par šo finanšu vienību kiberdrošību.
Šāds izņēmums attiecībā uz finanšu vienībām paredzēts, jo NIS2 direktīva paredz, lai izvairītos no ES tiesību aktos paredzēto kiberdrošības noteikumu sadrumstalotības, var tikt izdoti papildu nozarspecifiski ES tiesību akti (lex specialis), lai nodrošinātu augstu kiberdrošības līmeni, kas var būt attiecināmi uz kiberdrošības risku pārvaldības pasākumiem un ziņošanas pasākumiem. NIS2 direktīva nosaka, ja nozarspecifiska ES tiesību akta nosacījumi paredz būtiskajām un svarīgajām vienībām pieņemt kiberdrošības risku pārvaldības pasākumus vai ziņot par liela mēroga kiberincidentiem un, ja šādas prasības to ietekmes ziņā ir vismaz līdzvērtīgas NIS2 direktīvā noteiktajiem pasākumiem, tad šos noteikumus jāpiemēro (tostarp noteikumus par uzraudzību un izpildes panākšanu) šādām vienībām. NIS2 direktīva nosaka, ka DORA regula ir uzskatāma par nozarspecifisku ES tiesību aktu saistībā ar NIS2 direktīvu tieši attiecībā uz finanšu vienībām. Attiecīgi NIS2 direktīva paredz, ka NIS2 izklāstīto noteikumu vietā būtu piemērojami DORA regulas nosacījumi par informācijas un komunikācijas tehnoloģiju risku pārvaldības pasākumiem, ar informācijas un komunikācijas tehnoloģiju saistītu incidentu pārvaldību un incidentu paziņošanu, kā arī digitālās darbības noturības testēšanu u.c. Tāpēc dalībvalstīm NIS2 direktīvas noteikumi par kiberdrošības risku pārvaldību un ziņošanas pasākumiem, kā arī uzraudzību un izpildes panākšanu nebūtu jāpiemēro finanšu vienībām, uz kuriem attiecas DORA regula, ņemot vērā arī to, ka DORA regula paredz līdzvērtīgas vai pat stingrākas prasības. Tas nenozīmē, ka finanšu sektors izpaliek no kopējās kiberdrošības vides un nacionālās kiberdrošības stratēģijas – notiks uzraudzības iestāžu sadarbība ar NIS2 8. pantā minēto vienoto kontaktpunktu, atbilstoši NIS2 un DORA mērķiem, jo gan NIS2 direktīva, gan DORA regula paredz, ka ir svarīgi uzturēt ciešas attiecības un informācijas apmaiņu ar finanšu sektoru saskaņā ar NIS2 direktīvu.
NIS2 direktīvā tiek novērstas atšķirības starp pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, tāpēc NIS2 direktīvā vienības tiek klasificētas pēc to nozīmības, izdalot būtiskās un svarīgās vienības (likumprojektā - subjekti), uz kurām attieksies dažādi uzraudzības režīmi. Atšķirībā no NIS direktīvas, kas nosaka drošības prasības dalībvalstu pamatpakalpojumu sniedzējiem un digitālo pakalpojumu sniedzējiem, NIS2 direktīva iekļauj papildu sektorus, tā attieksies uz konkrētām publiskām vai privātām būtiskām vienībām (enerģētikas, transporta, banku pakalpojumu, finanšu tirgus infrastruktūras, veselības, dzeramā ūdens, notekūdeņu, digitālās infrastruktūras, valsts pārvaldes un kosmosa jomā) un svarīgām vienībām (pasta un kurjeru pakalpojumu, atkritumu apsaimniekošanas, ķīmisko vielu izgatavošanas, ražošanas un izplatīšanas, pārtikas ražošanas, pārstrādes un izplatīšanas, kā arī digitālo pakalpojumu jomā). NIS2 direktīva paredz iekļaut atjauninātu to nozaru un darbību sarakstu, uz kurām attieksies kiberdrošības pasākumu īstenošana un paredzēti tiesiskās aizsardzības līdzekļi, kā arī noteiktas sankcijas, lai nodrošinātu prasību izpildi.
Nacionālais kiberdrošības centrs
NIS2 direktīvas 8. pants nosaka, ka katra dalībvalsts izraugās vai izveido vienu vai vairākas kompetentās iestādes, kas atbild par kiberdrošību un uzraudzības uzdevumiem, kā arī to, ka tieši kompetentās iestādes uzrauga šīs direktīvas īstenošanu valsts līmenī. Likumprojekta 4. pantā noteikts, ka Nacionālais kiberdrošības centrs ir nacionālā kompetentā institūcija kiberdrošības jautājumos, kura īsteno nacionālo kiberdrošības pārraudzību, veido nacionālās kiberdrošības rīcībpolitikas iniciatīvas un savas kompetences ietvaros veido un īsteno starptautisko sadarbību kiberdrošības jomā. Lai veidotu visaptverošu, efektīvu un sistemātisku kiberdrošības pārvaldības modeli, kā arī nodrošināti šā likumprojekta subjektu uzraudzības sistēmu Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir noteiktas kā vadošās iestādes. Nacionālo kiberdrošības centra funkcijas īsteno Aizsardzības ministrija sadarbībā ar CERT.LV, tādējādi apvienojot nacionālās kiberdrošības politikas veidošanu un koordinēšanu, par ko atbildīga Aizsardzības ministrija un incidentu novēršanu, par ko atbildīgs CERT.LV. Jāuzsver, ka neraugoties uz minēto, CERT.LV saglabās vienu no saviem galvenajiem uzdevumiem - sniegt atbalstu informācijas tehnoloģiju drošības incidentu novēršanā jebkurai fiziskai vai juridiskai personai.
Nacionālā kiberdrošības centra mērķis ir:
1) veidot un koordinēt kiberdrošības politiku, kā arī uzraudzīt tās ieviešanu;
2) īstenot nacionālo IKT drošības un nacionālo kiberdrošības pārraudzību;
3) kā nacionālā mēroga vienotajam kontaktpunktam kiberdrošības jomā, nodrošināt visu ar kiberdrošību saistīto jautājumu pārresoru koordināciju;
4) savas kompetences ietvaros veidot un īstenot starptautisko sadarbību kiberdrošības jomā;
5) nodrošināt būtisko un svarīgo pakalpojumu sniedzēju uzraudzību;
6) izstrādāt rekomendācijas kiberdrošības jomā.
Nacionālā kiberdrošības centra uzdevumi un tiesības tiek noteikti likumprojekta 5. un 6. pantā. Likumprojekta 7. un 8. pantā savukārt tiek noteikta Satversmes aizsardzības biroja kompetence, uzdevumi un tiesības, ņemot vērā to, ka tieši Satversmes aizsardzības birojs uzrauga informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru. Paredzēts, ka Nacionālā kiberdrošības centra galvenās darbības jomas būs:
1) kiberdrošības politikas veidošana;
2) kiberdrošības prasību uzraudzība;
3) projektu koordinācija un starptautiskā sadarbība savas kompetences ietvaros;
4) sabiedrības izglītošana kiberdrošības jomā;
5) kiberincidentu reaģēšana un risināšana;
6) kiberdrošības un ielaušanās testi;
7) tehnoloģisko risinājumu izpēte un draudu analīze;
8) drošības operāciju centru darbības nodrošināšana valsts IKT resursu datu centros.
Nacionālajam kiberdrošības centram kā nacionālajai kompetentajai institūcijas kiberdrošības jautājumos NIS2 direktīvas izpratnē būs jānodrošina, lai tiktu identificētas vienības, kas darbojas NIS2 direktīvā noteiktajās nozarēs, un lai šīs vienības veiktu atbilstīgus un samērīgus tehniskos un organizatoriskos pasākumus kiberdrošības risku pārvaldībai. Gadījumā, ja subjekti neievēro NIS2 direktīvā noteiktās drošības prasības, kompetentajai iestādei ir tiesības veikt dažādas izpildes darbības, piemēram, izdot brīdinājumu, saistošus norādījumus, uzdot izbeigt kādu rīcību, novērst prasību neizpildi konkrētā termiņā un papildus vai atsevišķi piemērot arī sankcijas. Ņemot vērā, ka Nacionālajam kiberdrošības centram būs uzraugošas funkcijas pār būtisko un svarīgo pakalpojumu sniedzējiem, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, jo tās uzraudzību nodrošinās Satversmes aizsardzības birojs atbilstoši likumprojekta 37. pantā noteiktajam subjektu uzraudzības dalījumam.
