Atzinums

Atbilstoši juridiskās tehnikas prasībām lūdzam noteikumu projektā neskaidrot terminus, kuri skaidroti vai lietoti likumos (jo īpaši noteikumu projekta izdošanas pamatā), proti, terminus "tīkls" un "žurnālfaili".

-

Lūdzam precizēt noteikumu projekta 4. punktu un papildināt noteikumu projekta anotāciju ar detalizētu skaidrojumu par normatīvo aktu par valsts informācijas sistēmu darbību piemērošanu kontekstā ar noteikumu projektu. Proti, no noteikumu projekta un tā anotācijas neizriet, vai noteikumu projektā paredzētas speciālās prasības iepretim minētajiem normatīvajiem aktiem par valsts informācijas sistēmu darbību (šādā gadījumā norāde "ciktāl tie nav pretrunā ar normatīvajiem aktiem par valsts informācijas sistēmu darbību" neatbilst minētajam specialitātes sakaram) vai otrādi, un kādos gadījumos varētu veidoties pretrunas, turklāt norāde, ka noteikumi attiecas (bet ne, ka noteikumi piemērojami v.tml.) vienīgi gadījumā, ciktāl tie nav pretrunā ar citiem normatīvajiem aktiem, neatbilst juridiskās tehnikas prasībām.

Ja noteikumu projektā paredzēts speciālais regulējums, būtu pieļaujama šāda norma, tomēr attiecīgā gadījumā runa būs vienīgi par Ministru kabineta noteikumiem par valsts informācijas sistēmu darbību, nevis likumā ietvertu regulējumu:
"4. Normatīvie akti par valsts informācijas sistēmu darbību piemērojami, ciktāl šajos noteikumos nav noteikts citādi".

Pamatojoties uz Ministru kabineta 2021. gada 7. septembra noteikumu Nr. 617 "Tiesību akta projekta sākotnējās ietekmes izvērtēšanas kārtība" 9.19. apakšpunktu, lūdzam papildināt noteikumu projekta anotācijas 5. sadaļu ar informāciju par:
1) Eiropas Parlamenta un Padomes 2018.gada 11.decembra direktīvas Nr.2018/1972/ES par Eiropas Elektronisko sakaru kodeksa izveidi pārņemšanu noteikumu projektā;
2) Eiropas Komisijas 2024. gada 17. oktobra Īstenošanas regulas (ES) 2024/2690, kas attiecībā uz DNS pakalpojumu sniedzējiem, TLD nosaukumu reģistriem, mākoņdatošanas pakalpojumu sniedzējiem, datu centru pakalpojumu sniedzējiem, satura piegādes tīkla nodrošinātājiem, pārvaldītu pakalpojumu sniedzējiem, pārvaldītu drošības pakalpojumu sniedzējiem, tiešsaistes tirdzniecības vietu, tiešsaistes meklētājprogrammu un sociālās tīklošanās pakalpojumu platformu nodrošinātājiem un uzticamības pakalpojumu sniedzējiem nosaka Direktīvas (ES) 2022/2555 piemērošanas noteikumus, kuri attiecas uz kiberdrošības risku pārvaldības pasākumu tehniskajām un metodiskajām prasībām un precizē, kādos gadījumos incidentu uzskata par būtisku, ieviešanu ar noteikumu projektu.
Papildus lūdzam precizēt noteikumu projekta anotācijas 5.4. apakšsadaļas 1. tabulu:
1) norādām, ka daļa informācijas par noteikumu projekta vienībām, ar kurām pārņemtas direktīvas prasības, aizpildīta acīmredzami nekorekti (piem., par Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvas (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (TID 2 direktīva) (turpmāk - direktīva Nr. 2022/2555) prasību pārņemšanu noteikumu projekta 90. punktā, 25.4. apakšpunktā, 36. punktā, 4.1., 4.4. sadaļā u.c.);
2) skaidrojot noteikumu projekta anotācijā direktīvas Nr. 2022/2555 11. panta 3. punkta (jo īpaši "b", "d" un "h" apakšpunkta), 21. panta 3. punkta (norādot precīzas noteikumu projekta vienības, kas paredz katra no 3. punkta teikumiem, pārņemšanu), 23. panta 3. punkta apakšpunktu, 25. panta, 33. panta 3. punkta "d" apakšpunkta pārņemšanu;
3) salāgojot noteikumu projekta anotācijā ietverto informāciju ar Nacionālās kiberdrošības likuma anotācijā ietverto informāciju.
Kā arī, ņemot vērā, ka direktīvas Nr. 2022/2555 24. panta 1. punktā paredzēta rīcības brīvība, lūdzam papildināt 5.4. apakšsadaļas 1. tabulu ar skaidrojumu par minētās rīcības brīvības izmantošanu vai neizmantošanu (arī to, kā rīcības brīvība tikusi izmantota) un apsvērumiem rīcības brīvības izmantošanai vai neizmantošanai noteikumu projektā.

