Atzinums

Saskaņā ar Ministru kabineta noteikumu "Valsts datu apstrādes mākoņa noteikumi" (Tiesību akta lietas ID
24-TA-1050) projekta 3.4.punktu, kā arī likuma "Par Latvijas Nacionālo bibliotēku" 6.panta 5.daļu datu centra operators var būt arī tiešās valsts pārvaldes iestāde, līdz ar to lūdzam precizēt atbilstošā punkta redakciju.

-

Lūdzam uzlikt par pienākumu minēto informāciju reģistrēt VIRSIS.
 

-

Lūdzam šo punktu svītrot, jo piekļuve informācijas sistēmai, izmantojot publiskā interneta tīklu, nekādā mērā neliecina par šīs sistēmas nozīmīgumu un nepieciešamību kā īpaši aizsargāt, jo subjektam var būt informācijas sistēma, kura ir būtiska tās pamatdarības veikšanai, un tieši šī iemesla pēc drošības nolūkos tai netiek nodrošināta piekļuve no publiskā interneta tīkla.
 

-

Lūdzu terminu "ugunsdzēsība" aizstāt ar Ugunsdrošības un ugunsdzēsības likuma 4.panta pirmajā daļā lietoto terminu "ugunsdrošības, ugunsdzēsības un glābšanas dienesti", kā arī papildināt ar terminu "speciālie dienesti".
 

-

Nacionālās kiberdrošības likuma 13.panta trešās daļas 6.punkts nosaka, ka Digitālās drošības uzraudzības komiteja izskata jautājumus, kas skar elektroniskās identifikācijas pakalpojumu sniedzējus un to sniegtos pakalpojumus, uzticamus sertifikācijas pakalpojumu sniedzējus un to sniegtos pakalpojumus, parakstu vākšanas tiešsaistes sistēmas, kā arī būtisko pakalpojumu un svarīgo pakalpojumu sniedzējus. Līdz ar to Uzraudzības komiteja neizskata jautājumus par IKT kristisko infrastruktūru.

Vienlaikus šo noteikumu 24.punkts nosaka, ka, ja datu centru operators ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs, tad uzraudzību tā datu centriem nodrošina Satversmes aizsardzības birojs atbilstoši Nacionālās kiberdrošības likumā noteiktajam.

No minētā izriet, ka IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājiem nav pienākums iesniegt noteikumu 13.punktā paredzētos dokumentus Digitālās drošības uzraudzības komitejai un tikt iekļautam Drošajā datu centru reģistrā, tajā skaitā tā publiskajā daļā.

Ja informācija par datu centra operatoru kā IKT kritiskās infrastruktūras īpašnieku vai tiesisko valdītāju netiek iekļauta Drošajā datu centra reģistrā, tad minētajā reģistrā netiek uzkrāta visa informācija par visiem datu centriem un datu centra klienti, kuri vēlas izmantot drošo datu centra pakalpojumus tiek maldināti, jo drošajā datu centra reģistrā neparādās informācija par IKT kritiskās infrastruktūras īpašnieku vai tiesiskā valdītāja pārziņā esošajiem datu centriem.
 

-

Lūdzam apvienot noteikuma projekta 17. un 24.punktu no normatīvā akta uztveramības viedokļa.
Piedāvātā redakcija
17. Uzraudzību par datu centru atbilstību šajos noteikumos noteiktajām prasībām nodrošina Nacionālās kiberdrošības centrs vai Satversmes aizsardzības birojs, ja datu centru operators ir IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs.

-

Noteikumu projekta 3. punktā tiek norādīts, ka ar datu centra operatoru tiek saprasta Latvijā reģistrēta juridiska persona vai ārvalsts juridiskās personas filiāle, bet turpmākajā noteikumu projekta redakcijā tiek lietoti termini "privātais mākonis" vai "publiskais mākonis". Lūgums noteikumu projektā precizēt, vai privātā un publiskā mākoņa pārzinis ir datu centra operators vai arī noteikt, ja tas ir būtiski, ka var izmantot tikai tādus privātā un publiskā mākoņa pakalpojumus, kuri ir izvietoti Latvijas Republikas teritorijā.
 