Kiberincidentu novēršanas institūcijas, to uzdevumi, tiesības un sadarbība
Likumprojekta 9. pantā ir noteiktas kiberincidentu novēršanas institūcijas, nosakot, ka kiberincidentu novēršanas institūcijas ir institūcijas, kas sniedz atbalstu valsts un pašvaldību institūcijām kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem, un sniedz atbalstu fiziskām un juridiskām personām kiberincidentu novēršanā. Kiberincidentu novēršanas institūciju uzdevumus veic Militārās izlūkošanas un drošības dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem, savukārt Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām, kā arī privāto tiesību juridiskajām personām. Kiberincidentu novēršanas institūciju uzdevumi un tiesības noteiktas Likumprojekta 10. un 11. pantā. Līdzīgi kā ITDL, arī Likumprojektā noteikta kiberincidentu novēršanas institūciju sadarbība, paredzot, ka kiberincidentu novēršanas institūcijas regulāri savstarpēji apmainās ar informāciju par aktualitātēm kiberincidentu jomā. Savukārt Likumprojekta 12. pantā noteikta kompetento institūciju sadarbība, nosakot sadarbības mehānismu starp Nacionālo kiberdrošības centru, Satversmes aizsardzības biroju un kiberincidentu novēršanas institūcijām, kā arī kiberincidentu novēršanas institūciju sadarbību ar Latvijas Banku, Sabiedrisko pakalpojumu regulēšanas komisiju, Civilās aviācijas aģentūru, Datu valsts inspekciju u.c. institūcijām. Savukārt Likumprojekta 13. pantā ir noteikts, ka subjektu, valsts un pašvaldību institūciju un privāto tiesību juridisko personu pienākums ir sadarboties ar kiberincidentu novēršanas institūcijām, Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju, sniedzot tām nepieciešamo informāciju un pildot to likumīgās prasības.
Likumprojekta 14. pantā noteikts, ka Nacionālā kibedrošības padome ir koleģiāla institūcija, kas izveidota ar mērķi, lai koordinētu ar informācijas tehnoloģiju drošību saistītās politikas izstrādi, kā arī attiecīgu uzdevumu un pasākumu plānošanu un īstenošanu. Nacionālo informācijas tehnoloģiju drošības padomi izveido Ministru Prezidents un tās darbību nodrošina vadošā valsts pārvaldes iestāde aizsardzības nozarē. Likumprojektā ir precizēts Informācijas tehnoloģiju drošības likumā ietvertais Nacionālās informācijas tehnoloģiju drošības padomes nosaukums, padomes nosaukumu salāgojot ar Likumprojektā ietverto terminoloģiju. Attiecīgi Likumprojektā vārdi “informācijas un komunikāciju tehnoloģijas” un “informācijas tehnoloģiju drošība” tiek aizstāts ar vārdu “kiberdrošība”, līdzīgi kā mainās Likumprojekta nosaukums pret pašreiz spēkā esošo ITDL.
NIS2 direktīvas subjektu identifikācija
Būtisko pakalpojumu sniedzēji ir ietverti Likumprojekta 16. pantā, savukārt svarīgo pakalpojumu sniedzēji ir ietverti Likumprojekta 17 pantā. Papildus NIS2 direktīvā ietvertajām būtiskajām un svarīgajām vienībām, kas ietvertas NIS2 direktīvas I un II pielikumā un attiecīgi Likumprojektā norādītas 16. un 17. pantā, tiek paplašināts NIS2 direktīvas tvērums, papildus nacionālajā tiesiskajā regulējumā kā svarīgo pakalpojumu sniedzēju ietverot arī apsardzes pakalpojumu sniedzējus. Šo pakalpojumu sniedzēju iekļaušana Likumprojekta 17. pantā pamatojama ar to, ka apsardzes kompānijas sniedz savus pakalpojumus valsts un pašvaldības iestādēm, tostarp arī informācijas un komunikācijas kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem, līdz ar to, tas skar valsts drošību un var potenciāli radīt draudus nacionālajai drošībai, tāpēc apsardzes pakalpojumu sniedzējiem ir jāatbilst Likumprojektā noteiktajām drošības prasībām.
Savukārt Likumprojekta subjektu loka paplašināšana ārpus NIS2 direktīvas tvēruma likumprojekta 17. panta otrajā daļā, iekļaujot izglītības informācijas sistēmu uzturētājus, ir pamatojama ar nepieciešamību nacionāli stiprināt informācijas sistēmu kiberdrošību un kibernoturību. Izglītības informācijas sistēmās cita starpā tiek apstrādāti nepilngadīgu personu dati, kuriem saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) preambulas 38. punktu pienākas īpaša personas datu aizsardzība. Aizsardzības ministrijas vērtējumā izglītības informācijas sistēmas ir īpaši pakļautas kiberriskiem un samērā bieži kļūst par kiberuzbrukumu mērķi. Pašlaik Latvijā izglītības informācijas sistēmām nav noteiktas konkrētas kiberdrošības prasības, kā arī nav vienotas iestādes vai institūcijas, kas pārraudzītu šo sistēmu kiberdrošību. Tādējādi, lai mazinātu kiberapdraudējumu izglītības informācijas sistēmām, Likumprojekts paredz, ka šo sistēmu uzturētāji tiek uzskatīti par svarīgo pakalpojumu sniedzējiem, un uz tiem attiecas šajā likumā un tam pakārtotajos Ministru kabineta noteikumos noteiktās kiberdrošības prasības, kuru izpildi Likumprojektā noteiktajā kārtībā uzraudzīs Nacionālais kiberdošības centrs.
Gadījumā, ja attiecībā uz pakalpojuma sniedzēju vienlaicīgi izpildās būtisko pakalpojumu sniedzēja un svarīgo pakalpojumu sniedzēja pazīmes, šāds pakalpojuma sniedzējs šā Likumprojekta izpratnē uzskatāms par būtisko pakalpojumu sniedzēju. Piemēram, valsts dibināta augstskola, kas vienlaikus ir atvasināta publiska persona un izglītības informācijas sistēmas uzturētājs, šā Likumprojekta izpratnē uzskatāma par būtisko pakalpojumu sniedzēju, savukārt šīs augstskolas dibinātās pastarpinātās pārvaldes iestādes (piemēram, zinātniskie institūti), kā arī subjekti, kas uztur augstskolas izglītības informācijas sistēmas (piemēram, privāto tiesību juridiskā persona - izglītības informācijas sistēmas ārpakalpojuma sniedzējs), uzskatāmi par svarīgo pakalpojumu sniedzējiem.
Likumprojekta 18. panta pirmajā daļā noteikts, ka pakalpojumu sniedzēji veic pašizvērtējumu, nosakot savu atbilstību būtiska pakalpojuma sniedzēja vai svarīga pakalpojuma sniedzēja statusam, par to informē Nacionālo kiberdrošības centru, iesniedzot informāciju par pakalpojuma sniedzēja nosaukumu, adresi, kontaktpersonu, interneta protokola adresēm, tautsaimniecības nozarēm, kurās veic saimniecisko darbību, un sniegto pakalpojumu būtību, kā arī norādot citas valstis, kurās pakalpojumu sniedzējs sniedz pakalpojumus. 18. panta pirmās daļas 1. apakšpunktā un Likumprojekta 20. panta otrajā daļā ir paredzēts norādīt personas kodu, jo personas koda norādīšana ir nepieciešama, lai izpildītu uz Aizsardzības ministriju (Nacionālo kiberdrošības centru) attiecināmu tiesisko pienākumu, saistībā ar administratīvo aktu izdošanu. Savukārt, Satversmes aizsardzības birojam attiecībā uz IKT kritisko infrastruktūru personas koda norādīšana ir nepieciešama, lai precīzi identificētu fizisko personu un varētu veikt tās pārbaudi, kas ir tieši kontekstā ar Likumprojekta 20. pantā noteikto kiberdrošības pārvaldnieka noteikšanu attiecīgajā subjektā.
