Projekta ID
25-TA-781Atzinuma sniedzējs
CERT.LV
Atzinums iesniegts
21.07.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
21. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija ikgadēji veic Centrālās statistikas pārvaldes nodrošinātās regulatīvās vides drošības pārbaudi.
Iebildums
TA projekta 21.p. tiek noteikts papildus pienākums CERT.LV "Informācijas tehnoloģiju drošības incidentu novēršanas institūcija ikgadēji veic Centrālās statistikas pārvaldes nodrošinātās regulatīvās vides drošības pārbaudi."
21. punkta redakcija neatbilst MK 2009. gada 7. jūlija noteikumu Nr. 970 “Normatīvo aktu projektu izstrādes noteikumi” 3.punkta prasībām, jo tā dublē augstāka spēka normatīvā akta tiesību normās ietverto normatīvo regulējumu, kā arī pārkāpj normatīvo aktu hierarhiju, jo uzdod uzdevumu kiberincidentu novēršanas institūcijai, kuras kompetenci un uzdevumus jau precīzi un izsmeļoši regulē Nacionālās kiberdrošības likums (NKDL) un tās uzdevumos neietilpst drošības pārbaužu ikadēja veikšana.
Saskaņā ar NKDL 25.panta piekto daļu subjekta (Centrālās statistikas pārvaldes) kiberdrošības pārvaldniekam ir pienākums ne retāk kā reizi gadā veikt informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu. Savukārt CERT.LV uzdevumi ir aprakstīti NKDL 10. pantā, un tie neietver ikgadēju drošības pārbaudi.
Saskaņā ar NKDL 42. pantu kiberdrošības uzraudzību, tai skaitā, IKT klātienes pārbaudes un dokumentu pārbaudes veic Nacionālais kiberdrošības centrs (NKDC) un Satversmes aizsardzības birojs (SAB).
Tā kā Centrālā statistikas pārvalde (CSP) ir NKDL subjekts, tad tās informācijas drošības pārbaudes notiek saskaņā ar NKDL un papildu regulējums nav ne nepieciešams. Turklāt šāda redakcija nav skaņota ar CERT.LV, ne arī NKDC.
Ņemot vērā iepriekš minēto, priekšlikums ir svītrot no noteikumu projekta punktu:
“21. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija ikgadēji veic Centrālās statistikas pārvaldes nodrošinātās regulatīvās vides drošības pārbaudi.”
Pamatojums:
1) uzdevums neatbilst institūcijas NKDL noteiktajiem uzdevumiem;
2) ir pretrunā ar NKDL noteikto uzraudzības institucionālo ietvaru;
3) drošības pārbaužu kārtība jau tiek īstenota likumā noteiktajā veidā attiecībā uz NKDL subjektiem.
21. punkta redakcija neatbilst MK 2009. gada 7. jūlija noteikumu Nr. 970 “Normatīvo aktu projektu izstrādes noteikumi” 3.punkta prasībām, jo tā dublē augstāka spēka normatīvā akta tiesību normās ietverto normatīvo regulējumu, kā arī pārkāpj normatīvo aktu hierarhiju, jo uzdod uzdevumu kiberincidentu novēršanas institūcijai, kuras kompetenci un uzdevumus jau precīzi un izsmeļoši regulē Nacionālās kiberdrošības likums (NKDL) un tās uzdevumos neietilpst drošības pārbaužu ikadēja veikšana.
Saskaņā ar NKDL 25.panta piekto daļu subjekta (Centrālās statistikas pārvaldes) kiberdrošības pārvaldniekam ir pienākums ne retāk kā reizi gadā veikt informācijas un komunikācijas tehnoloģiju drošības pārbaudi un atbilstoši tās rezultātiem organizēt konstatēto trūkumu novēršanu. Savukārt CERT.LV uzdevumi ir aprakstīti NKDL 10. pantā, un tie neietver ikgadēju drošības pārbaudi.
Saskaņā ar NKDL 42. pantu kiberdrošības uzraudzību, tai skaitā, IKT klātienes pārbaudes un dokumentu pārbaudes veic Nacionālais kiberdrošības centrs (NKDC) un Satversmes aizsardzības birojs (SAB).
Tā kā Centrālā statistikas pārvalde (CSP) ir NKDL subjekts, tad tās informācijas drošības pārbaudes notiek saskaņā ar NKDL un papildu regulējums nav ne nepieciešams. Turklāt šāda redakcija nav skaņota ar CERT.LV, ne arī NKDC.
Ņemot vērā iepriekš minēto, priekšlikums ir svītrot no noteikumu projekta punktu:
“21. Informācijas tehnoloģiju drošības incidentu novēršanas institūcija ikgadēji veic Centrālās statistikas pārvaldes nodrošinātās regulatīvās vides drošības pārbaudi.”
Pamatojums:
1) uzdevums neatbilst institūcijas NKDL noteiktajiem uzdevumiem;
2) ir pretrunā ar NKDL noteikto uzraudzības institucionālo ietvaru;
3) drošības pārbaužu kārtība jau tiek īstenota likumā noteiktajā veidā attiecībā uz NKDL subjektiem.
Piedāvātā redakcija
-
2.
Noteikumu projekts
27.2. regulatīvās vides auditācijas pierakstos jāiekļauj informācija par pieslēgšanos, atslēgšanos, datu atlasi, konta izveidi, grozīšanu vai dzēšanu, fiksējot notikuma laiku (UTC), IP adresi, darbības aprakstu un iniciatora identifikatoru, un šie pieraksti jāuzglabā vismaz 6 mēnešus;
Iebildums
27.2. punktā "Regulatīvās vides auditācijas pierakstos jāiekļauj informācija par pieslēgšanos, atslēgšanos, datu atlasi, konta izveidi, grozīšanu vai dzēšanu, fiksējot notikuma laiku (UTC), IP adresi, darbības aprakstu un iniciatora identifikatoru, un šie pieraksti jāuzglabā vismaz 6 mēnešus;" noteiktais ir pretrunā ar MKn 397 3.9 sadaļā.p. noteikto, par žurnālfailu glabāšanas ilgumu un minimālo apjomu. Ja nav īpašas nepieciešamības, rekomendējam šo punktu izslēgt, jo tas ir reglamentēts jau citos MK noteikumos (šajā gadījumā MK 397) vai arī pielāgot šajos noteikumos minētajam.
Piedāvātā redakcija
-