Projekta ID/ Uzdevuma numurs
Tiesību akta/ diskusiju dokumenta nosaukums
Publisko elektronisko sakaru tīklu drošības prasības
Līdzdalības veids
Publiskā apspriešana
Sākotnēji identificētās problēmas apraksts
Latvijā elektronisko sakaru jomu un informācijas tehnoloģiju drošības jomu regulē divi likumi, Elektronisko sakaru likums un Informācijas tehnoloģiju drošības likums, un uz to pamata izdotie Ministru kabineta noteikumi.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Spēkā esošais Elektronisko sakaru likums nosaka lietotāju, elektronisko sakaru komersantu, privāto elektronisko sakaru tīklu īpašnieku un valsts pārvaldes iestāžu kompetenci, tiesības un pienākumus, kas saistīti ar elektronisko sakaru nozares regulēšanu, elektronisko sakaru tīklu nodrošināšanu, elektronisko sakaru pakalpojumu sniegšanu, kā arī ierobežoto resursu lietošanu un pārvaldīšanu. Likums arī nosaka, ka vispārējo valsts pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Satiksmes ministrija, savukārt radiofrekvenču spektra un numerācijas pārvaldi elektronisko sakaru nozarē atbilstoši savai kompetencei, kā arī elektronisko sakaru tīklu antenu, radioiekārtu, apraides raidītāju un mobilo sakaru bāzes staciju ierīkošanas tehnisko projektu akceptēšanu nodrošina valsts akciju sabiedrība "Elektroniskie sakari". Elektronisko sakaru nozari atbilstoši šajā likumā un likumā "Par sabiedrisko pakalpojumu regulatoriem" noteiktajai kompetencei uzrauga un regulē Sabiedrisko pakalpojumu regulēšanas komisija. Datu aizsardzību elektronisko sakaru nozarē uzrauga Datu valsts inspekcija. Patērētāju tiesību aizsardzības uzraudzību un kontroli elektronisko sakaru nozarē atbilstoši savai kompetencei nodrošina Patērētāju tiesību aizsardzības centrs.
Mērķa apraksts
Saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu tiks izdoti Ministru kabineta noteikumi “Noteikumi par publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasībām, kompetentajām iestādēm drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā” (turpmāk – noteikumi), kuri noteiks publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības, kompetentās iestādes drošības prasību piemērošanas uzraudzībai un to funkcijas uzraudzības jomā.
Politikas jomas
Digitālā drošība un uzticamība
Teritorija
Latvija
Norises laiks
27.06.2022. - 11.07.2022.
Informācija
E-pasts: Santa.Lepere-Justamente@mod.gov.lv
Tālr.67335243
Tālr.67335243
Fiziskās personas
Nē
Juridiskās personas
Nē
Sagatavoja
Santa Lepere-Justamente (AM)
Atbildīgā persona
Svetlana Araslanova (AM)
Izsludināšanas datums
21.06.2022. 15:26
Iesniegtie iebildumi / priekšlikumi
Iebilduma / priekšlikuma iesniedzējs
Iebilduma / priekšlikuma būtība
Iesniegts
Ilmārs Muuls - Latvijas Elektronisko komunikāciju asociācija
Noteikumi tiks izdoti saskaņā ar Elektronisko sakaru likuma 8. panta pirmo un otro daļu. Elektronisko sakaru likuma likuma 8.pants „Publisko elektronisko sakaru tīklu drošība” paredz, ka Ministru kabinets nosaka publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības. Tādējādi var noprast, ka Noteikumi attieksies uz visu veidu un tehnoloģiju publiskajiem elektronisko sakaru tīkliem.
Noteikumu teksta 3.punktā iekļauta norāde, ka Noteikumi neattieksies uz valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un privāto tiesību juridisko personu, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, publiskajiem elektronisko sakaru tīkliem un kabeļtelevīzijas tīkliem. Tomēr Noteikumu projekta anotācijā ir runa vienīgi par Eiropas Komisijas Ieteikumu (ES) 2019/534 par 5G tīklu kiberdrošību un Eiropas Savienības 2020. gada 29. janvārī publicēto ES rīkkopu 5G drošībai. Tajā pat laikā bez 5G mobīlo publisko elektronisko sakaru tīkliem ir virkne citu, pārsvarā fiksēto publisko elektronisko sakaru tīklu, kuriem ES rīkkopa 5G drošībai nav piemērojama.
Tā kā Noteikumos nav detalizēti noteikts, kādām tieši drošības prasībām jāatbilst tīklu iekārtām un programmatūrai, tad fiksēto publisko elektronisko sakaru tīklu operatoriem nav kritēriju, pēc kuriem izvēlēties iekārtas un programmatūru. Noteikumos nav norādīts, kādā formātā SAB atzinumā par iekārtām (aizliegt/atļaut) tiks norādītas alternatīvas iekārtas (nebūtu pieļaujams, ka vairākkārtīgi jau nomainītas iekārtas jāmaina atkārtoti pret citām, kas arī tiek atzītas par aizliegtām. Nav arī skaidrs kādēļ aizliegtas iekārtas iespējams iegādāties vispār. Nav norādīts vai publiski tiks veidots saraksts ar atļautām/aizliegtām iekārtām, lai jau savlaicīgi varētu meklēt uzreiz atļautas iekārtas, nav skaidra rīcības algoritma gadījumos, kad, izbūvējot jaunu fiksēto tīklu, pēc informācijas nosūtīšanas SAB rodas situācija, kad norādītās iekārtas vairs nav pieejamas un jāaizvieto ar citām.