-

Latvijas Republikas Satversmes (turpmāk - Satversme) 106. panta pirmais teikums paredz ikvienam tiesības brīvi izvēlēties nodarbošanos un darbavietu atbilstoši savām spējām un kvalifikācijai. Satversmes tiesa ir atzinusi, ka Satversmes 106. panta pirmais teikums tieši negarantē tiesības uz darbu, bet gan tiesības brīvi izvēlēties nodarbošanos un darbavietu (sk., piemēram, Satversmes tiesas 2021. gada 25. marta sprieduma lietā Nr. 2020-36-01 12. punktu). Tiesības brīvi izvēlēties nodarbošanos aizsargā personu pret valsts darbībām, kas šo brīvību ierobežo. Taču tas neliedz valstij noteikt prasības, kādām personai jāatbilst, lai tā tiesības uz konkrētu nodarbošanos varētu īstenot. Likumdevējam ir rīcības brīvība izvirzīt prasības attiecībā uz konkrētu profesionālo darbību, ciktāl tas nepieciešams sabiedrības interesēs (sk. Satversmes tiesas 2024. gada 23. maija sprieduma lietā Nr.  2023-34-01 16. punktu). 

Vēršam uzmanību, ka ikviena pamattiesību ierobežojuma pamatā ir jābūt apstākļiem un argumentiem, kādēļ tas vajadzīgs, jo ierobežojums tiek noteikts svarīgu interešu - leģitīma mērķa - labad. Noskaidrojot, vai pamattiesību ierobežojums ir samērīgs, ir nepieciešams pārbaudīt, vai ierobežojums ir piemērots tā leģitīmo mērķu sasniegšanai, proti, vai ar izraudzītajiem līdzekļiem var sasniegt leģitīmos mērķus. Pamattiesību ierobežojums ir nepieciešams, ja nav citu līdzekļu, kuri būtu tikpat iedarbīgi un kurus izvēloties personas pamattiesības tiktu ierobežotas mazāk. Vērtējot pamattiesību ierobežojuma atbilstību leģitīmajiem mērķiem, jāpārliecinās arī par to, vai nelabvēlīgās sekas, kas personai rodas tās pamattiesību ierobežojuma rezultātā, nav lielākas par labumu, ko no šā ierobežojuma gūst sabiedrība kopumā. 
Ievērojot minēto, lūdzam papildināt noteikumu projekta anotāciju ar izvērstu un pamatotu skaidrojumu attiecībā uz pārvaldniekiem izvirzāmajām prasībām, kuras ir ietvertas noteikumu projekta 12., 13., 14. un 15. punktā.

-

Lūdzam noteikumu projekta anotācijā sniegt skaidrojumu noteikumu projekta 12. punkta apakšpunktos uzskaitītajiem kritērijiem, kuriem ir jāatbilst fiziskai personai, tai skaitā skaidrojot kritēriju nepieciešamību un samērīgumu. Vienlaikus ņemot vērā, ka ņemot vērā, ka minētās prasības tiks izvirzītas arī privāttiesību subjektiem, kur darba devējam vispārējā kārtībā ir tiesības noteikt savu darbinieku atlases kritērijus, attiecīgi ar šādu prasību valsts iejauksies darba devēja un darba ņēmēja privāttiesisko attiecību tvērumā. 

-

Lūdzam noteikumu projekta anotācijā sniegt skaidrojumu noteikumu projekta 14. punktā ietvertajām prasībām un kritērijiem. Vienlaikus ņemot vērā, ka ņemot vērā, ka minētās prasības tiks izvirzītas arī privāttiesību subjektiem, kur darba devējam vispārējā kārtībā ir tiesības noteikt savu darbinieku atlases kritērijus, attiecīgi ar šādu prasību valsts iejauksies darba devēja un darba ņēmēja privāttiesisko attiecību tvērumā. 