Savukārt, Likumprojekta 18. panta trešajā daļā noteikts, ka Nacionālais kiberdrošības centrs apkopo un Digitālās drošības uzraudzības komiteja apstiprina būtisko un svarīgo pakalpojumu sniedzēju sarakstu. Likumprojekta 20. pantā ir noteikts subjekta pienākums izstrādāt kiberrisku pārvaldības plānu, kā arī nodrošināt darbiniekiem regulāras apmācības efektīvai plānā iekļauto pasākumu īstenošanai. Kiberrisku pārvaldības plānā iekļaujamās informācijas kopumu nosaka Ministru kabinets.
Subjektu kiberdrošības pārvaldība
NIS2 direktīvas 20. panta 1. punktā noteikts, ka dalībvalstis nodrošina, ka būtisku un svarīgu vienību pārvaldes struktūras apstiprina kiberdrošības risku pārvaldības pasākumus, ko minētās vienības veikušas, lai izpildītu NIS 2direktīvas 21. panta prasības, pārrauga to īstenošanu, un no tām var prasīt atbildību par to, ka vienības ir pārkāpušas minēto pantu. Attiecīgi Likumprojekta 20. pantā noteikta subjekta vadītāja un kiberdrošības pārvaldnieka kompetence, paredzot, ka subjekta kiberdrošības pārvaldību nodrošina un par to atbild subjekta vadītājs un katra subjekta vadītājs nosaka atbildīgo personu, kura īsteno un pārrauga kiberdrošības pasākumu īstenošanu attiecīgajā subjektā. Prasības kiberdrošības pārvaldniekam noteiks Ministru kabinets.
Likumprojekta 22. pantā ir noteikti subjekta pienākumi kiberapdraudējuma pārvaldības jomā, nosakot, ka subjekts veic piemērotus un samērīgus tehniskus un organizatoriskus pasākumus, lai atbilstīgi pārvarētu informācijas un komunikācijas tehnoloģiju tīklu un pakalpojumu kiberapdraudējumus kā tas noteikts NIS2 direktīvas 32. panta 1. punktā. Skaidrojam, ka minimālās kiberdrošības prasības attiecas tikai uz būtisko un svarīgo pakalpojumu sniedzējiem, savukārt informācijas un komunikācijas tehnoloģiju prasības ir attiecināmas uz visām jomām.
Savukārt Likumprojekta 23. pantā paredzēts, ka subjekts sastāda kiberrisku pārvaldības un darbības nepārtrauktības plānu, tajā norādot tehniskos un organizatoriskos pasākumus kiberapdraudējuma pārvarēšanai. Attiecībā uz agrās brīdināšanas sensoriem, datu centru kiberdrošību, kā arī aizsardzību pret pakalpojumatteices kiberuzbrukumiem. Likumprojekta 24., 25. un 26. pantā noteikts deleģējums Ministru kabinetam noteikt kritērijus kiberdrošības agrās brīdināšanas sensoru obligātai uzstādīšanai subjektu informācijas un komunikācijas tehnoloģiju infrastruktūrā; noteikt datu centru drošības prasības, valsts informācijas un komunikācijas tehnoloģiju sistēmu izvietošanas noteikumus datu centros un kiberdrošības operāciju centru izveides un darbības noteikumus datu centros, kā arī; noteikt prasības informācijas un komunikācijas tehnoloģiju infrastruktūras un interneta resursu aizsardzībai pret pakalpojumatteices kiberuzbrukumiem.
Likumprojektā ietverts termina “datu centrs” skaidrojums, nosakot, ka datu centrs ir telpa vai telpu komplekss, kas paredzēts informācijas tehnoloģiju un elektronisko sakaru tīkla iekārtu centralizētai izmitināšanai, savstarpējai savienošanai un darbībai, kas nodrošina datu uzglabāšanas, apstrādes un pārsūtīšanas (transportēšanas) pakalpojumus, kā arī visas iekārtas un infrastruktūras elektroenerģijas sadalei un klimata kontrolei, kā arī nepieciešamo noturības un drošības līmeni, kas nepieciešams, lai nodrošinātu pakalpojuma pieejamību atbilstoši noteiktajām prasībām.
Plānots veidot datu centrus un izstrādāt datu centru drošības prasību gradāciju, tādējādi veidojot daļēji centralizētu IKT pārvaldības modeli, kas paredz IKT koplietošanas pakalpojumu nodrošināšanu ar vairāku specializētu datu centru – koplietošanas pakalpojumu sniedzēju – palīdzību. Plānots veidot četrus koplietošanas datu centrus (Zemkopības ministrija, Latvijas valsts radio un televīzijas centrs, Bibliotēka un Iekšlietu ministrijas informācijas centrs), kuros tiks apvienoti vairāku valsts un pašvaldības iestāžu datu centri un to pakalpojumu grozu komponentes, t.i., žurnālfailus, datu plūsmas, serveru veiktspējas datu un drošības prasību uzraudzība.
Valsts un pašvaldības iestādes varēs nogādāt savus serverus datu centrā un daļu atbildības par serveri nodot datu centram. Tāpat tiks nodrošināti un būs pieejami dažādu līmeņu virtualizācijas pakalpojumi, iestādes varēs izvēlēties, kas tām tiek nodrošināts centralizēti, un par ko turpinās rūpēties iestādes administratori. Datu centru un citu datu centru, kur tiek uzturēti valsts un pašvaldību IKT resursi, drošības līmeņiem un tiem atbilstošām drošības prasībām. Datu centros izvietotie IKT resursi – informācijas sistēmas, reģistri, datu bāzes ir dažāda rakstura, sākot ar dokumentu un resursu vadības sistēmām un informatīvajām mājaslapām, līdz plaši izmantojamiem e-pakalpojumiem, kas var kļūt par kiberuzbrukumu mērķi, vai kritiski nozīmīgiem reģistriem, kuru datu kompromitēšana var radīt plašas un iespējams pat neatgriezeniskas sekas.
Ņemot vērā minēto, uzskatām, ka nepieciešams definēt datu centru organizatorisko un tehnisko kritēriju kopumu, tostarp arī minimālās drošības prasības, kādām jāatbilst datu centriem, lai nodrošinātu spēju aizsargāt tajos izvietotos resursus. Vienlaikus norādām, ka datu centru veidošana un drošības prasību gradācijas izstrāde neierobežos valsts pārvaldes iestāžu un kapitālsabiedrību iespējas izvēlēties savām vajadzībām vispiemērotāko datu glabāšanas risinājumu, tai skaitā arī, piemēram, izvietot valsts IKT kādā no privātajiem datu centriem ar nosacījumu, ka šis centrs ievērto tam noteiktās drošības prasības, un tā piedāvājums ir konkurētspējīgs.
Līdz ar datu centru izveidi, lai valstī veidotu visaptverošu, centralizētu kiberdrošības stiprināšanas modeli, nepieciešams paredzēt CERT.LV operacionālo šūnu jeb Security Operations Centre (SOC) integrēšanu katrā no plānotajiem datu centriem. Tas savukārt datu centros nodrošinātu mūsdienu izaicinājumiem atbilstošas apdraudējumu monitoringa, reaģēšanas, izmeklēšanas un apdraudējumu identificēšanas (threat hunt) spējas.
Tas praktiski nozīmētu to, ka katrā no datu centriem darbotos ekspertu komanda, kura uzraudzītu iestāžu apmaiņas plūsmu, tai skaitā, monitorētu, analizētu un reaģētu uz drošības apdraudējumiem un uzbrukumiem, kuri vērsti pret datu centra infrastruktūru vai konkrētajām iestādēm. CERT.LV operacionālo šūnu jeb drošības operāciju centra izveidošana katrā no datu centriem nodrošinās daļēji centralizētu valsts pārvaldes iestāžu IKT sistēmu kiberdrošības uzraudzības modeli.