Nav saprotams kādēļ audits veicams no PEST finanšu līdzekļiem, kā arī kādēļ šis auditors būtu jāsaskaņo ar CERT. Kādi tad ir auditora izvēles kritēriji?
Uzskatām, ka Noteikumi jāprecizē, nosakot, ka tie attiecas vienīgi uz 5G mobīlajiem publiskajiem elektronisko sakaru tīkliem vai arī Noteikumu teksts būtiski jāpapildina ar konkrētām drošības prasībām visu veidu un tehnoloģiju publiskiem elektronisko sakaru tīkliem.
LEKA valdes priekšsēdētājs (paraksts)
I.Muuls
Noteikumu teksta 3.punktā iekļauta norāde, ka Noteikumi neattieksies uz valsts un pašvaldību institūciju un informācijas tehnoloģiju kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju un privāto tiesību juridisko personu, kas ir pamatpakalpojuma sniedzēji un digitālā pakalpojuma sniedzēji, publiskajiem elektronisko sakaru tīkliem un kabeļtelevīzijas tīkliem. Tomēr Noteikumu projekta anotācijā ir runa vienīgi par Eiropas Komisijas Ieteikumu (ES) 2019/534 par 5G tīklu kiberdrošību un Eiropas Savienības 2020. gada 29. janvārī publicēto ES rīkkopu 5G drošībai. Tajā pat laikā bez 5G mobīlo publisko elektronisko sakaru tīkliem ir virkne citu, pārsvarā fiksēto publisko elektronisko sakaru tīklu, kuriem ES rīkkopa 5G drošībai nav piemērojama.
Tā kā Noteikumos nav detalizēti noteikts, kādām tieši drošības prasībām jāatbilst tīklu iekārtām un programmatūrai, tad fiksēto publisko elektronisko sakaru tīklu operatoriem nav kritēriju, pēc kuriem izvēlēties iekārtas un programmatūru. Noteikumos nav norādīts, kādā formātā SAB atzinumā par iekārtām (aizliegt/atļaut) tiks norādītas alternatīvas iekārtas (nebūtu pieļaujams, ka vairākkārtīgi jau nomainītas iekārtas jāmaina atkārtoti pret citām, kas arī tiek atzītas par aizliegtām. Nav arī skaidrs kādēļ aizliegtas iekārtas iespējams iegādāties vispār. Nav norādīts vai publiski tiks veidots saraksts ar atļautām/aizliegtām iekārtām, lai jau savlaicīgi varētu meklēt uzreiz atļautas iekārtas, nav skaidra rīcības algoritma gadījumos, kad, izbūvējot jaunu fiksēto tīklu, pēc informācijas nosūtīšanas SAB rodas situācija, kad norādītās iekārtas vairs nav pieejamas un jāaizvieto ar citām.
Nav saprotams kādēļ audits veicams no PEST finanšu līdzekļiem, kā arī kādēļ šis auditors būtu jāsaskaņo ar CERT. Kādi tad ir auditora izvēles kritēriji?
Uzskatām, ka Noteikumi jāprecizē, nosakot, ka tie attiecas vienīgi uz 5G mobīlajiem publiskajiem elektronisko sakaru tīkliem vai arī Noteikumu teksts būtiski jāpapildina ar konkrētām drošības prasībām visu veidu un tehnoloģiju publiskiem elektronisko sakaru tīkliem.
LEKA valdes priekšsēdētājs (paraksts)
I.Muuls
07.07.2022. 10:53
Latvijas Interneta asociācija
Par Ministru kabineta noteikumu projektu 22-TA-2017
Biedrība “Latvijas Interneta asociācija” (turpmāk - LIA) ir iepazinusies ar publiskai apspriešanai nodoto Ministru kabineta noteikumu projektu “Noteikumi par publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasībām, kompetentajām iestādēm drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā" 22-TA-2017 (turpmāk – Noteikumu projekts) un sniedz sekojošu viedokli.
Noteikumu projekts paredz noteikt publisko elektronisko sakaru tīklu īpašniekiem (turpmāk – Sakaru tīklu īpašnieki) pienākumu drošības incidentu gadījumā ziņot iestādēm CERT.LV (turpmāk – CERT) un Satversmes aizsardzības birojam (turpmāk – SAB), kā arī paredz SAB tiesības un pilnvaras vērtēt, un atslēgt sakaru tīklā izmantotās iekārtas un programmatūras. Saistībā ar paredzētajiem ierobežojumiem un pienākumiem, LIA vērš uzmanību uz vairākām neskaidrībām, kas izriet no Noteikumu projekta:
Lai arī plānots noteikt Sakaru tīkla īpašniekam pienākumu ziņot par drošības incidentiem, Noteikumu projektā nav minēti konkrēti kritēriji, pēc kuriem varētu noteikt, kuros gadījumos ir notikuši tādi drošības incidenti, par kuriem būtu jāziņo CERT un SAB iestādēm. Vēršam uzmanību, ka, piemēram, spēkā esošajos 2011.gada 26.aprīļa Ministru kabineta noteikumos Nr.327 “Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem” ir atrunāti drošības incidenta būtiskuma kritēriji. Attiecīgi aicinām arī šajā Noteikumu projektā ietvert konkrētus kritērijus, kuru izpildes gadījumā Sakaru tīklu īpašniekiem būtu pienākums ziņot atbildīgajām iestādēm.
