Atzinums

Noteikumu 15.5. punkts nosaka, ka Centrs uztur un savā tīmekļvietnē publicē sarakstu, ar ekspertiem, kas var veikt regulatīvās vides sistēmu, iekārtu un procedūru drošību pārbaudes, sarakstu ar visiem pakalpojumu sniedzējiem, kas atbilst šajos noteikumos noteiktajām prasībām un regulatīvās vides nodrošinātāju sarakstu(turpmāk – reģistrs). Savukārt Noteikumu 29.punkts nosaka prasības šādiem ekspertiem.
Mēs vēlamies norādīt, ka atbilstoši Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības” 122.punktam, Digitālā drošības uzraudzības komiteja uztur kiberdrošības auditoru sarakstu, kas pēc būtības ir ekspertu saraksts, kas ir iekļauts šo noteikumu 15.5.punktā. Tādējādi tiktu veidoti divi neatkarīgi ekspertu vai kiberdrošības auditoru saraksti, kas dublējas.

Atbilstoši Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības” 123.punktam, ir kiberdrošības auditoram ir noteiktas prasības, kuras attiecīgi tika izvērtētas un apstiprinātas, piesaistot tādas kiberdrošības institūcijas kā CERT.LV, Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un citas.
 

Iesakām veikt šādus labojumus:
Noteikt, ka Noteikumu 28.punktā iekļauto Regulatīvās vides informācijas sistēmu, iekārtu un procedūru drošību pārbauda un atzinumu par to sniedz kiberdrošības auditors, kurš iekļauts Digitālā drošības uzraudzības komitejas kiberdrošības auditoru sarakstā.
Ja tomēr netiek veiktas augstāk minētās izmaiņas, ieteikums būtu izvirzīt auditoram pārbaudāmas prasības, tā piemēram, 29.3.punktu izsakot šādā versijā “tam vai tā nodarbinātajam personālam ir nepieciešamās zināšanas informācijas sistēmu drošības audita jomā, ko apliecina starptautiski atzīti sertifikāti (piemēram, CISA)”.

Noteikumu “V. Regulatīvās vides tehniskās un organizatoriskās prasības” sadaļa ietver prasības, kas pēc būtības dublējas ar prasībām, kas ir iekļautas Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības”, kuras attiecīgi tika izvērtētas un apstiprinātas, piesaistot tādas kiberdrošības institūcijas kā CERT.LV, Nacionālais kiberdrošības centrs, Satversmes aizsardzības birojs un citas.
Šādas dublējošās prasības ir iekļautas gan attiecībā uz žurnālfailu (auditācijas pierakstu) glabāšanu, kiberdrošības incidentu pārvaldības kārtību un risku uzturēšanu un tml. Papildus vēlamies norādīt, ka terminoloģija abos Ministru kabineta noteikumos ir atšķirīga (piemēram, “žurnālfaili” vai “auditācijas pieraksti”), kas var radīt dažādus interpretējumus, kā arī radītu papildus nevajadzīgu resursu noslodzi nodrošinot attiecīgo Ministru kabineta noteikumu ievērošanu. Tā piemēram, ievērojot Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības”, incidenta gadījumos, ir jau noteiktas prasības nepieciešamās dokumentācijas sagatavošanai un attiecīgo institūciju informēšanai.
 

Iesakām veikt šādus labojumus:“V. Regulatīvās vides tehniskās un organizatoriskās prasības” sadaļā iekļautās prasības pārskatīt, iekļaujot atsauces uz nepieciešamajām prasībām, kas šeit ir attiecināmas un jau ir iekļautas Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības”;Izmantot vienotus terminus, kas tiek izmantoti Nacionālā kiberdrošības likumā un uz šī likuma pamata izdotajos Ministru kabineta noteikumos, t.sk. Ministru kabineta 2025. gada 25. jūnija noteikumos Nr. 397 “Minimālās kiberdrošības prasības”.

Noteikumu 28.punkts nosaka, ka Regulatīvās vides informācijas sistēmu, iekārtu un procedūru drošību pārbauda un atzinumu par to sniedz eksperts, kurš iekļauts Centra apstiprinātajā ekspertu sarakstā. Tomēr vēlamies norādīt, ka augstāk minētie Noteikumi nenosaka prasības attiecībā uz šādas pārbaudes regularitāti.

Rekomendējam izvērtēt iespēju noteikt prasības attiecībā uz augstāk minētās pārbaudes regularitāti, piemēram, nosakot, ka Regulatīvās vides informācijas sistēmu, iekārtu un procedūru drošību pārbaude ir jāveic vismaz reizi gadā vai pēc būtiskām sistēmas vai tās uzturošās infrastruktūras izmaiņām.