Tāpat Likumprojektā tiek skaidrots termins “pakalpojumatteices kiberuzbrukums”, nosakot, ka tas ir uzbrukums, kas tiek izdarīts pret pakalpojuma sniedzēja infrastruktūru ar mērķi negatīvi ietekmēt pakalpojuma pieejamību. Šāda veida uzbrukums var būt izraisīts ar daudziem faktoriem, tostarp pārslogotību, vīrusiem, kā arī citām kaitīgām darbībām. Pakalpojumatteices uzbrukumi var radīt nopietnas sekas uz uzņēmuma reputāciju, kā arī radīt finansiālus zaudējumus, tāpēc ir svarīgi, lai uzņēmumi veic atbilstīgus drošības pasākumus, lai novērstu šāda veida uzbrukumus. Likumprojekta 27. pantā noteikts vienotā valsts interneta apmaiņas punkta izveides mērķis. Paredzēts, ka Ministru kabinets nosaka vienotā valsts interneta plūsmu apmaiņas punkta darbības un pakalpojumu sniegšanas un saņemšanas kārtību, kritērijus valsts un pašvaldību instītūciju un subjektu iekļaušanai vienotā valsts interneta plūsmu apmaiņas punkta pakalpojumu saņēmēju sarakstā, kā arī valsts un pašvaldību institūcijas un subjektus, kuriem ir noteikta prasība datu plūsmu nepastarpināti virzīt caur vienoto valsts interneta plūsmu apmaiņas punktu.
Rīcība kiberincidenta gadījumā
ITDL 6. pantā noteikta rīcība informācijas tehnoloģiju drošības incidenta gadījumā. Atšķirībā no Informācijas tehnoloģiju drošības likuma, Likumprojektā ir nodalīta subjekta rīcība no kiberincidentu novēršanas institūcijas rīcības kiberincidenta gadījumā, tādējādi padarot uzskatāmākus pasākumus, kuri veicami kiberincidenta gadījumā. Likumprojekta 30. pantā noteikta subjekta rīcība kiberincidenta gadījumā, paredzot, ka konstatējot kiberincidentu, subjekts nekavējoties veic visas kiberincidenta novēršanai nepieciešamās darbības un nekavējoši informē par kiberincidentu kompetento kiberincidentu novēršanas institūciju, kā arī izpilda tās sniegtās rekomendācijas par rīcību kiberincidenta gadījumā. Subjektam četru stundu laikā pēc tam, kad ir konstatēts nozīmīgs kiberincidents, vai tiklīdz tas kļuvis iespējams, elektroniski ir jāiesniedz kompetentajai kiberincidentu novēršanas institūcijai ziņojumu par kiberincidenta novēršanu. Mēneša laikā pēc sākotnējā ziņojuma iesniegšanas par nozīmīgu kiberincidentu vai nozīmīga kiberincidenta novēršanas, subjektam mēneša laikā ir elektroniski jāiesniedz kompetentajai kiberincidentu novēršanas institūcijai ziņojumu par kiberincidenta novēršanu.
Likumprojekta 29. panta desmitajā daļā noteikts, ka pēc kompetentās kiberincidentu novēršanas institūcijas vai Nacionālā kiberdrošības centra pieprasījuma ne ilgāk kā uz piecām dienām slēgt galalietotājam piekļuvi elektronisko sakaru tīklam, ja galalietotājs būtiski apdraud citu lietotāju tiesības vai informācijas sistēmu, vai elektronisko sakaru tīklu drošību. Pieprasījumā norāda kiberapdraudējumu, piekļuves ierobežojuma ilgumu un, ja nepieciešams, citas papildu darbības, kas veicamas elektronisko sakaru komersantam (piemēram, datu plūsmas pārvirzīšana uz kompetentās kiberincidentu novēršanas institūcijas infrastruktūru). Vienlaikus norādām, ka spēkā esošajā ITDL ir noteikts, ka "valsts un pašvaldību institūcija, informācijas tehnoloģiju kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs drošības incidenta gadījumā nekavējoties veic visas tā novēršanai nepieciešamās darbības (īpaši izpilda Drošības incidentu novēršanas institūcijas rekomendācijas par vēlamo sākotnējo rīcību drošības incidenta gadījumā), kā arī tūlīt informē par notikušo kompetento Drošības incidentu novēršanas institūciju. Drošības incidentu novēršanas institūcija vienojas ar drošības incidenta pieteicēju par atbalsta sniegšanu drošības incidenta novēršanā." Likumprojektā attiecīgi tiek saglabāts identisks formulējums, kas nosaka, ka Likumprojekta tvērumā esošajiem subjektiem ziņošanas pienākums ir obligāts: “Konstatējot kiberincidentu, subjekts nekavējoties veic visas kiberincidenta novēršanai nepieciešamās darbības, kā arī nekavējoši informē par kiberincidentu kompetento kiberincidentu novēršanas institūciju un izpilda tās sniegtās rekomendācijas par rīcību kiberincidenta gadījumā”. Līdzšinējā praksē gan ITDL, gan Likumprojekta subjektiem ziņošana par jebkuru incidentu bijusi obligāta, savukārt personām, kas nav ITDL un Likumprojekta subjekti ziņošana ir brīvprātīga. Uzskatām, ka līdzšinējo praksi nav nepieciešams mainīt un tā saglabājama arī Likumprojektā.
Likumprojekta 31. pantā noteikts kā tiek nodrošināta nozīmīgu kiberincidentu un krīžu vadība. Nozīmīgu kiberincidentu un krīžu vadības mērķus un kārtību nosaka Nacionālajā kiberincidentu krīzes vadības plānā, kuru apstiprina Ministru kabinets. Nacionālajā kiberincidentu krīzes vadības plānā iekļauj:
1) Nacionālā kiberdrošības centra, kiberincidentu novēršanas institūciju un valsts drošības iestāžu uzdevumus, pienākumus un savstarpējo sadarbības mehānismu;
2) ar Nacionālā kiberincidentu krīzes vadības plāna īstenošanu saistītas apmācību aktivitātes un izspēli mācību scenārijos;
3) sadarbības ietvaru ar ārvalstu un starptautiskajiem partneriem;
4) sadarbības ietvaru ar valsts un pašvaldību iestādēm, kā arī privātā sektora pārstāvjiem, uz ko potenciāli attiektos arī nozīmīga kiberincidenta ietekme.
Likumprojekta 32. pantā ir atsevišķi nodalītas un noteiktas ierobežojošās darbības kiberincidenta gadījumā, paredzot, ja kiberincidents nozīmīgi apdraud informācijas sistēmu vai elektronisko sakaru tīklu drošību, un kiberincidentu nav iespējams novērst citā veidā, Nacionālais kiberdrošības centrs ir tiesīgs pieņemt vienu no šādiem lēmumiem:
1) atslēgt vai ierobežot piekļuvi kiberincidentā iesaistītajam augstākā līmeņa domēna ".lv" vārdam;,
2) ierobežot piekļuvi kiberincidentā iesaistītajai interneta protokola (IP) adresei;,
3) ierobežot piekļuvi kiberincidentā iesaistītajai mobilo platformu lietotnei vai;,
4) veikt izmaiņas domēna vārdu sistēmas ierakstos.
Vēršam uzmanību, ka iepriekš attiecīgais lēmums attiecībā uz Likumprojekta 32. panta pirmo daļu tiek pieņemts, ja galalietotāja iekārta veic aktīvus uzbrukumus, kas ietekmē cietušo pieejamību, integritāti, autentiskumu vai konfidencialitāti un citādāk nav iespējams šo apdraudējumu apturēt.