No Noteikumu projekta 4.5. un 4.5.3. apakšpunktiem izriet, ka Sakaru tīklu īpašniekiem ir pienākums nodrošināt publisko elektronisko sakaru tīkla integritāti, kā arī sastādīt rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot arī tīkla uzbūves aprakstu un shēmu. Vēršam uzmanību, ka Noteikumu projektā trūkst skaidrojums, cik detalizētu informāciju un shēmas jāiesniedz, ievērojot, ka ir gan augsta līmeņa struktūrshēmas, gan shēmas visiem tīkla elementiem un to savienojumiem (Sakaru tīkla īpašniekiem tādu var būt pat simtiem tūkstošu). Lūdzam Noteikumu projektā skaidri noteikt kāda veida shēmas un aprakstus Sakaru tīkla īpašniekam būtu jāsastāda, izstrādājot rīcības plānu darbības nepārtrauktības nodrošināšanai.
Noteikumu projekta 9.punkts nosaka: “Publiskajos elektronisko sakaru tīklos neizmanto tādas iekārtas un programmatūra, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka to izmantošana var radīt draudus nacionālai drošībai”.
Elektronisko skaru likuma projekta 8.pantā, uz kura pamata paredzēts izdot šos noteikumus, noteikts, ka “Ministru kabinets nosaka publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības”, kā arī, ka “Ministru kabinets nosaka kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā”. Aicinām nodrošināt, ka Noteikumu projektā tiek izpildīts Elektronisko sakaru likumā paredzētais pilnvarojums Ministru kabinetam noteikt publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības. Šobrīd Noteikumu projektā drošības prasības nav noteiktas un pretēji Elektronisko sakaru likuma projekta pilnvarojošām normām drošības prasību noteikšanas pienākums pārpilnvarots Satversmes aizsardzības birojam. Šādā veidā Noteikumu projektā pārkāpts Elektronisko sakaru likuma projektā ietvertais pilnvarojums un Noteikumu projekts šādā redakcijā elektronisko sakaru komersantiem rada ievērojamas neskaidrības attiecībā uz to darbības plānošanu, jo pretēji Elektronisko sakaru likuma projektā ietvertajai iecerei, Noteikumu projektā netiek atklāti kritēriji, pēc kuriem tiks vērtētas drošības prasības, pēc kuriem komersanti varētu prognozēt, kuras iekārtas, programmatūra un ārpakalpojumi visticamāk nebūs atbilstoši Ministru kabineta noteikumu prasībām.
Noteikumu projekts paredz Sakaru tīklu īpašniekiem neizmantot tādas iekārtas un programmatūras, par kurām saņemts SAB atzinums, ka to izmantošana var radīt draudus nacionālajai drošībai. Noteikumu projekts arī paredz, ka Sakaru tīklu īpašnieki iesniedz SAB sarakstu ar izmantotajām iekārtām un programmatūrām. Ievērojot, ka sakaru tīklos ir dažādu līmeņu iekārtas, sākot ar pamattīkla un beidzot ar klientu gala iekārtām, būtu nepieciešams precizēt gan SAB iesniedzamo iekārtu un datu sarakstu, gan informācijas sniegšanas biežumu. Aicinām Noteikumu projektā iekļaut pielikumu, kurā būtu paraugs dokumenta formai, kā arī Noteikumos precizēt par kādām iekārtām un programmatūrām, cik bieži un kādā apjomā, sniedzama informācija SAB.
Noteikumu projekta 9. punkts lasāms kopā ar Noteikumu projekta 27.2. punktu, kur noteikts: “Satversmes aizsardzības birojs […] var noteikt ierobežojumus iekārtu un programmatūras izmantošanai publiskajos elektronisko sakaru tīklos, kas var radīt draudus nacionālajai drošībai”. Tiesiskās noteiktības dēļ būtu nepieciešams precizēt, kādā veidā var izpausties Satversmes aizsardzības biroja realizētā “ierobežojumu noteikšana” noteiktu iekārtu un programmatūras izmantošanā. Noteikumu projektā būtu jānosaka, ka iekārtas vai programmatūras aizstāšana ar citu iekārtu vai programmatūru tiek pielietota kā galējais līdzeklis drošības risku vadīšanā, priekšroku dodot citiem tehniskiem risinājumiem drošības risku novēršanā, kas neprasītu iekārtas vai programmatūras pilnīgu aizstāšanu. Papildus Noteikumu projektā nepieciešams arī risināt jautājumus, kas saistīti ar Satversmes aizsardzības biroja lēmumu izpildi komersantam radīto izmaksu/ zaudējumu kompensēšanu.
Noteikumu projekta 10.2 apakšpunkts paredz Sakaru tīklu īpašniekam pienākumu, pirms jaunu sakaru tīklu būvniecības, pārbūves vai nomaiņas, iesniegt SAB sarakstu ar sakaru tīklā izmantošanai plānotajām iekārtām un programmatūrām. Noteikumu projekts nepaskaidro, kādos gadījumos sakaru tīkla būvniecības, pārbūves vai nomaiņas gadījumā būtu jāsaskaņo ar SAB, piemēram, vai saskaņošana ietver informācijas sniegšanu t.sk. par nebūtisku tīkla iekārtu nomaiņu remonta laikā, vai, piemēram, kabeļu tīklu būvniecību. Vēršam uzmanību, ka var būt gadījumi, kad konkrētas iekārtas un programmatūras var būt zināmas tikai pēc iepirkumu konkursa noslēgšanās, kuru nevar “plānot”. Lūdzam skaidrot, kādā veidā plānots risināt saskaņojuma no SAB prasību izpildi, lai novērstu situācijas, kad Sakaru tīkla īpašnieks ieguldītu laika un finanšu resursus publiskā iepirkuma organizēšanā, taču, pēc konkursa noslēgšanās, saņemtu negatīvu SAB atzinumu par iepirkuma procedūras uzvarētāja iekārtām vai programmatūrām, kas tādējādi novestu pie nerezultatīva iepirkuma un ievērojamu resursu nelietderīgas izšķērdēšanas. Aicinām Noteikumu projektā precizēt, kādos gadījumos, kādā apjomā un termiņā, Sakaru tīklu īpašniekiem būs jāsaskaņo tīkla iekārtu un programmatūru iepirkumi, un kādā termiņā SAB būtu jāsniedz atzinums, kā arī noteikt Noteikumu projekta 10.1. izpildes kārtību, formātu un apjomu par jau esošajiem publiskajiem elektroniskajiem tīkliem.
