Sabiedrības līdzdalība

Projekta ID/ Uzdevuma numurs
Tiesību akta/ diskusiju dokumenta nosaukums
Nacionālās kiberdrošības likums
Līdzdalības veids
Publiskā apspriešana
Sākotnēji identificētās problēmas apraksts
Likumprojekts “Nacionālās kiberdrošības likums” izstrādāts, lai pārņemtu pārskatītās Eiropas Parlamenta un Padomes 2016. gada 6. jūlija Direktīvas Nr. 2016/ 1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā priekšlikumā noteiktos pasākumus, kā arī pamatojoties uz Aizsardzības ministrijas izstrādātā un 2022. gada 6.jūnijā Ministru kabinetā pieņemtā informatīvā ziņojuma “Par valsts kiberdrošības pārvaldības uzlabošanu” (21-TA-1699 IP) Ministru kabineta protokollēmuma 8. punktu, kas nosaka, ka Aizsardzības ministrijai līdz 2022. gada 31. decembrim nepieciešams izstrādāt informatīvā ziņojuma priekšlikumu ieviešanai nepieciešamos grozījumus tiesību aktos un noteiktā kārtībā iesniegt tos izskatīšanai Ministru kabinetā.
Mērķa apraksts
-
Politikas jomas
Valsts aizsardzības politika
Teritorija
-
Norises laiks
17.10.2022. - 31.10.2022.
Informācija
-
Fiziskās personas
Skaidrojums un ietekme
-
Juridiskās personas
Skaidrojums un ietekme
-
Sagatavoja
Santa Lepere-Justamente (AM)
Atbildīgā persona
Svetlana Araslanova (AM)
Izsludināšanas datums
18.10.2022. 11:49

Iesniegtie iebildumi / priekšlikumi

Iebilduma / priekšlikuma iesniedzējs
Iebilduma / priekšlikuma būtība
Iesniegts
Armands Onzuls - Latvijas Finanšu nozares asociācija
Latvijas Finanšu nozares asociācija (turpmāk – Asociācija) pārstāv virkni finanšu iestāžu, tostarp kredītiestādes un pensiju fondus, kā arī komersantus, kas sniedz finanšu iestādēm būtiskus pakalpojumus. Asociācija ir iepazinusies ar Tiesību aktu portālā publiskai apspriešanai reģistrēto likumprojektu “Nacionālais kiberdrošības likums” (Nr.22-TA-3012)” (turpmāk – likumprojekts) un ņemot vērā, ka pašreizējās likumprojekta redakcijas darbības tvērums skar arī Asociācijas biedrus (likumprojekta 15.panta pirmās daļas 7.punkta “a” apakšpunkts), vēršam Aizsardzības ministrijas uzmanību uz šādiem Asociācijas apsvērumiem.

[1.] Likumprojekts ir izstrādāts, lai pārņemtu Eiropas Parlamenta un Padomes Direktīvas (ES) ar ko paredz pasākumus nolūkā panākt vienādi augsta līmeņa kiberdrošību visā Savienībā un ar ko atceļ Eiropas Parlamenta un Padomes 2016. gada 6. jūlija Direktīvu Nr. 2016/1148 par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā, (turpmāk – NIS2 direktīva) noteiktos pasākumus. Kontekstā ar NIS2 direktīvas pārņemšanu likumprojekts paredz finanšu pakalpojumu sniedzējus (Kredītiestāžu likuma izpratnē) noteikt par būtisko pakalpojumu sniedzējiem, uzliekot pienākumu izstrādāt kiberrisku pārvaldības plānu un nodrošināt darbiniekiem regulāras apmācības efektīvai plānā iekļauto pasākumu īstenošanai. Tāpat būtisko pakalpojumu sniedzēju uzraudzību veiks Nacionālais kiberdrošības centrs, un tā iekļauj klātienes pārbaudes, attālinātu pārraudzību, dokumentācijas pārbaudes, tostarp attiecībā uz risku vadību un auditos konstatēto nepilnību novēršanu, piemērojot vienādotas prasības un procedūras. Asociācija vērš uzmanību, ka esošā likumprojekta ietvaros kredītiestādēm, kuru uzraudzību nodrošina Finanšu un kapitāla tirgus komisijas vai Eiropas Centrālā banka, tiktu radīts jauns uzraugs – Nacionālais kiberdrošibas centrs, kas mainītu līdzšinējo pieeju par ar kiberdrošību un to saistīto incidentu informācijas apmaiņu.