-

Noteikuma projekta anotācijā (ex-ante) tiek skaidrota:
- Datu rezidentūra - informācijas sistēmas, kas tiek izmantotas Valsts pārvaldes pakalpojumu sniegšanai, Valsts uzdevumu vai citu valsts mērķu un pasākumu īstenošanai, dati tiek glabāti un apstrādāti tikai tādos datu centros, kuros tiek ievēroti šādi nosacījumi:
(a) Datu glabāšanas fiziskā vieta ir zināma un fiksēta, ar iespēju pārbaudīt atbilstību normatīvajiem aktiem;
(b) Pakalpojuma sniedzējam nav juridiska pienākuma izpaust datus ārvalstu institūcijām vai uzņēmumiem, ja vien tas nav saskaņots ar Latvijas tiesību aktiem;
(c) Datu piekļuves un apstrādes vieta tiek regulēta, nodrošinot atbilstību Latvijas normatīvajiem aktiem par datu aizsardzību un kiberdrošību.

- Datu suverenitāte:
1. Datu glabāšana un apstrāde ārpus Latvijas Republikas ir pieļaujama tikai tad, ja tiek nodrošināta Latvijas tiesību normu prioritāte attiecībā uz datu aizsardzību un piekļuves kontroli;
2. Subjektam līgumos ar ārvalstu pakalpojumu sniedzējiem, kas nodrošina datu centru vai mākoņdatošanas pakalpojumu lietošanu, jānodrošina, ka:
(a) dati nepakļaujas ārvalstu valdību piespiedu piekļuvei;
(b) tiek nodrošināta audita iespējas Latvijas kiberdrošības uzraudzības institūcijām.

Mūsuprāt, augstāk minētie nosacījumi ir būtiski un tie nevar tikt iekļauti tikai noteikuma projekta anotācijā, bet tiem ir jābūt skaidri noteiktiem noteikumos. Lūdzam papildināt noteikumu projektu ar jauniem punktiem, iekļaujot augstāk minētos nosacījumus par datu rezidentūru un suverenitāti, it īpaši ievērojot Viedās administrācijas un reģionālās attīstības ministrijas iniciatīvu par datu vēstniecību izveidi (Tiesību akta lietas ID 25-TA-778, Konceptuāls ziņojums“Datu vēstniecības izveides koncepcija”).
 

-

IKT nozarē ar terminu "datu centrs" tiek saprasta ēka un atbalsta infrastruktūra, kas ir nepieciešama, lai nodrošinātu drošu un atbilstošu serveru izvietošanu. Noteikumu projektā būtisks uzsvars tiek likts tieši uz datu centra infrastruktūru, pieejamības rādītājiem, uzraudzību, bet pirmšķietami ir nepietiekami atrunāta privāto un publisko mākoņu pakalpojuma sniedzēja un to klientu atbildība, piem., šī noteikumā punkta kontekstā sistēmu nevar izvietot tukšā datu centrā, ir nepieciešama serveri un tīkla iekārtas. Attiecīgi, vai subjekts izmanto savu servertehniku un tīkla iekārtas un tās izvieto drošajā datu centrā vai drošais datu centrs to nodrošina?
Saskaņā ar Ministru kabinētā izskatītajiem VARAM sagatavotajiem politikas plānošanas dokumentiem un Ministru kabineta protokollēmumiem valsts pārvaldes iestādēm ir aizliegts iegādāties pašiem savu servertehniku bez īpaša VARAM saskaņojuma, kā arī atbilstoši Ministru kabineta noteikumu "Valsts datu apstrādes mākoņa noteikumi" (Tiesību akta lietas ID 24-TA-1050) projektam publiskām personām, publiskas personas kapitālsabiedrībām, publiskas personas kontrolētai kapitālsabiedrībai, zinātniskajām vai kultūras institūcijam, izglītības iestādēm būtu pienākums izmantot valsts datu apstrādes mākoņdatošanas platformas pakalpojumus, nevis datu centrus. Līdz ar to būtu būtiski noteikumu projektā detalizētāk atrunāt augstāk minētos problēmjautājumus.
 