Attiecībā uz Noteikumu projektā paredzētajām Satversmes aizsardzības biroja pilnvarām izvērtēt iespēju paredzēt ņemt vērā tādu valstu attiecīgo drošības iestāžu atzinumus, ar kurām Latvijai ir noslēgts sadarbības līgums drošības jomā. Tāpat būtu nepieciešams apsvērt konsultatīvās padomes vai tamlīdzīga instrumenta izveidi, kas atbalstītu Satversmes aizsardzības biroju novērtējuma veikšanā, piesaistot šādā konsultatīvajā padomē industrijas ekspertus.
Noteikumu projekta 26.1 apakšpunkts noteic, ka CERT izvērtē Sakaru tīkla īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības Noteikumu prasībām, lūdz veikt labojumus. Lūdzam Noteikumos precizēt, kā minēto normu paredzēts piemērot praksē, cik plašu informācijas apjomu rīcības plānā jāietver, un vai paredzēts, ka Sakaru tīklu īpašniekam turpmāk jāsaskaņo ar CERT darbības nepārtrauktības plāns.
Noteikumu projektā trūkst konkrētu jēdzienu definīcijas, lai nepārprotami būtu skaidrs to lietojums šajos Noteikumos. Tā, piemēram, būtu jādefinē jēdziens “iekārta”, lai nerastos jautājumi, kādas tieši iekārtas domātas šo Noteikumu kontekstā. Pretējā gadījumā, šobrīd Noteikumu projekta izriet, ka ar jēdzienu “iekārtas” saprot visas iekārtas, kas tiek izmantotas tīklā, ieskaitot, piemēram, GPON pasīvo sadalītāju, elektrības ģeneratorus un kabeļus. Aicinām šo noteikumu kontekstā definēt jēdzienu “iekārta”, nosakot, ka Noteikumi attiecas uz aktīvajām iekārtām, kuras tiek izmantotas tiešā veidā pakalpojumu nodrošināšanai un kurām ir attālināta piekļuve. Lūdzam skaidrot, vai Noteikumus paredzēts attiecināt arī uz tīkla gala iekārtām pie klienta (CPE) un vai Noteikumus plānots attiecināt arī uz plaša patēriņa iekārtām, kuras tirgo veikalos, bet tās tiek pieslēgtas pie tīkla (WiFi maršrutētāji, mobilie tālruņi, datori u.tml.)
Lai novērstu pārpratumus un viestu skaidrību, kuros tieši gadījumos Noteikumi ir piemērojami un kuros nav, jānošķir jēdzieni “programmatūras nomaiņa” no “programmatūŗas atjauninājuma”. Kā arī jāparedz rīcība gadījumos, ja, piemēram, no ražotāja tiek saņemta informācija par potenciāli augstu drošības risku vai iestājas kritiska pakalpojuma darbību ietekmējoša problēma, kuras risināšana ietver programmas nomaiņu. Aicinām Noteikumos definēt, kas ir “programmatūras nomaiņa” un kas ir “programmatūras atjauninājums”, kā arī paredzēt izņēmuma kārtību SAB atzinuma par iekārtu atbilstību saņemšanai, kas, piemēram, varētu ietvert saskaņojuma neesamību, pirms programmatūras nomaiņas, vai arī noteikt, ka SAB jāsniedz atzinums par plānoto programmatūras nomaiņu ne vēlāk kā, piemēram, vienas stundas laikā.
Noteikumu projekta 16.2.apakšpunktā noteikts, ka Sakaru tīkla īpašniekam ir pienākums aizsargāt publiskā elektronisko sakaru tīkla funkcijas, taču nav saprotams, kādas tieši funkcijas un kādā veidā tās būtu jāaizsargā. Nav arī kritēriju šādu funkciju aizsardzībai. Aicinām Noteikumu projektu papildināt ar skaidrojumu, kādas funkcijas un kādā veidā Sakaru tīklu īpašniekam tās būtu jāaizsargā.
Vēršam uzmanību, ka Noteikumu projekta VI nodaļā ietvertie noteikumi attiecībā uz ārpakalpojuma drošību, mūsu ieskatā, praktiski nav realizējami, jo pastāv niecīga iespēja, ka Sakaru tīklu īpašnieks Latvijā varētu saņemt IV nodaļā minēto informāciju un garantijas gan no citu valstu ārpakalpojuma sniedzējiem, gan globālajiem mākoņpakalpojumu sniedzējiem. Tādiem mākoņpakalpojumu sniedzējiem kā Google un Amazon ir standarta līgumi un tajā jau ir noteikts, kāda veida informācija ir pieejama, papildus citu informāciju, visticamāk, iegūt nav iespējams.