[2.] Asociācija informē, ka Eiropas Komisija ir izstrādājusi priekšlikumu EIROPAS PARLAMENTA UN PADOMES REGULA par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014 (turpmāk – DORA regula), kuras mērķis ir atbalstīt digitālo finanšu attīstību, vienlaikus mazinot saistītos riskus. Likumdošanas priekšlikums balstās uz pašreizējām IKT riska pārvaldības prasībām, kuras jau izstrādājušas citas ES iestādes, kā arī tas vienotā regulējumā sasaista vairākas nesenās ES iniciatīvas IKT incidentu ziņošanai, drošības testēšanai un trešo pušu pakalpojumu pārvaldībai, lai izveidotu saskaņotu pieeju visā ES finanšu pakalpojumu nozarē. Asociācija vērš ministrijas uzmanību, ka DORA regula attieksies uz ļoti plašu finanšu institūciju loku, tostarp kredītiestādēm, maksājumu iestādēm, elektroniskās naudas iestādēm, ieguldījumu un ieguldījumu brokeru sabiedrībām, kriptoaktīvu pakalpojumu sniedzējiem, alternatīvo ieguldījumu fondu pārvaldniekiem, apdrošināšanas un pārapdrošināšanas sabiedrībām, apdrošināšanas starpniekiem, kolektīvās finansēšanas pakalpojumu sniedzējiem. Svarīgi ir tas, ka DORA regula noteiks vairākas papildu prasības incidentu ziņošanai, drošības testēšanai un trešo pušu pakalpojumu pārvaldībai.

[3.] Asociācija informē, ka attiecībā uz finanšu sektora vienībām DORA regula tiks uzskatīta par nozarei specifisku tiesību aktu (lex specialis), ar ko ievieš tādas kiberdrošības riska pārvaldības un incidentu paziņošanas prasības, kuras ir vismaz līdzvērtīgas NIS2 direktīvā noteiktajām prasībām, tādēļ būtu nepamatoti ar piedāvāto likumprojektu uzlikt papildus prasības, kuras jau izrietētu no DORA regulas, kas gan finanšu iestādēm, gan dalībvalstīm būs tieši piemērojams tiesību akts. Taču no šī brīža likumprojekta redakcijas (likumprojekta 15.panta pirmās daļas 7.punkta “a” apakšpunkts) noprotams, ka tas ir attiecināms arī uz finanšu iestādēm. Ņemot vērā jau ilgstoši Eiropas līmenī izdiskutēto jautājumu par NIS2 direktīvas un DORA regulas mijiedarbību, Asociācija uzskata, ka likumprojekts būtu papildināms – nepārprotami nosakot, ka tas nav piemērojams attiecībā uz DORA regulas subjektiem. Uz ko norāda arī NIS2 direktīvas 13.apsvērums.

[4.] Ņemot vērā iepriekšminēto, Asociācija aicina papildināt likumprojekta 3.pantu ar jaunu trešo daļu šādā redakcijā:
(3) Likums neattiecas uz finanšu vienībām EIROPAS PARLAMENTA UN PADOMES REGULAS par finanšu sektora digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014 un (ES) Nr. 909/2014 2. panta 2 punkta izpratnē.” un vienlaikus izslēgt no likumprojekta 15.panta pirmās daļas 7.punkta “a” apakšpunktu. Tāpat Asociācija aicina ministriju likumprojekta anotācijā sniegt skaidrojumu starp NIS2 direktīvas un DORA regulas mijiedarbību likumprojekta kontekstā.
31.10.2022. 11:14