Nacionālajam kiberdrošības centram jāiesniedz Eiropas Komisijā un Eiropas Savienības Kiberkrīžu sadarbības organizācijas tīklā (CyCLONe) informāciju par Nacionālo kibeincidentu krīzes vadības plānu. Likumprojekta 32. panta trešajā daļā ir noteikts, ka Nacionālā kiberdrošības centra lēmums stājas spēkā tā paziņošanas brīdī. Lēmuma apstrīdēšana vai pārsūdzēšana neaptur tā darbību un izpildi. Šāds tiesiskais regulējums Likumprojektā iekļauts, lai nodrošinātu iespēju nekavējoties novērst tūlītēju kaitējumu, ko rada vai var radīt kiberincidents. Lēmuma darbības vai izpildes apturēšana var radīt nesamērīgu kaitējuma risku vitāli svarīgām valsts un sabiedrības drošības interesēm un nebūtu pieļaujama. Jāuzsver, ka pretstatā Informācijas tehnoloģiju drošības likumā ietvertajam regulējumam, Likumprojekts neparedz atsevišķi izdalīt rīcību informācijas tehnoloģiju drošības nepilnības konstatēšanas gadījumos un termins “drošības nepilnība” Likumprojektā netiek ietverts un lietots. Tas pamatojams ar to, ka izstrādājot Likumprojektu tika konstatēts, ka termins “drošības nepilnība”, kas ir definēts Informācijas tehnoloģiju drošības likumā ir daļa no termina “ievainojamība”, kas savukārt tiek skaidrots Likumprojektā. NIS2 direktīvas 6. panta 15. apakšpunktā skaidrots, ka “ievainojamība” ir IKT produktu vai pakalpojumu vājums, uzņēmība pret tehniskām problēmām vai nepilnība, ko var izmantot kiberdraudiem. Ņemot vērā norādīto, Likumprojekta 1. panta 4. apakšpunktā arī ietverts līdzīgs termina “ievainojamība” skaidrojums, kas ietver arī terminu "drošības nepilnības".
Likumprojekta 33. pantā noteikta kiberincidentu attiecināšana, paredzot, ka Ministru kabinets nosaka kārtību un kritērijus, kādā Latvija veic kiberincidentu attiecināšanu. Attiecināšana ir nacionāls lēmums par atbildīgā noteikšanu kiberincidenta veikšanā. Lēmums par attiecināšanu tiek pieņemts, analizējot noteiktu pazīmju kopumu. Attiecināšana tiek veikta ar mērķi novērst, apturēt kiberincidentu vai mazināt tā negatīvās sekas. Pievienošanās citas valsts, Eiropas Savienības, NATO vai citas starptautiskas organizācijas iniciētai kiberincidenta attiecināšanai var kalpot kā solidaritātes apliecinājums un nodot signālu kiberincidenta īstenotājam par veikto darbību konstatēšanu un nepieciešamību ievērot valstu atbildīgu uzvedību kibertelpā.
Pēc Ministru kabineta kārtības un kritēriju, kādā Latvija veic kiberincidentu attiecināšanu izstrādes varētu būt nepieciešams lemt par papildus finansējumu piešķiršanu atbildīgajām iestādēm kārtībā noteikto papildus funkciju īstenošanai.
Likumprojekta 34. un 35. pantā noteikta koordinēta ievainojamību atklāšana un novēršana. Likumprojektā tiek noteikts, ja persona piekļūstot informācijas sistēmai vai elektronisko sakaru tīklam, tajā konstatē ievainojamību, tā nekavējoties, bet ne vēlāk kā piecu darba dienu laikā iesniedz ievainojamības atklāšanas ziņojumu kompetentajai kiberincidentu novēršanas institūcijai. Kompetentā kibeincidentu novēršanas institūcija apstiprina ievainojamības atklāšanas ziņojuma saņemšanu un tajā ietverto informāciju. Ja iesniegtā informācija kiberincidentu novēršanas institūcijas vērtējumā ir pamatota, tā nekavējoties par to informē attiecīgo subjektu.Subjekts kompetentās kiberincidentu novēršanas institūcijas noteiktajā termiņā, bet ne vēlāk kā 90 dienu laikā no informācijas saņemšanas brīža, veic ievainojamības novēršanai nepieciešamās darbības un par ievainojamības novēršanu informē kompetento kiberincidentu novēršanas institūciju. Ar Likumprojekta 34. panta piektajā ietvertajām kompetentās kiberincidentu novēršanas institūcijas pilnvarām noteikt nosacījumus, kārtību un apjomu, kādā var tikt izpausta informācija par atklāto ievainojamību saprotama norādījumu sniegšana konkrētā situācijā noteiktiem subjektiem un ievainojamības atklāšanas ziņojuma iesniedzējam (ievainojamības atklājējam).
Vienlaikus skaidrojam, ka Likumprojekta 35. panta otrajā daļā ir norādīts, ievainojamības atklāšanas ziņojumā iekļaujamās informācijas saturs, paredzot, ka tajā iekļauj ievainojamības konstatēšanas datumu un laiku, ja tas ir iespējams; informāciju par informācijas sistēmu vai elektronisko sakara tīklu, kurā konstatēta ievainojamība; ievainojamības aprakstu; ievainojamības konstatēšanai izmantotās metodoloģijas vai veikto darbību secības aprakstu; ievainojamības atklāšanas ziņojuma iesniedzēja kontaktinformāciju kā arī; citu informāciju, ko ievainojamības atklāšanas ziņojuma iesniedzējs uzskata par nepieciešamu konstatētās ievainojamības identificēšanai un novēršanai. Vēršam uzmanību, ka ar “citu informāciju” saprotama jebkāda cita informācija, kas varētu būt būtiska saistībā ar konstatēto ievainojamību, kuru persona, kas konstatējusi ievainojamību, uzskata par nepieciešamu (bez jau uzskaitītās), lai to iekļautu/ norādītu ievainojamības atklāšanas ziņojumā.
Subjektu uzraudzība
NIS2 direktīvas 32. pantā un 33. pantā noteikti uzraudzības un izpildes panākšanas pasākumi attiecībā uz būtiskajām un svarīgām vienībām, nosakot, ka dalībvalstis nodrošina, ka uzraudzības vai izpildes panākšanas pasākumi, kas noteikti būtiskajām un svarīgām vienībām attiecībā uz NIS2 direktīvā noteiktajiem pienākumiem, ir iedarbīgi, samērīgi un atturoši, ņemot vērā katra atsevišķa gadījuma apstākļus.
Likumprojekta 36. pantā noteikts, ka subjekta uzraudzība ietver kiberdrošības prasību ievērošanas kontroli, IKT klātienes pārbaudes un attālinātu pārraudzību, dokumentācijas pārbaudes, tostarp attiecība uz risku vadību un auditos konstatēto nepilnību novēršanu. Likumprojekta 37. pantā tiek noteikts uzraugošo iestāžu dalījums paredzot, ka subjektu uzraudzību veic Nacionālais kiberdrošības centrs attiecībā uz būtisko un svarīgo pakalpojumu sniedzējiem, izņemot informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru un Satversmes aizsardzības birojs attiecībā uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru. Likumprojekta 38. pantā ir noteikts, ka subjekts izstrādā atbilstības ikgadējo pašnovērtējuma ziņojumu, kuru līdz kārtējā gada 1. jūlijam atbilstoši Likumprojekta 37. pantā noteiktajam subjektu uzraudzības dalījumam, iesniedz Nacionālajam kiberdrošības centram un Satversmes aizsardzības birojam.
Likumprojekta 39. pantā paredzēts, ka Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi veikt subjekta auditu vai uzdot subjektam veikt ārēju auditu par subjekta atbilstību Likumprojekta un Ministru kabineta noteiktajām kiberdrošības prasībām. Ārēju auditu veic neatkarīgs kiberdrošības auditors, kuram ar subjektu nav interešu konflikta, un kurš ir reģistrēts Digitālās drošības uzraudzības komitejas apstiprinātajā kiberdrošības auditoru sarakstā. Ārēju auditu IKT kritiskajā infrastruktūrā veic ar Satversmes aizsardzības biroju saskaņots kiberdrošības auditors. Likumprojekts paredz, ka ārējā audita izmaksas sedz attiecīgais subjekts un auditā konstatētos pārkāpumus novērš attiecīgais subjekts.
NIS2 direktīvas 32. pantā noteikts, ka “mērķtiecīgo drošības revīziju pamatā ir riska novērtējumi, ko veic kompetentā iestāde vai revidētā vienība, vai cita ar risku saistīta pieejamā informācija. Ikvienas mērķtiecīgās drošības revīzijas rezultātus dara pieejamus kompetentajai iestādei. Šādas neatkarīgas struktūrasveiktas mērķtiecīgas drošības revīzijas izmaksas sedz revidētā vienība, izņemot pienācīgi pamatotus gadījumus, kad kompetentā iestāde nolemj citādi.” Līdz ar to Likumprojektā netiek paredzēti gadījumi, kad ārējā audita izmaksas subjektam nav jāsedz.