Tikpat neizpildāmas šķiet prasības par sakaru tīkla informāciju, proti, ja Latvijas Ārlietu ministrijai nepieciešams nomāt sakaru līnijas jebkurā pasaules vietā, tad pakalpojumu sniedzējam nepieciešams saņemt IV nodaļā minētos apliecinājumus un garantijas no daudziem citu valstu komersantiem. No Noteikumu projekta nav saprotams kā rīkoties gadījumā, ja Ārlietu ministrijai nepieciešams nomāt sakaru līniju, piemēram, uz Maskavu, nav skaidrs, kā Latvijas pakalpojumu sniedzējs varētu garantēt tīklu drošību atbilstoši IV nodaļā minētajam. No Noteikumu projekta šķietami izriet, ka simetriskas prasības izvirzāmas arī pret pakalpojumu sniedzējiem no citām valstīm, kas sniedz savus telekomunikāciju pakalpojumus, pārraidot datus starp trešo valsti un Latviju, bet kuriem Latvijā sakaru tīkls nepieder, prasību ievērošana ietvertu arī Noteikumu projektā minētās dokumentācijas, procedūru un shēmu iesniegšanu, kā arī iekārtu saskaņošanu. Ievērojot, ka šobrīd Noteikumu projekta IV nodaļā ietvertās prasības faktiski liedz izmantot ārpakalpojumus un ierobežo pakalpojumu sniegšanu ārzemēs, lūdzam Noteikumu projektā ietvert praktiski izpildāmas prasības un skaidrot, kā tieši Sakaru tīklu īpašnieks varētu nodrošināt minēto drošības pienākumu izpildi attiecībā uz ārpakalpojumiem gan Latvijas, gan starptautiskajā mērogā. Kā arī aicinām izvērtēt iespēju atteikties no IV nodaļā minēto prasību ievērošanas gadījumos, kad ārpakalpojumu sniedz citā Eiropas Savienības dalībvalstī reģistrēts komersants.
Papildus iepriekš minētajam, vēlamies vērst uzmanību, ka šobrīd Noteikumu projektā ir skaidrots tikai uz ko Noteikumi neattiecas un kas nav Noteikumu subjekts. Tas var radīt kļūdainu Noteikumu interpretāciju, pretēji to mērķim. Proti, ievērojot Noteikumu projekta 3.punkta esošo redakciju, varētu secināt, ka Noteikumu projektā minētās prasības uz atsevišķiem Sakaru tīklu īpašniekiem varētu neattiekties, jo uzņēmums ir gan kritiskās infrastruktūras īpašnieks, gan privāto tiesību juridiska persona, kas sniedz pamatpakalpojumu un digitālo pakalpojumu. Tāpat no Noteikumu projekta 3.2.apakšpunkta secināms, ka Noteikumu prasības neattiecas uz kabeļtelevīziju. Ja patiesi tāds ir bijis likumdevēja mērķis, tad 3.2.apakšpunkts būtu jāpārformulē, to konkrēti definējot, piemēram, šādi – “Neattiecas uz specializētiem TV programmu un video pēc pieprasījuma izplatīšanas tīkliem, piemēram, DVB-T (zemes apraide), DVB-S (satelītu apraide), DVB-C (kabeļu TV), TV caur IP tīkliem, ja vien tajos nenotiek arī datu pakalpojumu vai publiskā Interneta piekļuves pakalpojumu sniegšana”.
Lai ieviestu tiesisko noteiktību, mūsu ieskatā, Noteikumu projektā ir nepieciešams skaidri definēt Noteikumu subjektu. Gadījumā, ja Noteikumu prasības nav paredzēts attiecināt uz kabeļtelevīziju, sniegt skaidrojumu, kādēļ, kā arī atbilstoši papildināt attiecīgo normu.
Aicinām veidot darba grupu Noteikumu projekta tālākā izstrādē, darba grupā iesaistot nozares komersantu tehniskos ekspertus, lai nodrošinātu, ka Noteikumu projektā paredzētie līdzekļi kvalitatīvi regulētu publisko elektronisko sakaru tīklu drošības jautājumus, neradot ar drošības risku vadību nesaderīgu un nesamērīgu regulējumu.
Biedrība “Latvijas Interneta asociācija” (turpmāk - LIA) ir iepazinusies ar publiskai apspriešanai nodoto Ministru kabineta noteikumu projektu “Noteikumi par publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasībām, kompetentajām iestādēm drošības prasību piemērošanas uzraudzībai un to funkcijām uzraudzības jomā" 22-TA-2017 (turpmāk – Noteikumu projekts) un sniedz sekojošu viedokli.
Noteikumu projekts paredz noteikt publisko elektronisko sakaru tīklu īpašniekiem (turpmāk – Sakaru tīklu īpašnieki) pienākumu drošības incidentu gadījumā ziņot iestādēm CERT.LV (turpmāk – CERT) un Satversmes aizsardzības birojam (turpmāk – SAB), kā arī paredz SAB tiesības un pilnvaras vērtēt, un atslēgt sakaru tīklā izmantotās iekārtas un programmatūras. Saistībā ar paredzētajiem ierobežojumiem un pienākumiem, LIA vērš uzmanību uz vairākām neskaidrībām, kas izriet no Noteikumu projekta:
Lai arī plānots noteikt Sakaru tīkla īpašniekam pienākumu ziņot par drošības incidentiem, Noteikumu projektā nav minēti konkrēti kritēriji, pēc kuriem varētu noteikt, kuros gadījumos ir notikuši tādi drošības incidenti, par kuriem būtu jāziņo CERT un SAB iestādēm. Vēršam uzmanību, ka, piemēram, spēkā esošajos 2011.gada 26.aprīļa Ministru kabineta noteikumos Nr.327 “Noteikumi par elektronisko sakaru komersantu rīcības plānā ietveramo informāciju, šā plāna izpildes kontroli un kārtību, kādā galalietotājiem tiek īslaicīgi slēgta piekļuve elektronisko sakaru tīklam un par drošības incidentu būtiskuma kritērijiem” ir atrunāti drošības incidenta būtiskuma kritēriji. Attiecīgi aicinām arī šajā Noteikumu projektā ietvert konkrētus kritērijus, kuru izpildes gadījumā Sakaru tīklu īpašniekiem būtu pienākums ziņot atbildīgajām iestādēm.
