Projekta ID
22-TA-3183Atzinuma sniedzējs
Veselības ministrija
Atzinums iesniegts
31.01.2025.
Saskaņošanas rezultāts
Nesaskaņots
Iebildumi / Priekšlikumi
Nr.p.k.
Projekta redakcija
Iebildums / Priekšlikums
1.
Noteikumu projekts
Iebildums
ZVA ir pieejama Eiropas zāļu aģentūras pieejamā klasificēta informācija, ka ari Eiropas zāļu ražotāju komercnoslēpuma informācija. Kā šajā gadījumā rīkoties, vai būtu jāsadala infrastruktūra uz kuru attieksies jaunie noteikumi un daļa uz kuru tiek ievērotas citi drošības noteikumi?
Piedāvātā redakcija
-
2.
Noteikumu projekts
Iebildums
Ierobežojums var radīt problēmas piesaistīt augstas klases kiberdrošības speciālistus, kas nevēlēsies šādi ierobežot savas iespējas izmantot iegūtās zināšanas un kvalifikāciju. Rezultātā var iegūt situāciju kad par kritiskās infrastruktūras kiberdrošības pārvaldnieku strādās ne tie paši labākie speciālisti.
Konkrētais noteikumu punkts rada būtiskus šķēršļus valsts pārvaldes IKT centralizācijas centieniem (sīkāk sk.: https://www.varam.gov.lv/lv/ikt-arhitekturas-vadlinijas), piemēram, bet ne tikai Ministru kabineta 2013.gada 19.februāra rīkojumā Nr.57 "Par koncepciju "Valsts informācijas un komunikācijas tehnoloģiju pārvaldības organizatoriskais modelis"" noteiktā ieviešanai, vai jau ieviestām aktivitātēm, kur cita starpā, resors centralizējot nozares IKT - ir optimizējis, vai plāno optimizēt cilvēkresursus, tostarp atbildīgos ekspertus par IKT un kiberdrošības jautājumiem, kā rezultātā ir neizbēgama situācija, ka viens eksperts pilda (var pildīt) IKT kritiskās infrastruktūras kiberdrošibas pārvaldnieka lomu. Minētā punkta izpilde rada/var radīt ietekmi uz jau ieplānotajiem resoru/centralizācijas iestāžu budžetiem (jāveido papildus štata vietas, jāatrod un jāpiesaista trūkstošie eksperti).
Konkrētais noteikumu punkts rada būtiskus šķēršļus valsts pārvaldes IKT centralizācijas centieniem (sīkāk sk.: https://www.varam.gov.lv/lv/ikt-arhitekturas-vadlinijas), piemēram, bet ne tikai Ministru kabineta 2013.gada 19.februāra rīkojumā Nr.57 "Par koncepciju "Valsts informācijas un komunikācijas tehnoloģiju pārvaldības organizatoriskais modelis"" noteiktā ieviešanai, vai jau ieviestām aktivitātēm, kur cita starpā, resors centralizējot nozares IKT - ir optimizējis, vai plāno optimizēt cilvēkresursus, tostarp atbildīgos ekspertus par IKT un kiberdrošības jautājumiem, kā rezultātā ir neizbēgama situācija, ka viens eksperts pilda (var pildīt) IKT kritiskās infrastruktūras kiberdrošibas pārvaldnieka lomu. Minētā punkta izpilde rada/var radīt ietekmi uz jau ieplānotajiem resoru/centralizācijas iestāžu budžetiem (jāveido papildus štata vietas, jāatrod un jāpiesaista trūkstošie eksperti).
Piedāvātā redakcija
Dzēst punktu.
3.
Noteikumu projekts
Iebildums
Ekspertu kompetences un kapacitātes faktors - kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādei, pārskatīšanai un aktualizēšanai var tikt piesaistīti ne tie paši zinošākie speciālisti.