-

Lūdzam sniegt skaidrojumu noteikumu projekta anotācijā noteikumu projekta 15. punktā noteiktajām prasībām un kritērijiem, kuriem cita starpā ir jāatbilst fiziskai personai, tai skaitā skaidrojot kritēriju nepieciešamību un samērīgumu. Vienlaikus ņemot vērā, ka minētās prasības tiks izvirzītas arī privāttiesību subjektiem, kur darba devējam vispārējā kārtībā ir tiesības noteikt savu darbinieku atlases kritērijus, attiecīgi ar šādu prasību valsts iejauksies darba devēja un darba ņēmēja privāttiesisko attiecību tvērumā. 
 

-

Lūdzam skaidrot noteikumu projekta 17. punkta otrajā teikumā ietvertā regulējuma (proti, termiņa) atbilstību Nacionālās kiberdrošības likuma 25. panta otrajā daļā noteiktajam. Ja attiecīgu skaidrojumu nav iespējams sniegt, lūdzam precizēt minētajā teikumā ietverto termiņu, salāgojot arī ar noteikumu projekta 11.2. apakšpunktā noteikto.

-

Lūdzam svītrot vai precizēt noteikumu projekta 23., 24. un 170. punktu un 157.6. apakšpunktu. Norādām, ka Informācijas atklātības likums attiecas vienīgi uz iestādēm, savukārt subjekti var būt arī privātpersonas, turklāt ar Ministru kabineta noteikumiem nav pieļaujams noteikt informācijai ierobežotas pieejamības statusu (sk. informācijas atklātības likuma 5. panta otro daļu).

-

Saskaņā ar IS27001 standartā noteiktiem principiem, viens no drošības pārvaldnieka pienākumiem ir Riska pārvaldība(Identificēt, novērtēt un pārvaldīt informācijas drošības riskus. Tas ietver riska pārvaldības un risku apstrādes plānu izstrādi) un darbības nepārtrauktības plāna izstrāde/uzturēšana.

lūdzu šo punktu izteikt šādā redakcijā:

45. IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs nosaka atbildīgās personas par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu.

Vēršam uzmanību, ka Nacionālās kiberdrošības likumā nav paredzēts deleģējums Ministru kabinetam noteikt izvirzāmās prasības
atbildīgajai personai par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu, kā arī par plānā ietverto pasākumu īstenošanu. Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības. Ņemot vērā minēto un to, ka šāds ierobežojums skar personas pamattiesības, kuras ir nostiprinātas Satversmes 106.pantā, lūdzam svītrot no noteikumu projekta attiecīgās normas.

-

Ņemot vērā, ka šo noteikumu 16. un 17. punktā nav noteiktas papildu prasības, lūdzam svītrot atsauces uz minētajiem punktiem noteikumu projekta 46. punktā, kā arī nepieciešamības gadījumā svītrot noteikumu projekta 48. punktu, bet papildināt noteikumu projetka 49. punktu ar atsauci uz 16. un 17. punktā noteikto, tādējādi nedublējot noteikumu projekta regulējumu.

-

Ievērojot, ka noteikumu projekta 59.6. apakšpunktā ietverto prasību varētu būt apgrūtinoši realizēt praksē, lūdzam atbilstoši precizēt vai noteikumu projekta anotācijā skaidrot minētās prasības samērīgumu.

"59.6. informācijas sistēmu darbībai paredzētās datu plūsmas ir nodalītas no lietotāju ikdienas darbam ar informācijas sistēmu paredzētās datu plūsmas;"

Uzturam iebildumu attiecībā uz noteikumu projekta 61.punkta nepieciešamo pamatojumu, proti, lūdzam sniegt pamatojumu anotācijā noteikumu projekta 61. punkta apakšpunktos noteiktajiem datu glabāšanas termiņam katrai kategorijai. Vienlaikus skaidrojam, ka atbilstoši Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula), 5. panta 1. punkta "e" apakšpunktā ietvertajam glabāšanas ierobežojuma principam, personas datus glabā tikai tik ilgi, kamēr tie ir nepieciešami nolūkiem, kuros to apstrādā. Papildus norādāms, ka minētajā regulā nav noteikti konkrēti termiņi datu glabāšanai, tomēr šie termiņi ir saistīti ar pārziņa datu apstrādes nolūkiem un to sasniegšanai nepieciešamo datu apjomu.