No Noteikumu projekta 4.5. un 4.5.3. apakšpunktiem izriet, ka Sakaru tīklu īpašniekiem ir pienākums nodrošināt publisko elektronisko sakaru tīkla integritāti, kā arī sastādīt rīcības plānu publisko elektronisko sakaru tīkla nepārtrauktas darbības nodrošināšanai, tajā norādot arī tīkla uzbūves aprakstu un shēmu. Vēršam uzmanību, ka Noteikumu projektā trūkst skaidrojums, cik detalizētu informāciju un shēmas jāiesniedz, ievērojot, ka ir gan augsta līmeņa struktūrshēmas, gan shēmas visiem tīkla elementiem un to savienojumiem (Sakaru tīkla īpašniekiem tādu var būt pat simtiem tūkstošu). Lūdzam Noteikumu projektā skaidri noteikt kāda veida shēmas un aprakstus Sakaru tīkla īpašniekam būtu jāsastāda, izstrādājot rīcības plānu darbības nepārtrauktības nodrošināšanai.
Noteikumu projekta 9.punkts nosaka: “Publiskajos elektronisko sakaru tīklos neizmanto tādas iekārtas un programmatūra, par kuru ir saņemts Satversmes aizsardzības biroja atzinums, ka to izmantošana var radīt draudus nacionālai drošībai”.
Elektronisko skaru likuma projekta 8.pantā, uz kura pamata paredzēts izdot šos noteikumus, noteikts, ka “Ministru kabinets nosaka publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības”, kā arī, ka “Ministru kabinets nosaka kompetentās iestādes, kas uzrauga publisko elektronisko sakaru tīklu drošības prasību piemērošanu, un to funkcijas uzraudzības jomā”. Aicinām nodrošināt, ka Noteikumu projektā tiek izpildīts Elektronisko sakaru likumā paredzētais pilnvarojums Ministru kabinetam noteikt publisko elektronisko sakaru tīklu un tajos izmantoto iekārtu, programmatūru un ārpakalpojumu drošības prasības. Šobrīd Noteikumu projektā drošības prasības nav noteiktas un pretēji Elektronisko sakaru likuma projekta pilnvarojošām normām drošības prasību noteikšanas pienākums pārpilnvarots Satversmes aizsardzības birojam. Šādā veidā Noteikumu projektā pārkāpts Elektronisko sakaru likuma projektā ietvertais pilnvarojums un Noteikumu projekts šādā redakcijā elektronisko sakaru komersantiem rada ievērojamas neskaidrības attiecībā uz to darbības plānošanu, jo pretēji Elektronisko sakaru likuma projektā ietvertajai iecerei, Noteikumu projektā netiek atklāti kritēriji, pēc kuriem tiks vērtētas drošības prasības, pēc kuriem komersanti varētu prognozēt, kuras iekārtas, programmatūra un ārpakalpojumi visticamāk nebūs atbilstoši Ministru kabineta noteikumu prasībām.
Noteikumu projekts paredz Sakaru tīklu īpašniekiem neizmantot tādas iekārtas un programmatūras, par kurām saņemts SAB atzinums, ka to izmantošana var radīt draudus nacionālajai drošībai. Noteikumu projekts arī paredz, ka Sakaru tīklu īpašnieki iesniedz SAB sarakstu ar izmantotajām iekārtām un programmatūrām. Ievērojot, ka sakaru tīklos ir dažādu līmeņu iekārtas, sākot ar pamattīkla un beidzot ar klientu gala iekārtām, būtu nepieciešams precizēt gan SAB iesniedzamo iekārtu un datu sarakstu, gan informācijas sniegšanas biežumu. Aicinām Noteikumu projektā iekļaut pielikumu, kurā būtu paraugs dokumenta formai, kā arī Noteikumos precizēt par kādām iekārtām un programmatūrām, cik bieži un kādā apjomā, sniedzama informācija SAB.
Noteikumu projekta 9. punkts lasāms kopā ar Noteikumu projekta 27.2. punktu, kur noteikts: “Satversmes aizsardzības birojs […] var noteikt ierobežojumus iekārtu un programmatūras izmantošanai publiskajos elektronisko sakaru tīklos, kas var radīt draudus nacionālajai drošībai”. Tiesiskās noteiktības dēļ būtu nepieciešams precizēt, kādā veidā var izpausties Satversmes aizsardzības biroja realizētā “ierobežojumu noteikšana” noteiktu iekārtu un programmatūras izmantošanā. Noteikumu projektā būtu jānosaka, ka iekārtas vai programmatūras aizstāšana ar citu iekārtu vai programmatūru tiek pielietota kā galējais līdzeklis drošības risku vadīšanā, priekšroku dodot citiem tehniskiem risinājumiem drošības risku novēršanā, kas neprasītu iekārtas vai programmatūras pilnīgu aizstāšanu. Papildus Noteikumu projektā nepieciešams arī risināt jautājumus, kas saistīti ar Satversmes aizsardzības biroja lēmumu izpildi komersantam radīto izmaksu/ zaudējumu kompensēšanu.