Konkrētais noteikumu punkts rada ietekmi uz iestāžu budžetiem (IKT kritiskās infrastruktūras īpašniekam nav/var nebūt vēl papildus kompetenta kiberdrošības eksperta IKT darbības nepārtrauktības plāna izstrādei, pārskatīšanai un aktualizēšanai, kā arī plānā ietverto pasākumu īstenošanai, kas rada/var radīt nepieciešamību veidot papildus štata vietas un nepieciešamību piesaistīt trūkstošo ekspertu, lai nodrošinātu izvirzīto prasību). Papildus ar prasību no noteikumu 18.punkta - kurš nosaka konkrētu IKT kiberdrošības pārvaldnieka piesaisti tikai vienam subjektam, tas 45.punkta prasības nodrošināšanu padara iestādēm vēl sarežģītāku kompetentu ekspertu plānošanas, piesaistes un nodrošināšanas ziņā.
Konkrētais noteikumu punkts rada ietekmi uz iestāžu budžetiem (IKT kritiskās infrastruktūras īpašniekam nav/var nebūt vēl papildus kompetenta kiberdrošības eksperta IKT darbības nepārtrauktības plāna izstrādei, pārskatīšanai un aktualizēšanai, kā arī plānā ietverto pasākumu īstenošanai, kas rada/var radīt nepieciešamību veidot papildus štata vietas un nepieciešamību piesaistīt trūkstošo ekspertu, lai nodrošinātu izvirzīto prasību). Papildus ar prasību no noteikumu 18.punkta - kurš nosaka konkrētu IKT kiberdrošības pārvaldnieka piesaisti tikai vienam subjektam, tas 45.punkta prasības nodrošināšanu padara iestādēm vēl sarežģītāku kompetentu ekspertu plānošanas, piesaistes un nodrošināšanas ziņā.
Piedāvātā redakcija
-
4.
Noteikumu projekts
Iebildums
MK noteikumu projekta 46., 72., 86.punkts:
Punkti paredz noteikt atbildīgās personas:
1. kiberrisku pārvaldības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
2. IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
3. par žurnālfailu pārvaldību atbildīgo personu;
4. par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu
Visām minētajām personām jāatbilsts MK noteikum projekta 12. punktā minētajām prasībām, tostarp 12.6. punktā noteiktajam “kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).”. Iebilstam pret šādas prasības izvirzīšanu visām kiberdrošības pārvaldības
procesos iesaistītajām personām, kas rada nesamērīgu slogu, piemēram atbildīgaijai personai (piem. administratoram) par rezerves kopiju izveidi obligāti nepieciešama vismaz 2 gadu pieredzes kiberdrošības pārvaldības jomā uzskatāma par nesamērīgu.
Punkti paredz noteikt atbildīgās personas:
1. kiberrisku pārvaldības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
2. IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
3. par žurnālfailu pārvaldību atbildīgo personu;
4. par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu
Visām minētajām personām jāatbilsts MK noteikum projekta 12. punktā minētajām prasībām, tostarp 12.6. punktā noteiktajam “kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).”. Iebilstam pret šādas prasības izvirzīšanu visām kiberdrošības pārvaldības
procesos iesaistītajām personām, kas rada nesamērīgu slogu, piemēram atbildīgaijai personai (piem. administratoram) par rezerves kopiju izveidi obligāti nepieciešama vismaz 2 gadu pieredzes kiberdrošības pārvaldības jomā uzskatāma par nesamērīgu.
Piedāvātā redakcija
-
5.
Noteikumu projekts
Iebildums
Ņemot vērā ka MK442 vairs nav spēkā un šajos noteikumos nekas nav minēts, pazūd vesela sadaļa par min prasībām pret parolēm.
Piedāvātā redakcija
-
6.
Noteikumu projekts
Iebildums
MK noteikumu projekta 46., 72., 86.punkts:
Punkti paredz noteikt atbildīgās personas:
1. kiberrisku pārvaldības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
2. IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
3. par žurnālfailu pārvaldību atbildīgo personu;
4. par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu
Visām minētajām personām jāatbilsts MK noteikum projekta 12. punktā minētajām prasībām, tostarp 12.6. punktā noteiktajam “kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).”. Iebilstam pret šādas prasības izvirzīšanu visām kiberdrošības pārvaldības
procesos iesaistītajām personām, kas rada nesamērīgu slogu, piemēram atbildīgaijai personai (piem. administratoram) par rezerves kopiju izveidi obligāti nepieciešama vismaz 2 gadu pieredzes kiberdrošības pārvaldības jomā uzskatāma par nesamērīgu.