-

Vēršam uzmanību, ka Nacionālās kiberdrošības likumā nav paredzēts deleģējums Ministru kabinetam noteikt izvirzāmās prasības par žurnālfailu pārvaldību atbildīgajai personai. Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības. Ņemot vērā minēto un to, ka šāds ierobežojums skar personas pamattiesības, kuras ir nostiprinātas Satversmes 106.pantā, lūdzam svītrot no noteikumu projekta attiecīgās normas.

-

Lūdzam noteikumu projekta anotācijas 5. sadaļā skaidrot ierobežojumu noteikšanu attiecībā uz vairāku amatu izpildi, proti, ka to var darīt vienīgi noteiktu valstu pilsoņu, jo īpaši, bet ne tikai, vienīgi Latvijas pilsoņi atbilstību Līgumā par Eiropas Savienību (turpmāk - LESD) nostiprinātajiem brīvas kapitāla aprites un darba ņēmēju pārvietošanās brīvības principiem. Proti, nepieciešams sākotnēji pamatot, vai projektā paredzētie ierobežojumi ir attiecīgo LESD normu darbības jomā (t.i., 45. un 63. panta), kā arī šādā gadījumā sniedzams pamatots skaidrojums par noteikumu projektā paredzēto ierobežojumu atbilstību minēto principu ierobežojumu attaisnojamības kritērijiem.

-

Rezerves kopēšanas mērķis ir atjaunot sistēmas darbību pēc tehnisko resursu bojājuma nevis atgriezties kādā no versijām, kas vairs faktiski (gadu veca kopija) nav izmantojama.
Pie šāda scenārija neviens nevar būt drošs, ka kaut kādā datumā izveidota gada kopija būs izmantojama sistēmas atjaunošanai un tā saturēs nepieciešamos datus.
Nepiekrītu, ka  izziņā norādītie riski var tikt mazināti ar šiem datu rezerves kopēšanas pasākumiem.
-Datu nozagšana nav attiecināma uz šo risku
-nesankcionēta izmainīšana - var tik konstatēta, ja izmaiņas būs redzamas tieši noteiktās dienas kopijā, tāpēc šī kopiju veidošana ir nesamērigi liels ieguldījums ar mazu riska mazināšanas faktoru. Šeit lietderīgāk būt izmantot žurnālierakstu analīzes risinājumu.
-sašifrēšana vai iznīcināšana - tiks pamanīta dažu dienu laikā pēc šīs darbības veikšanas un tādējādi būs izmantojam pēdējo dienu kopija

A kategorijas informācijas sistēmai – katrā no iepriekšējām četrpadsmit dienām.

Rezerves kopēšanas mērķis ir atjaunot sistēmas darbību pēc tehnisko resursu bojājuma nevis atgriezties kādā no versijām, kas vairs faktiski (gadu veca kopija) nav izmantojama.
Pie šāda scenārija neviens nevar būt drošs, ka kaut kādā datumā izveidota gada kopija būs izmantojama sistēmas atjaunošanai un tā saturēs nepieciešamos datus.
Nepiekrītu, ka  izziņā norādītie riski var tikt mazināti ar šiem datu rezerves kopēšanas pasākumiem.
-Datu nozagšana nav attiecināma uz šo risku
-nesankcionēta izmainīšana - var tik konstatēta, ja izmaiņas būs redzamas tieši noteiktās dienas kopijā, tāpēc šī kopiju veidošana ir nesamērigi liels ieguldījums ar mazu riska mazināšanas faktoru. Šeit lietderīgāk būt izmantot žurnālierakstu analīzes risinājumu.
-sašifrēšana vai iznīcināšana - tiks pamanīta dažu dienu laikā pēc šīs darbības veikšanas un tādējādi būs izmantojam pēdējo dienu kopija

B kategorijas informācijas sistēmai – iepriekšējās septiņas dienās,

Vēršam uzmanību, ka Nacionālās kiberdrošības likumā nav paredzēts deleģējums Ministru kabinetam noteikt izvirzāmās prasības atbildīgajai personai par rezerves kopiju veidošanu, glabāšanu, pārbaudi un dzēšanu. Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības. Ņemot vērā minēto un to, ka šāds ierobežojums skar personas pamattiesības, kuras ir nostiprinātas Satversmes 106. pantā, lūdzam svītrot noteikumu projekta attiecīgās normas.