Noteikumu projekta 10.2 apakšpunkts paredz Sakaru tīklu īpašniekam pienākumu, pirms jaunu sakaru tīklu būvniecības, pārbūves vai nomaiņas, iesniegt SAB sarakstu ar sakaru tīklā izmantošanai plānotajām iekārtām un programmatūrām. Noteikumu projekts nepaskaidro, kādos gadījumos sakaru tīkla būvniecības, pārbūves vai nomaiņas gadījumā būtu jāsaskaņo ar SAB, piemēram, vai saskaņošana ietver informācijas sniegšanu t.sk. par nebūtisku tīkla iekārtu nomaiņu remonta laikā, vai, piemēram, kabeļu tīklu būvniecību. Vēršam uzmanību, ka var būt gadījumi, kad konkrētas iekārtas un programmatūras var būt zināmas tikai pēc iepirkumu konkursa noslēgšanās, kuru nevar “plānot”. Lūdzam skaidrot, kādā veidā plānots risināt saskaņojuma no SAB prasību izpildi, lai novērstu situācijas, kad Sakaru tīkla īpašnieks ieguldītu laika un finanšu resursus publiskā iepirkuma organizēšanā, taču, pēc konkursa noslēgšanās, saņemtu negatīvu SAB atzinumu par iepirkuma procedūras uzvarētāja iekārtām vai programmatūrām, kas tādējādi novestu pie nerezultatīva iepirkuma un ievērojamu resursu nelietderīgas izšķērdēšanas. Aicinām Noteikumu projektā precizēt, kādos gadījumos, kādā apjomā un termiņā, Sakaru tīklu īpašniekiem būs jāsaskaņo tīkla iekārtu un programmatūru iepirkumi, un kādā termiņā SAB būtu jāsniedz atzinums, kā arī noteikt Noteikumu projekta 10.1. izpildes kārtību, formātu un apjomu par jau esošajiem publiskajiem elektroniskajiem tīkliem.
Attiecībā uz Noteikumu projektā paredzētajām Satversmes aizsardzības biroja pilnvarām izvērtēt iespēju paredzēt ņemt vērā tādu valstu attiecīgo drošības iestāžu atzinumus, ar kurām Latvijai ir noslēgts sadarbības līgums drošības jomā. Tāpat būtu nepieciešams apsvērt konsultatīvās padomes vai tamlīdzīga instrumenta izveidi, kas atbalstītu Satversmes aizsardzības biroju novērtējuma veikšanā, piesaistot šādā konsultatīvajā padomē industrijas ekspertus.
Noteikumu projekta 26.1 apakšpunkts noteic, ka CERT izvērtē Sakaru tīkla īpašnieka iesniegto rīcības plānu un, ja konstatē neatbilstības Noteikumu prasībām, lūdz veikt labojumus. Lūdzam Noteikumos precizēt, kā minēto normu paredzēts piemērot praksē, cik plašu informācijas apjomu rīcības plānā jāietver, un vai paredzēts, ka Sakaru tīklu īpašniekam turpmāk jāsaskaņo ar CERT darbības nepārtrauktības plāns.
Noteikumu projektā trūkst konkrētu jēdzienu definīcijas, lai nepārprotami būtu skaidrs to lietojums šajos Noteikumos. Tā, piemēram, būtu jādefinē jēdziens “iekārta”, lai nerastos jautājumi, kādas tieši iekārtas domātas šo Noteikumu kontekstā. Pretējā gadījumā, šobrīd Noteikumu projekta izriet, ka ar jēdzienu “iekārtas” saprot visas iekārtas, kas tiek izmantotas tīklā, ieskaitot, piemēram, GPON pasīvo sadalītāju, elektrības ģeneratorus un kabeļus. Aicinām šo noteikumu kontekstā definēt jēdzienu “iekārta”, nosakot, ka Noteikumi attiecas uz aktīvajām iekārtām, kuras tiek izmantotas tiešā veidā pakalpojumu nodrošināšanai un kurām ir attālināta piekļuve. Lūdzam skaidrot, vai Noteikumus paredzēts attiecināt arī uz tīkla gala iekārtām pie klienta (CPE) un vai Noteikumus plānots attiecināt arī uz plaša patēriņa iekārtām, kuras tirgo veikalos, bet tās tiek pieslēgtas pie tīkla (WiFi maršrutētāji, mobilie tālruņi, datori u.tml.)
Lai novērstu pārpratumus un viestu skaidrību, kuros tieši gadījumos Noteikumi ir piemērojami un kuros nav, jānošķir jēdzieni “programmatūras nomaiņa” no “programmatūŗas atjauninājuma”. Kā arī jāparedz rīcība gadījumos, ja, piemēram, no ražotāja tiek saņemta informācija par potenciāli augstu drošības risku vai iestājas kritiska pakalpojuma darbību ietekmējoša problēma, kuras risināšana ietver programmas nomaiņu. Aicinām Noteikumos definēt, kas ir “programmatūras nomaiņa” un kas ir “programmatūras atjauninājums”, kā arī paredzēt izņēmuma kārtību SAB atzinuma par iekārtu atbilstību saņemšanai, kas, piemēram, varētu ietvert saskaņojuma neesamību, pirms programmatūras nomaiņas, vai arī noteikt, ka SAB jāsniedz atzinums par plānoto programmatūras nomaiņu ne vēlāk kā, piemēram, vienas stundas laikā.