Punkti paredz noteikt atbildīgās personas:
1. kiberrisku pārvaldības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
2. IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
3. par žurnālfailu pārvaldību atbildīgo personu;
4. par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu
Visām minētajām personām jāatbilsts MK noteikum projekta 12. punktā minētajām prasībām, tostarp 12.6. punktā noteiktajam “kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).”. Iebilstam pret šādas prasības izvirzīšanu visām kiberdrošības pārvaldības
procesos iesaistītajām personām, kas rada nesamērīgu slogu, piemēram atbildīgaijai personai (piem. administratoram) par rezerves kopiju izveidi obligāti nepieciešama vismaz 2 gadu pieredzes kiberdrošības pārvaldības jomā uzskatāma par nesamērīgu.
Piedāvātā redakcija
-
7.
Noteikumu projekts
Iebildums
MK noteikumu projekta 46., 72., 86.punkts:
Punkti paredz noteikt atbildīgās personas:
1. kiberrisku pārvaldības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
2. IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
3. par žurnālfailu pārvaldību atbildīgo personu;
4. par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu
Visām minētajām personām jāatbilsts MK noteikum projekta 12. punktā minētajām prasībām, tostarp 12.6. punktā noteiktajam “kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).”. Iebilstam pret šādas prasības izvirzīšanu visām kiberdrošības pārvaldības
procesos iesaistītajām personām, kas rada nesamērīgu slogu, piemēram atbildīgaijai personai (piem. administratoram) par rezerves kopiju izveidi obligāti nepieciešama vismaz 2 gadu pieredzes kiberdrošības pārvaldības jomā uzskatāma par nesamērīgu.
Punkti paredz noteikt atbildīgās personas:
1. kiberrisku pārvaldības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
2. IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu;
3. par žurnālfailu pārvaldību atbildīgo personu;
4. par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu atbildīgo personu
Visām minētajām personām jāatbilsts MK noteikum projekta 12. punktā minētajām prasībām, tostarp 12.6. punktā noteiktajam “kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā (piemēram, CISM, CISSP).”. Iebilstam pret šādas prasības izvirzīšanu visām kiberdrošības pārvaldības
procesos iesaistītajām personām, kas rada nesamērīgu slogu, piemēram atbildīgaijai personai (piem. administratoram) par rezerves kopiju izveidi obligāti nepieciešama vismaz 2 gadu pieredzes kiberdrošības pārvaldības jomā uzskatāma par nesamērīgu.
Piedāvātā redakcija
-
8.
Noteikumu projekts
Priekšlikums
Atsauce uz 3. pielikumu ir MK noteikuma projekta 11., 17., 45., 70., 74., 77., 86., norādot 3.pielikuma aizpildīšanu informējot par dažādu lomu atbildīgajām personām, kas noteiktas kiberdrošības pārvaldības procesos, savukārt 3. pielikuma noformējums paredz informēšanu par kiberdrošības pārvaldnieka noteikšanu. Lūgums precizēt 3.pielikuma nosaukumu uz “Par kiberdrošības pārvaldībā iesaistītajām personām”, un zemāk izveidot izvēlni, kurā var norādīt, par kādu kiberdrošības pārvaldībā iesaistīto atbildīgo sniegta informācija.
Piedāvātā redakcija
-
9.
Noteikumu projekts
Priekšlikums
Precizēt, vai pārbaude notiek pirms amatā stāšanās un kādi ir pārbaudes maksimālie termiņi.
Piedāvātā redakcija
-
10.
Noteikumu projekts
Priekšlikums
Lūgums precizēt, vai par fizisko personu, kura subjektā kiberdrošības pārvaldnieka prombūtnes laikā pilda kiberdrošības pārvaldnieka pienākumus, jāinformē atbilstoši Noteikumu projekta 11.punktam?
Piedāvātā redakcija
-
11.