Neatbilstību konstatēšanas gadījumā, atbilstoši Likumprojekta 40. pantā noteiktajam, Nacionālais kiberdrošības centrs un Satversmes aizsardzības birojs ir tiesīgi izteikt subjektam brīdinājumu vai attiecīgi uzdot subjektam veikt kādu no šādām darbībām:
1) veikt noteiktas darbības neatbilstības novēršanai;
2) nekavējoties pārtraukt un turpmāk nepieļaut rīcību, kas pārkāpj šajā likumprojektā noteikto;
3) informēt pakalpojumu saņēmējus vai publicēt informāciju par kiberapdraudējumu, tā veidu un apmēru, kā arī tā novēršanai un mazināšanai nepieciešamajām darbībām;
4) informēt pakalpojumu saņēmējus vai publicēt informāciju par konstatētajiem subjekta pārkāpumiem;
5) apturēt subjekta informācijas sistēmas, resursa vai e-pakalpojuma darbību līdz konstatētās neatbilstības novēršanai vai;
6) apturēt IKT produkta tirdzniecību vai pakalpojuma sniegšanu līdz konstatētās neatbilstības novēršanai.
Tiek noteikts, ka subjkets bez nepamatotas kavēšanās veic visus nepieciešamos, piemērotos un samērīgos pasākumus neatbilstību novēršanai, tostarp pilda Nacionālā kiberdrošības centra un Satversmes aizsardzības biroja norādījumus.
Prasība noteikt konkrētus uzraudzības un izpildes panākšanas pasākumus attiecībā uz vienībām izriet no NIS2 direktīvas 32. panta, kurā noteikts, ja noteiktie izpildes pasākumi ir neefektīvi, dalībvalstis nodrošina, ka to kompetentajām iestādēm ir pilnvaras noteikt termiņu, līdz kuram vienībai ir jāveic nepieciešamā rīcība, lai trūkumus novērstu un izpildītu noteiktās prasības. Ja pieprasītā darbība netiek veikta noteiktajā termiņā, dalībvalstis nodrošina, ka kompetentā iestāde izpilda kādu no Likumprojekta 41. panta pirmajā daļā minētajām pilnvarām.
Attiecīgi Nacionālais kiberdrošības centrs izdos lēmumu, kas tiks nosūtīts adresātam izpildei. Tad attiecīgi konkrētā Likumprojekta norma ar lēmumu būs – padarīt attiecīgo resursu nepieejamu tā lietotājiem. Savukārt tehniskais risinājums būs atkarīgs no katra konkrētā gadījuma.
Likumprojekta 41. pantā paredzēta tiesiskā pienākuma piespiedu izpilde, kas paredz, ja tiesiskais pienākums netiek pildīts, Nacionālais kiberdrošības centrs var veikt tiesiskā pienākuma izpildi piespiedu kārtā ar piespiedu naudas palīdzību Administratīvā procesa likuma noteiktajā kārtībā.
Likumprojektā paredzētais piespiedu naudas apmērs būtisko un svarīgo pakalpojumu sniedzējiem atbilst NIS2 direktīvā paredzētajam soda apmēram būtiskajām un svarīgajām vienībām par NIS2 direktīvas pārkāpumiem. Jāuzsver, ka maksimālais likumprojektā paredzētais piespiedu naudas apmērs (10 miljoni euro vai 2 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē IKT kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem un būtisko pakalpojumu sniedzējiem, un 7 miljoni euro vai 1,4 procenti no juridiskās personas pēdējā finanšu gada kopējā neto apgrozījuma pasaulē svarīgo pakalpojumu sniedzējiem) atbilst NIS2 direktīvas 34. panta 4. un 5. punktā noteiktajam minimālajam maksimālā soda apmēram. Savukārt piespiedu naudas apmērs fiziskajai personai (subjekta vadītājam vai kiberdrošības pārvaldniekam) ir nosakāms atbilstoši Administratīvā procesa likuma 370. panta trešajā daļā noteiktajam.
Nacionālā kiberdrošības stratēģija
NIS2 direktīvas 7. pantā noteikts, ka katra dalībvalsts pieņem valsts kiberdrošības stratēģiju, kurā nosaka stratēģiskos mērķus, vajadzīgos resursus minēto mērķu sasniegšanai un atbilstīgus rīcībpolitikas un regulatīvus pasākumus, lai sasniegtu un uzturētu augstu kiberdrošības līmeni. Likumprojekta 42. pantā noteikts, ka Nacionālās kiberdrošības stratēģiju reizi četros gados izstrādā Nacionālais kiberdrošības centrs sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem un to apstiprina Ministru kabinets.
Atbilstoši NIS2 direktīvā un Likumprojektā noteiktajam, Nacionālā kiberdrošības stratēģija nosaka:
1) kiberdrošības pārvaldības stratēģiskos mērķus un modeli, kiberdrošības pārvaldībai nepieciešamos resursus;
2) kiberdrošības pārvaldībā iesaistīto valsts pārvaldes iestāžu lomu sadalījumu, kā arī nacionālos un starptautiskos sadarbības mehānismus;
3) valstiski aizsargājamo informācijas un komunikācijas tehnoloģiju un resursu noteikšanas un kiberrisku izvērtēšanas kārtību;
4) kiberincidentu reaģēšanas un novēršanas plānu izstrādes kārtību un prasības, informācijas apmaiņas veidus un sadarbību starp publisko un privāto sektoru, kā arī;
5) pasākumu kopumu sabiedrības digitālo un kiberdrošības prasmju uzlabošanai.
Visbeidzot Likumprojekta 43. pantā ir noteikti personas datu apstrādes kritēriji, kas saistīti ar notikušu vai potenciālu kiberincidentu novēršanu un analīzi kontekstā ar citiem kiberincidentiem, sadarbību ar nacionālajiem un starptautiskajiem partneriem kiberincidentu novēršanā, kā arī iespējamu novēršanas institūciju sadarbību ar Latvijas Republikas Zemessardzi.
Jāuzsver, ka atbilstoši Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/ 679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk – Vispārīgā datu aizsardzības regula) preambulas 16. punktu, Vispārīgā datu aizsardzības regulu nepiemēro tādu personas datu brīvu apriti, kas saistīta ar darbībām, kuras neietilpst ES tiesību darbības, piemēram, darbībām attiecībā uz valsts drošību. Līdz ar to Likumprojektā ietvertā tiesību norma par personu identificējošās informācijas apstrādi, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, ir pamatojama ar Latvijas valsts drošības interesēm un neietilpst Vispārīgās datu aizsardzības regulas tvērumā.
Tāpat jāuzsver, ka kompetentās kiberincidentu novēršanas institūcijas (Militārās izlūkošanas un drošības dienesta struktūrvienība (MilCERT) un CERT.LV) var garantēt īpaši rūpīgu to rīcībā esošo personas datu aizsardzību. Nacionālais tiesiskais regulējums un starptautiskie tiesību akti paredz ļoti stingru regulējumu attiecībā uz klasificētas informācijas, vai jebkādas informācijas, kas saistīta ar valsts drošības iestāžu darbību vai iegūta valsts drošības iestāžu darbības gaitā, aizsardzību.
Vienlaikus skaidrojam, ka Likumprojektā nav iespējams skaidri definēt apstrādājamo datu veidus jeb kategorijas, jo datu veidi atkarīgi no apdraudējuma vai incidenta veida un satura, kā arī no incidentu ziņojumos iekļautās informācijas. Piemēram, CERT.LV apstrādā datus ne tikai gadījumos, kad subjekti, kuriem likuma prasības jāizpilda obligāti ziņo par incidentu, bet arī ziņojumu atsūta trešās personas brīvprātīgi. Attiecīgi tie var būt jebkāda veida dati, kas saistīti ar apdraudējumu vai incidentu. Datu apjoms atkarīgs no apdraudējuma vai incidenta mēroga, savukārt subjektu loks ir visas personas, ko aptver Nacionālais kiberdrošības likums, tai skaitā gan personas, kurām likums uzliek pienākumus, gan personas, kas vēršas pēc palīdzības brīvprātīgi.