Noteikumu projekta 16.2.apakšpunktā noteikts, ka Sakaru tīkla īpašniekam ir pienākums aizsargāt publiskā elektronisko sakaru tīkla funkcijas, taču nav saprotams, kādas tieši funkcijas un kādā veidā tās būtu jāaizsargā. Nav arī kritēriju šādu funkciju aizsardzībai. Aicinām Noteikumu projektu papildināt ar skaidrojumu, kādas funkcijas un kādā veidā Sakaru tīklu īpašniekam tās būtu jāaizsargā.
Vēršam uzmanību, ka Noteikumu projekta VI nodaļā ietvertie noteikumi attiecībā uz ārpakalpojuma drošību, mūsu ieskatā, praktiski nav realizējami, jo pastāv niecīga iespēja, ka Sakaru tīklu īpašnieks Latvijā varētu saņemt IV nodaļā minēto informāciju un garantijas gan no citu valstu ārpakalpojuma sniedzējiem, gan globālajiem mākoņpakalpojumu sniedzējiem. Tādiem mākoņpakalpojumu sniedzējiem kā Google un Amazon ir standarta līgumi un tajā jau ir noteikts, kāda veida informācija ir pieejama, papildus citu informāciju, visticamāk, iegūt nav iespējams.
Tikpat neizpildāmas šķiet prasības par sakaru tīkla informāciju, proti, ja Latvijas Ārlietu ministrijai nepieciešams nomāt sakaru līnijas jebkurā pasaules vietā, tad pakalpojumu sniedzējam nepieciešams saņemt IV nodaļā minētos apliecinājumus un garantijas no daudziem citu valstu komersantiem. No Noteikumu projekta nav saprotams kā rīkoties gadījumā, ja Ārlietu ministrijai nepieciešams nomāt sakaru līniju, piemēram, uz Maskavu, nav skaidrs, kā Latvijas pakalpojumu sniedzējs varētu garantēt tīklu drošību atbilstoši IV nodaļā minētajam. No Noteikumu projekta šķietami izriet, ka simetriskas prasības izvirzāmas arī pret pakalpojumu sniedzējiem no citām valstīm, kas sniedz savus telekomunikāciju pakalpojumus, pārraidot datus starp trešo valsti un Latviju, bet kuriem Latvijā sakaru tīkls nepieder, prasību ievērošana ietvertu arī Noteikumu projektā minētās dokumentācijas, procedūru un shēmu iesniegšanu, kā arī iekārtu saskaņošanu. Ievērojot, ka šobrīd Noteikumu projekta IV nodaļā ietvertās prasības faktiski liedz izmantot ārpakalpojumus un ierobežo pakalpojumu sniegšanu ārzemēs, lūdzam Noteikumu projektā ietvert praktiski izpildāmas prasības un skaidrot, kā tieši Sakaru tīklu īpašnieks varētu nodrošināt minēto drošības pienākumu izpildi attiecībā uz ārpakalpojumiem gan Latvijas, gan starptautiskajā mērogā. Kā arī aicinām izvērtēt iespēju atteikties no IV nodaļā minēto prasību ievērošanas gadījumos, kad ārpakalpojumu sniedz citā Eiropas Savienības dalībvalstī reģistrēts komersants.
Papildus iepriekš minētajam, vēlamies vērst uzmanību, ka šobrīd Noteikumu projektā ir skaidrots tikai uz ko Noteikumi neattiecas un kas nav Noteikumu subjekts. Tas var radīt kļūdainu Noteikumu interpretāciju, pretēji to mērķim. Proti, ievērojot Noteikumu projekta 3.punkta esošo redakciju, varētu secināt, ka Noteikumu projektā minētās prasības uz atsevišķiem Sakaru tīklu īpašniekiem varētu neattiekties, jo uzņēmums ir gan kritiskās infrastruktūras īpašnieks, gan privāto tiesību juridiska persona, kas sniedz pamatpakalpojumu un digitālo pakalpojumu. Tāpat no Noteikumu projekta 3.2.apakšpunkta secināms, ka Noteikumu prasības neattiecas uz kabeļtelevīziju. Ja patiesi tāds ir bijis likumdevēja mērķis, tad 3.2.apakšpunkts būtu jāpārformulē, to konkrēti definējot, piemēram, šādi – “Neattiecas uz specializētiem TV programmu un video pēc pieprasījuma izplatīšanas tīkliem, piemēram, DVB-T (zemes apraide), DVB-S (satelītu apraide), DVB-C (kabeļu TV), TV caur IP tīkliem, ja vien tajos nenotiek arī datu pakalpojumu vai publiskā Interneta piekļuves pakalpojumu sniegšana”.
Lai ieviestu tiesisko noteiktību, mūsu ieskatā, Noteikumu projektā ir nepieciešams skaidri definēt Noteikumu subjektu. Gadījumā, ja Noteikumu prasības nav paredzēts attiecināt uz kabeļtelevīziju, sniegt skaidrojumu, kādēļ, kā arī atbilstoši papildināt attiecīgo normu.
Aicinām veidot darba grupu Noteikumu projekta tālākā izstrādē, darba grupā iesaistot nozares komersantu tehniskos ekspertus, lai nodrošinātu, ka Noteikumu projektā paredzētie līdzekļi kvalitatīvi regulētu publisko elektronisko sakaru tīklu drošības jautājumus, neradot ar drošības risku vadību nesaderīgu un nesamērīgu regulējumu.
11.07.2022. 16:41