Noteikumu projekts
Priekšlikums
Lūgums skaidrot, vai MK noteikumu projekta 36.punkts attiecināms arī uz tādām IKT kritiskās infrastruktūras īpašnieka jaunām informācijas sistēmu izveides aktivitātēm, kas nav saistītas ar IKT kritiskās infrastruktūras kopumā iekļautu IS, piemēram, iekšēju darbinieku informēšanas vidi, personāla pārvaldības risinājumu?
Piedāvātā redakcija
-
12.
Noteikumu projekts
Priekšlikums
Nepieciešams precizēt formulējumu. Nav skaidrs par kādiem IKT resursiem iet runa.
Piedāvātā redakcija
-
13.
Noteikumu projekts
Priekšlikums
Noteikumu projekta 3.2. punkts nosaka kiberdrošības pārvaldības dokumentācijas kopumu, kur viens no elementiem ir IKT darbības nepārtrauktības plāna izstrāde, savukārt viens no IKT darbības nepārtrauktības plāna elementiem ir līgumu/pakalpojumu darbības nepārtrauktība. Lai IKT kritiskās infrastruktūras īpašnieki varētu laicīgi saplānot iepirkumu plānu, lai nodrošinātu līgumu/pakalpojumu darbības nepārtrauktību, lūgums precizēt MK noteikumu projekta 110. punktu norādot laika tvērumu, kādā kritiskās infrastruktūras īpašnieks saņems atzinumu pēc pieprasījuma nosūtīšanas, kā arī paredzēt rīcību steidzamu neplānotu iegāžu gadījumos (piemēram, steidzamības kārtā izskatīts pieprasījums).
Piedāvātā redakcija
-
14.
Noteikumu projekts
Priekšlikums
KI škiet lieks.
Piedāvātā redakcija
IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par IKT kritiskās infrastruktūras informācijas sistēmas tehnisko resursu iegādi atļauts slēgt, ja ārpakalpojuma sniedzējs ir:
15.
Noteikumu projekts
Priekšlikums
Nepieciešams precizēt, kas veic 130.1 un 130.2 punktos minētās darbības.
Piedāvātā redakcija
IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs norīko par IKT kritiskās infrastruktūras drošību atbildīgo personu. IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja par IKT kritiskās infrastruktūras drošību atbildīgā persona vienlaikus ir arī konkretā IKT kritiskās infrastruktūras īpašnieka vai tiesiskā valdītāja kiberdrošības pārvaldnieks. Par IKT kritiskās infrastruktūras drošību atbildīgā persona:
16.
Noteikumu projekts
Priekšlikums
Šo punktu nepieciešams precižet - nav saprotams, kas ar to domāts.
Piedāvātā redakcija
-
17.
Anotācija (ex-ante)
2.4. Atbilstības izmaksu monetārs novērtējums
Priekšlikums
Ņemot vērā šajos noteikumos izvirzītas prasības drošības pārvaldniekiem un to reālo pieejamību darba tirgū, būtu tomēr nepieciešams izvērtēt subjektu skaitu, kuros šobrīd netiek nodarbināti drošības pārvaldnieki, analizēt to trūkumu un izvērtēt finansiālo un juridisko ietekmi uz subjektiem, kam būs papildus izmaksas vismaz divu kiberdrošības speciālistu algošanai (aizvietošana) un sekām, ja tie darba tirgū vienkārši nespēs atrast atbilstošu kandidātu iepriekšminētā sepciālistu trūkuma dēļ.
Tā pat nepieciešamas izvērtēt finansiālo ietekmi žurnālfailu apstrādes un glabāšanas noteikumu dēļ, kas būtībā paredz, ka visiem subjektiem nepieciešamas SIEM risinājums un papildus personāls žurnālfailu analīzei.
Tā pat nepieciešamas izvērtēt finansiālo ietekmi žurnālfailu apstrādes un glabāšanas noteikumu dēļ, kas būtībā paredz, ka visiem subjektiem nepieciešamas SIEM risinājums un papildus personāls žurnālfailu analīzei.
Piedāvātā redakcija
-