-

No normatīvā akta uztveramības viedokļa lūdzam izmantot vienādus terminus un aizstāt "mākoņdatošanas pakalpojuma sniedzēja" ar atbilstošu terminu "privātais mākonis", "publiskais mākonis".
 

-

Lūgums paredzēt pienākumu subjektiem, kas ir publiskās personas, reģistrēt šo informāciju VIRSIS. Attiecīgi VARAM un VDAA, balstoties uz pilnveidotā punkta redakciju, būtu jāparedz atbilstoša funkcionalitāte VIRSIS.
 

-

Atbilstoši nozares labajai praksei salāgot pieejamības rādītājus attiecībā uz datu centriem ar pieejamības rādītājiem Ministru kabineta "Minimālās kiberdrošības prasības" noteikumos (Tiesību akta lietas ID 22-TA-3183), jo datajā brīdī datu centram ir izvirzīta pieejamība 99,982%, savukārt informācijas sistēmām ir 99,9%.
 

-

Lūdzu novērst pretrunu starp šo noteikumu 2.pielikuma 2.2.punktu un 2.2.3.apakšpunktu attiecībā uz biometriskās autentifikācijas izmantošanu, proti, 2.2.punkts neuzliek par obligātu pienākumu, savukārt 2.2.3.apakšpunktā - obligāts pienākums.
 
Piedāvātā redakcija
2.2. fiziskā piekļūšana nodrošināta, balstoties uz datu centra zonas drošības klasi, izmantojot atbilstošas drošības pakāpes autentifikācijas risinājumu.

-

No noteikumu projekta izriet, ka noteikumu adresāts ir datu centra operatori, savukārt esošajā anotācijas redakcijā ietekmētā sabiedrības grupa ir Valsts datu apstrādes mākoni veidojošo mākoņdatošanas platformu pārziņi. Attiecīgi no minētā var izdarīt secinājumu, ka Valsts datu apstrādes mākoni veidojošo mākoņdatošanas platformu pārziņi būs šajos noteikumos minētie datu centra operatori, kas savukārt ir pretrunā ar Ministru kabineta noteikumu "Valsts datu apstrādes mākoņa noteikumi" (Tiesību akta lietas ID 24-TA-1050) projekta 4.punktā un Ministru kabineta 26.03.2024 sēdes protokollēmuma (Nr.13 64. §) 2.punktā minēto.
Piedāvātā redakcija
Latvijas Republikā reģistrēta juridiska persona vai ārvalstu juridiskās personas filiāle, kura sniedz datu centra pakalpojumus
Valsts datu apstrādes mākoni veidojošo mākoņdatošanas platformu pārziņi
Nacionālā kiberdrošības likuma subjekti kuru informācijas sistēmas atbilst noteikumu 6. punkta kritērijiem

-

Lūdzu Aizsardzības ministrijai un Viedās administrācijas un reģionālās attīstības ministrijai nodrošināt, ka noteikumu projekta turpmākā izstrādē un pilnveidē tiek iesaistīti visi valsts datu apstrādes mākoņa dalībnieki atbilstoši Ministru kabineta noteikumu "Valsts datu apstrādes mākoņa noteikumi" projekta 4.punktam (Tiesību akta lietas ID 24-TA-1050), lai nodrošinātu vienotu izpratni un lai savlaicīgi varētu sniegt priekšlikumus par normatīvā akta projektu. Līdz ar to būsim pateicīgi, ja LNB turpmāk tiktu pieaicināta pie šo noteikumu un minimālo kiberdrošības prasības noteikumu izstrādes, lai nodrošinātu veiksmīgāku turpmāko sadarbību.
 

-