-

Vēršam uzmanību, ka noteikumu projekta 77. punktā nav norādīts uz personu, savukārt noteikumu projekta 80. punktā norādīts uz vairākām personām, tādēļ lūdzam atbilstoši precizēt noteikumu projekta 85., 86., 87. un 88. punktā ietvertās attiecīgās atsauces, nodrošinot juridiskās tehnikas prasībām atbilstošu regulējumu.

-

Lūdzam izvērtēt un noteikumu projekta 89.2. apakšpunktā vai tā anotācijā skaidrot, kāds risks būtu novērtējams kā būtisks (nepieciešamības gadījumā - piemērveidā). Līdzīgi lūdzam noteikumu projekta 135. punktā vai tā anotācijā skaidrot, kādas izmaiņas uzskatāmas par būtiskām u.tml. Vēršam uzmanību, ka norāde uz būtiskumu ir subjektīva un varētu būt apgrūtinoši piemērojama praksē.

-

Lūdzam svītrot vārdus "šo noteikumu 95. punktā minēto vadlīniju ieteikumus", ievērojot Ministru kabineta 2009. gada 3. februāra noteikumos Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 131. punktā noteikto.

-

Vēršam uzmanību, ka Eiropas Savienības likumdevējs direktīvā Nr. 2022/2555 ir norādījis, ka ar direktīvu ir respektētas pamattiesības un ievēroti principi, kas atzīti Hartā, jo īpaši tiesības uz privātās dzīves un saziņas neaizskaramību, tiesības uz personas datu aizsardzību, uzņēmējdarbības brīvība, tiesības uz īpašumu, tiesības uz efektīvu tiesību aizsardzību tiesā un taisnīgu tiesu, nevainīguma prezumpcija un aizstāvības tiesības. 
Attiecīgi regulējumam ir jābūt ar tiesībām uz efektīvu aizsardzību tiesā īstenojot tiesības uz taisnīgu tiesību, attiecīgi nepieciešams izvērtēt noteikumu projekta prasības, kritērijus, kārtību, pamattiesību ierobežojumu samērīgumu, robežas, tai skaitā, nosakot to kā tiks nodrošinātas tiesības uz efektīvu tiesību aizsardzību tiesā, tiesības taisnīgu tiesu, nevainīguma prezumpcija un aizstāvības tiesības, gadījumā, ja ar regulējumu tiks nepamatoti ierobežotas direktīvā Nr. 2022/2555 uzsvērtās un arī no Satversmes izrietošās pamattiesības. 
Ņemot vērā minēto, lūdzam sniegt skaidrojumu noteikumu projekta anotācijā un nepieciešamības gadījumā precizēt noteikumu projektu. 
 

-

Lūdzam noteikumu projekta anotācijā sniegt pamatojumu noteikumu projekta 100. punktam, skaidri norādot, ka noteikumu projekta 100. punkts neparedz diskriminējošas prasības attiecībā uz programmatūras un iekārtas ražotāju piegādātāju pilsonības valsti. No noteikumu projekta pašreizējās redakcijas, izmantojot gramatisko interpretācijas metodi, ir nolasāms, ka minētā prasība attiecas uz ārpakalpojuma sniedzēju, taču, ņemot vērā Tieslietu ministrijas iepriekšējā atzinumā paustās bažas, ir nepieciešams laikus novērst nepamatotu tiesību normu interpretāciju, ka ar šo normu varētu tikt radīts nepamatotas diskriminējošas prasības attiecībā uz ārpakalpojuma sniedzēja nodrošināto, piegādāto, uzstādīto programmatūru vai iekārtu (pēc programmatūras vai iekārtas izcelsmes valsts, pilsonības). Ņemot vērā minēto, lūdzam papildināt noteikumu projekta anotāciju.
Vienlaikus lūdzam izvērtēt, vai minētā prasība ir nepieciešama, ņemot vērā to, ka attiecīgajam subjektam jau ir jāatbilst noteikumu projekta 99. un 111. punktā noteiktajām prasībām.

-

Uzturam iebildumu, proti, lūdzam skaidrot noteikumu projekta anotācijā, kas tiek vērtēts, lai saņemtu kompetentās valsts drošības iestādes atļauju, ja A drošības klases informācijas resursu elektroniskā apstrāde notiek citas valsts teritorijā.