Likumprojekta 44. panta pirmajā daļā noteikts, ka kiberincidentu novēršanas institūcija, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem un apstrādā personu identificējošu informāciju, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, kā arī nodrošinātu saziņu ar iesaistītām personām. Likumprojekta 11. panta pirmās daļas otrajā apakšpunktā savukārt noteikts, ka kiberincidentu novēršanas institūcijām ir tiesības iegūt no valsts un pašvaldību institūcijām un privāto tiesību juridiskajām personām tiešsaistes datu plūsmu pēc abpusējas vienošanās kiberapdraudējuma identificēšanai un novēršanai. Līdz ar to ar kiberincidentu novēršanas institūciju tiesību īstenošanu attiecībā uz datu apstrādi, vēršam uzmanību, ka tas ir gadījumos un pēc vienošanās, kad tas ir nepieciešams ar mērķi, lai identificētu vai novērstu kiberapdraudējumu.
Attiecībā uz Likumprojekta 43. panta otro daļu, kurā noteikts, ka kiberincidentu novēršanas institūcija ir tiesīga uzglabāt un analizēt datus, kas iegūti, lai pamatotu vai izslēgtu aizdomas par drošības nepilnību, ievainojamību un kiberincidentu, un satur personas datus, skaidrojam, ka Likumprojekta attiecīgā panta otrās daļas redakcija pieļauj datu glabāšanu tikai, ja tā ir noderīga saistītu drošības nepilnību, ievainojamību un kiberincidentu atklāšanā vai novēršanā. Citos gadījumos datu glabāšana nav pieļaujama. Likumprojekta 43. panta sestā daļa nosaka, ka personas datus kiberincidentu novēršanas institūcijas drīkst nodot Satversmes aizsardzības birojam tādā apjomā un veidā, lai atpazītu un novērstu tādu drošības nepilnību, ievainojamību vai kiberincidentu, kas var radīt vai rada draudus nacionālajai vai sabiedrības drošībai. Vēršam uzmanību, ka tās primāri ir Latvijas tiesībsargājošās iestādes.
Atbilstoši NIS2 direktīvas prasībām tās var būt arī citas iestādes, kas atbilst NIS2 direktīvas 13. panta ceturtā daļā aprakstītajām iestādēm:
- Nacionālais kiberdrošības centrs (Aizsardzības ministrija un CERT.LV);
- Satversmes aizsardzības birojs;
- Militārās izlūkošanas un drošības dienesta struktūrvienība;
- vienotais kontaktpunkts;
- tiesībaizsardzības iestādes;
- datu aizsardzības iestāde;
- valsts iestādes, kas minētas:
a) civilās aviācijas regulas 300/2008 un 2018/1139
b) elektronisko identifikāciju un uzticamības pakalpojumu elektronisko darījumu veikšanai iestādes 910/2014,
c) finanšu nozare 2022/2554
d) elektronisko sakaru nozare 2018/1972
e) kritiskās infrastruktūras joma 2022/2557
- kā arī kompetentās iestādes, kas minētas citos Savienības nozarspecifiskos tiesību aktos.
Iestāžu uzskaitījums ir iekļauts Nacionālā kiberdrošības likumā, piemēram, CSIRT tīkls, NIS sadarbības grupa, Eiropas Savienības Kiberdrošības aģentūra, Eiropas Savienības dalībvalsts kompetentā institūcija. Atbilstoši NIS2 direktīvas prasībām, citām iestādēm tiek nodoti tikai relevanta informācija, proti, tāda informācija, kas tieši attiecas uz attiecīgās iestādes kompetenci. Piemēram, ja CERT.LV rīcībā nonāk informācija par kiberapdraudējumu un pazīmes norāda uz piederību citai valstij, tad attiecīgā informācija tiek pārsūtīta pēc piederības.
1.4. Izvērtējumi/pētījumi, kas pamato TA nepieciešamību
1.5. Pēcpārbaudes (ex-post) izvērtējums
1.6. Cita informācija
2.1. Sabiedrības grupas, kuras tiesiskais regulējums ietekmē, vai varētu ietekmēt
- lielie uzņēmumi
- vidējie uzņēmumi
- mazie uzņēmumi
- informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašnieki un tiesiskie valdītāji
- tiešās pārvaldes iestādes
- atvasinātas publiskās personas
- pastarpinātās pārvaldes iestādes
- citas valsts institūcijas
1) Uzraudzības iestādes (Nacionālo kiberdrošības centru un Satvermes aizsardzības biroju), kuras veiks subjektu uzraudzību atbilstoši Likumprojekta 38. pantā noteiktajam uzraugošo iestāžu dalījumam. Attiecīgi būs nepieciešams ieplānot papildu personālu, kas attieksies gan uz Aizsardzības ministriju, gan CERT.LV un Satversmes aizsardzības biroju. Satversmes aizsardzības birojam darba apjoms informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras subjektu uzraudzības jomā pieaugs, tādējādi radot nepieciešamību pēc papildu darba stundām. Vienlaikus norādām, ka Likumprojekta 16. un 17. pantā ietverto subjektu precīzu monetāru izvērtējumu nevaram veikt, bet varam veikt tikai nepieciešamo pasākumu apzināšanu, piemēram, papildus darba stundu nepieciešamība, personāla piesaiste.
2) subjektus - būtisko pakalpojumu sniedzējus, svarīgo pakalpojumu sniedzējus un informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekus un tiesiskos valdītājus, kuriem būs nepieciešams ievērot šajā Likumprojektā un uz tā pamata izdotajos Ministru kabineta noteikumos noteiktos pasākumus drošības prasību ievērošanā un ziņošanā par kiberdrošības incidentiem. Ietekme uz uzraugāmajiem subjektiem būs divējāda, kur, pirmkārt, palielināsies administratīvais slogs, jo viņiem tiks prasīts sagatavot drošības dokumentāciju un reizi gadā iesniegt subjekta atbilstības ikgadējo pašnovērtējuma ziņojumu, atbilstoši Likumprojekta 39. pantā noteiktajam. Otrkārt, jāskatās arī ietekme no Likumprojekta un Ministru kabineta noteikumu prasībām, kuras jaunajiem subjektiem būs jāievēro, piemēram, ar ko drīkst slēgt ārpakalpojuma līgumu, kādas iekārtas, programmatūru bez saskaņošanas ir atļauts izmantot. Ja pirmā ietekme (dokumentācijas sagatavošana un informācijas sniegšana vienreiz gadā) ir pamatā papildu darba stundās mērāma, tad šī otra jau var būt resursietilpīga finansiālā ziņā. Attiecībā uz esošajiem informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras īpašniekiem un tiesiskajiem valdītājiem ietekme būs daudz mazāka, jo uz viņiem jau šobrīd attiecas Informācijas tehnoloģiju drošības likums, kā arī Ministru kabineta 2011. gada 1. februāra noteikumi Nr. 100 "Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība" un Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", un Valsts drošības iestāžu rekomendācijas. Respektīvi, uz informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru ietekme būs tikai tām prasībām, kas no jauna tiks iekļautas Likumprojektā un pakārtotajos Ministru kabineta noteikumos;
3) CERT.LV un Satversmes aizsardzības biroju, un kiberincidentu novēršanas institūcijas, kurām saskaņā ar NIS2 direktīvu un šo likumprojektu tiek uzdoti jauni pienākumi;
4) Nacionālo kiberdrošības centru (jaunas funkcijas Aizsardzības ministrijai un CERT.LV), kuram saskaņā ar likumprojektu ir jāveic NIS2 direktīvā noteiktie kompetentās iestādes uzdevumi.
Ņemot vērā, ka pašreiz Likumprojektā ietvertais regulējums nenosaka precīzu subjektu skaitu, tiesiskais regulējums nenosaka precīzu subjektu skaitu, uz kuriem tas attieksies (piemēram, regulējums attiecībā uz drošības prasību ievērošanu), administratīvās izmaksas nav iespējams precīzi noteikt.