-

Uzturam iebildumu attiecībā uz nepieciešamību noteikumu projekta anotācijā izvērtēt, vai norma, kas cita starpā regulē un paredz konkrētas publiskā iepirkuma procesa tehniskās specifikācijas un līguma prasības, nepārkāpj deleģējums robežas un vai tā ir atbilstoša Publisko iepirkumu likumam. 
Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības, un atbilstoši noteikumu projekta deleģējumam, nav atrodas likumdevēja pilnvarojums regulēt publisko iepirkumu jomu, tai skaitā, tehniskās specifikācijas un līgumā (kas jau ir cita starpā privāttiesiskas attiecības) nosakāmās prasības, līguma izbeigšanas tiesības un tiesības prasīt zaudējumus. Vienlaikus nepieciešams stingri izvērtēt vai šāda norma attiecībā uz līguma tiesiskajām attiecībām, kas tiek īstenotas pēc iepirkuma procesa, pārmērīgi neiejaucas privāttiesiskajās attiecībās. 
Ņemot vērā minēto lūdzam precizēt noteikumu projektu, ievērojot deleģējuma robežas.
 

-

Uzturam iebildumu attiecībā uz nepieciešamību noteikumu projekta anotācijā izvērtēt, vai norma, kas cita starpā regulē un paredz konkrētas publiskā iepirkuma procesa tehniskās specifikācijas un līguma prasības, nepārkāpj deleģējums robežas un ir atbilstoša Publisko iepirkumu likumam. Vienlaikus lūdzam izvērtēt, kādas sekas noteikumu projekta 101. punkts un tā apakšpunkti var radīt publisko iepirkumu procesam. Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības, un atbilstoši noteikumu projekta deleģējumam, nav atrodams likumdevēja pilnvarojums regulēt publisko iepirkumu jomu, tai skaitā, tehniskās specifikācijas un līgumā (kas jau ir cita starpā privāttiesiskas attiecības) nosakāmās prasības, līguma izbeigšanas tiesības un tiesības prasīt zaudējumus. 
Vēršam uzmanību, ka noteikumu projekta 101.3.3. apakšpunkts jau ļoti konkrēti regulē pēc iepirkuma procesa slēgta līguma (kur rodas jau privāttiesiskas attiecības) tiesības izbeigt šo līgumu. Tieslietu ministrijas ieskatā, nepieciešamība atbilst šādai noteikumu projekta prasībai piešķir tiesības iejaukties publisko iepirkumu jomā un privāttiesiskās attiecībās, kuros cita starpā arī ir nodibināta tiesiskā paļāvība, proti, ja pasūtītājs ir izpildījis atbilstības noteikumus, izpildījis tehniskās specifikācijas prasības un tas ir paziņots kā uzvarētājs - tas noslēdz līgumu. Līgums, pēc veiksmīga publisko iepirkumu procesa jau tiek noslēgts privāttiesisko attiecību tvērumā, attiecīgi šāda noteikumu projekta norma ietekmē arī civiltiesisko attiecību stabilitāti, līdz ar to 101.3.3. apakšpunktā paredzētās līguma izbeigšanas tiesības iejaucas privāttiesisko attiecību tvērumā būtībā, kas ietekmē subjektu tiesisko paļāvību. Ņemot vērā minēto, lūdzam svītrot noteikumu projekta 101.3.3. apakšpunktu. 

 