2.2. Tiesiskā regulējuma ietekme uz tautsaimniecību
2.2.1. uz makroekonomisko vidi:
-2.2.2. uz nozaru konkurētspēju:
-2.2.3. uz uzņēmējdarbības vidi:
-2.2.4. uz mazajiem un vidējiem uzņēmējiem:
Nosakot minimālās drošības prasības būtisko un svarīgo pakalpojumu sniedzējiem, tas nodrošinās sabiedrībai svarīgu pakalpojumu nepārtrauktību, mazinās risku, ka kiberdrošības incidentu rezultātā netiks neatgriezeniski vai ilglaicīgi traucēta sabiedrībai kritiski svarīgu pakalpojumu saņemšana, un citu negatīvo ietekmi uz sabiedrībai ikdienā svarīgiem pakalpojumiem.
2.2.5. uz konkurenci:
-2.2.6. uz nodarbinātību:
-2.3. Administratīvo izmaksu monetārs novērtējums
2.4. Atbilstības izmaksu monetārs novērtējums
Detalizēta informācija par Aizsardzības ministrijas un CERT.LV personāla amata vietu skaita izmaiņām un atalgojuma palielinājumu ir iekļauta Aizsardzības ministrijas informatīvajā ziņojumā 21-TA-1699 "Par valsts kiberdrošības pārvaldības uzlabošanu" (pieņemts Ministru kabineta 07.06.2022. sēdē, prot. Nr. 30., 4.§) (ierobežotas pieejamības informācija).
Jaunveidojamā Nacionālā kiberdrošības centra personāla un citas izmaksas tiks finansētas no valsts budžeta programmu 97.00.00 “Nozaru vadība un politikas plānošana” un/vai 30.00.00 “Valsts aizsardzības politikas realizācija” atkarībā no izvēlētā institucionālā risinājuma esošā Aizsardzības ministrijas budžeta ietvaros. Aprēķini atlīdzībai 2022.–2025. gadam tika veikti, ņemot vērā bāzes algas apmēru 2022. gadam.
4.1. Saistītie tiesību aktu projekti
4.1.1. Ministru kabineta noteikumu projekts "Grozījums Ministru kabineta 2003. gada 29. aprīļa noteikumos Nr. 236 "Aizsardzības ministrijas nolikums""
4.1.2. Ministru kabineta noteikumu projekts “Grozījumi Ministru kabineta 2015. gada 28. jūlija noteikumos Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām””
4.1.3. Ministru kabineta instrukcijas projekts “Kārtība un kritēriji, kādā Latvija veic kiberincidentu attiecināšanu.”
Ministru kabineta instrukcijas projekts tiks izstrādāts, lai noteiktu klasificētu kārtību un kritērijus, kādā Latvijas Republika iniciē kiberincidenta attiecināšanu vai pievienojas citas valsts, Eiropas Savienības, NATO vai citas starptautiskās organizācijas iniciētai kiberincidenta attiecināšanai.
4.1.4. Ministru kabineta noteikumi par datu centru drošības prasībām
4.1.5. Ministru kabineta noteikumu projekts par pakalpojumatteices kiberuzbrukumiem
4.1.6. Ministru kabineta noteikumu projekts par vienoto valsts interneta apmaiņas punktu
4.1.7. Ministru kabineta noteikumu projekts par prasībām kiberincidentu novēršanas institūcijām
4.1.8. Ministru kabineta noteikumu projekts "Digitālas drošības uzraudzības komitejas nolikums"
4.2. Cita informācija
5.1. Saistības pret Eiropas Savienību
5.2. Citas starptautiskās saistības
5.3. Cita informācija
5.4. 1. tabula. Tiesību akta projekta atbilstība ES tiesību aktiem
Likumprojekts attiecas uz valsts tiešās un pastarpinātās pārvaldes iestādēm, atvasinātām publiskām personām un citām valsts institūcijām, izņemot valsts drošības iestādes, kā arī, likumā paredzētajos gadījumos, arī pastarpinātās pārvaldes iestādēm.
Likumprojekta izpratnē visi elektronisko sakaru komersanti, neatkarīgi no to lieluma, ir būtisko pakalpojumu sniedzēji.
Par svarīgo pakalpojumu sniedzējiem tiek uzskatīti arī vidēji vai lieli saimnieciskās darbības veicēji, kas sniedz apsardzes pakalpojumus, kā arī, neatkarīgi no subjekta lieluma un darbības formas, izglītības informācijas sistēmu uzturētāji
Ministru kabinets noteiks minimālās kiberdrošības prasības subjektiem, tostarp augstākā līmeņa domēna reģistriem un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem.
Ministru kabinets noteiks minimālās kiberdrošības prasības subjektiem, tostarp augstākā līmeņa domēna reģistriem un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem.
Ministru kabinets noteiks minimālās kiberdrošības prasības subjektiem, tostarp augstākā līmeņa domēna reģistriem un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem.
Ministru kabinets noteiks minimālās kiberdrošības prasības subjektiem, tostarp augstākā līmeņa domēna reģistriem un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem.
Ministru kabinets noteiks minimālās kiberdrošības prasības subjektiem, tostarp augstākā līmeņa domēna reģistriem un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem.
Ministru kabinets noteiks minimālās kiberdrošības prasības subjektiem, tostarp augstākā līmeņa domēna reģistriem un domēnu nosaukumu reģistrācijas pakalpojumu sniedzējiem.
Publiskajā apspriešanā tika saņemts viens Latvijas Finanšu nozares asociācijas priekšlikums, kas tika ņemts vērā likumprojekta izstrādes procesā.
6.4. Cita informācija
7.1. Projekta izpildē iesaistītās institūcijas
- Aizsardzības ministrija
- Satversmes aizsardzības birojs
- Militārās izlūkošanas un drošības dienests
- Latvijas Universitātes Matemātikas un informātikas institūts
7.2. Administratīvo izmaksu monetārs novērtējums
7.3. Atbilstības izmaksu monetārs novērtējums
7.4. Projekta izpildes ietekme uz pārvaldes funkcijām un institucionālo struktūru
7.5. Cita informācija
Kiberincidentu novēršanas institūcijas ir noteiktas Likumprojekta 9. pantā, paredzot, ka tās ir institūcijas, kas sniedz atbalstu valsts un pašvaldību institūcijām kiberdrošības jomā, uztur un aktualizē informāciju par kiberapdraudējumiem, kā arī sniedz atbalstu fiziskām un juridiskām personām kiberincidentu novēršanā. Kiberincidentu novēršanas institūciju uzdevumus veic Militārās drošības izlūkošanas dienests attiecībā uz Aizsardzības ministriju, tās padotībā esošajām iestādēm un Nacionālajiem bruņotajiem spēkiem. Savukārt Latvijas Universitātes Matemātikas un informātikas institūts attiecībā uz valsts un pašvaldību institūcijām (izņemot valsts drošības iestādēm), kā arī privāto tiesību juridiskām personām.
8.1. Projekta tiesiskā regulējuma ietekme
8.1.1. uz publisku pakalpojumu attīstību
8.1.2. uz valsts un pašvaldību informācijas un komunikācijas tehnoloģiju attīstību
8.1.3. uz informācijas sabiedrības politikas īstenošanu
8.1.4. uz Nacionālā attīstības plāna rādītājiem
8.1.5. uz teritoriju attīstību
8.1.6. uz vidi
8.1.7. uz klimatneitralitāti
8.1.8. uz iedzīvotāju sociālo situāciju
8.1.9. uz personu ar invaliditāti vienlīdzīgām iespējām un tiesībām
8.1.10. uz dzimumu līdztiesību
8.1.11. uz veselību
8.1.12. uz cilvēktiesībām, demokrātiskām vērtībām un pilsoniskās sabiedrības attīstību
8.1.13. uz datu aizsardzību
Likumprojektā ietvertā tiesību norma par personu identificējošās informācijas apstrādi, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, ir pamatojama ar Latvijas valsts drošības interesēm. Kompetentās kiberincidentu novēršanas institūcijas (Militārās izlūkošanas un drošības dienesta struktūrvienība (MilCERT) un CERT.LV) var garantēt īpaši rūpīgu to rīcībā esošo personas datu aizsardzību. Nacionālais tiesiskais regulējums un starptautiskie tiesību akti paredz ļoti stingru regulējumu attiecībā uz klasificētas informācijas, vai jebkādas informācijas, kas saistīta ar valsts drošības iestāžu darbību vai iegūta valsts drošības iestāžu darbības gaitā, aizsardzību.