-

Uzturam iebildumu attiecībā uz nepieciešamību noteikumu projekta anotācijā izvērtēt, vai norma, kas cita starpā regulē un paredz konkrētas publiskā iepirkuma procesa tehniskās specifikācijas un līguma prasības, nepārkāpj deleģējums robežas un ir atbilstoša Publisko iepirkumu likumam. Vienlaikus lūdzam izvērtēt kādas sekas noteikumu projekta 101. punkts un tā apakšpunkti var sagādāt publisko iepirkumu procesam. Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības, un atbilstoši noteikumu projekta deleģējumam, nav atrodas likumdevēja pilnvarojums regulēt publisko iepirkumu jomu, tai skaitā, līguma pārtraukšanas tiesības.
Vēršam uzmanību, ka noteikumu projekta 101.3.7. apakšpunkts jau ļoti konkrēti regulē pēc iepirkuma procesa slēgta līguma tiesības pārtraukt līgumu. Tieslietu ministrijas ieskatā, nepieciešamība atbilst šādai noteikumu projekta prasībai piešķir tiesības iejaukties publisko iepirkumu jomā un privāttiesiskās attiecībās (noslēgta līguma gadījumā), kuros, cita starpā, jau ir nodibināta tiesiskā paļāvība, proti, ja pasūtītājs ir izpildījis atbilstības noteikumus, izpildījis tehniskās specifikācijas prasības un, atbilstoši arī noteikumu projekta regulējumā noteiktajam tas nepieciešamības gadījumā ir saņēmis drošības iestādes atzinumu, un tas ir paziņots kā uzvarētājs - tas noslēdz līgumu. Līgums, kas pēc veiksmīga publisko iepirkumu procesa ir noslēgts, tiek noslēgts privāttiesisko attiecību tvērumā, attiecīgi šāda noteikumu projekta norma ietekmē civiltiesisko attiecību stabilitāti (cita starpā ņemot vērā to, ka ja attiecīgam subjektam ir jāsaņem drošības iestādes atzinums, tas to saņem pirms līguma noslēgšanas), tādējādi 101.3.7. apakšpunktā paredzētās līguma izbeigšanas tiesības iejaucas publisko iepirkumu sfērā un privāttiesisko attiecību tvērumā, un ietekmē subjektu tiesisko paļāvību un stabilitāti attiecībā uz pastāvošo tiesisko regulējumu. Vienlaikus nav saprotams, kā minētās normas tvērumā tiktu nodrošināta tiesiskā paļāvība uz iepriekš izdotu valsts drošības iestādes atzinumu, ka konkrētais subjekts ir drošs (ja attiecināms). Ņemot vērā minēto, lūdzam būtiski precizēt vai svītrot noteikumu projekta 101.3.7. apakšpunktu. 

-

Vēršam uzmanību, ka noteikumu projekta izdošanas tiesiskajā pamatā nav atrodams pilnvarojums Ministru kabinetam regulēt publisko iepirkumu procesā slēgta līguma (kas, cita starpā, ir privāttiesiskas attiecības) pārkāpuma gadījumā - tiesības piedzīt vai kompensēt pasūtītājam zaudējumus. Norādām, ka būtībā šāda norma iejaucas publisko iepirkumu un civiltiesisko attiecību jomā. Skaidrojam, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības, un atbilstoši noteikumu projekta deleģējumam, nav atrodas likumdevēja pilnvarojums regulēt publisko iepirkumu jomu un privāttiesisko attiecību ceļā slēgtu līgumu, to izbeigšanas kārtību, tai skaitā, tiesības prasīt zaudējumus. Vienlaikus norādām, ka šāda norma var radīt tiesiskās paļāvības principa pārkāpumu, ņemot vērā to, zaudējumu kompensēšanas kārtība, privāttiesisko attiecību tvērumā, ir noregulēta attiecīgās jomas normatīvajos aktos, likuma līmenī.
Ievērojot minēto, lūdzam svītrot noteikumu projekta 101.6. apakšpunktu. 

-

Lūdzam skaidrot noteikumu projekta anotācijā noteikumu projekta 105. punktā noteiktās prasības. Ne no noteikumu projekta, ne tā anotācijas neizriet mērķis iesniegt subjektam ārpakalpojuma izpildē iesaistīto fizisko personu sarakstu ar pamatojumu attiecīgās fiziskās personas iesaistei ārpakalpojuma līguma izpildē. Norādām, ka šādai prasībai ir jābūt samērīgai un attiecīgi pamatotai, ņemot vērā to ka tā aizskar fiziskas personas privātuma un datu apstrādes jautājumus, tāpat paredzot šādu prasību ir jāizvērtē, vai nepastāv mazāk ierobežojoši līdzekļi. 

-

Uzturam iebildumu attiecībā uz precizētā noteikumu projekta 109. punktu, proti, lūdzam noteikumu projekta anotācijā skaidrot, vai noteikumu projekta 109. punkts nepārkāpj deleģējuma robežas, un kā noteikumu projekta 109. punkts atbilst Publisko iepirkumu likumam.
Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības, un atbilstoši noteikumu projekta deleģējumam, nav atrodas likumdevēja pilnvarojums regulēt publisko iepirkumu jomu, tai skaitā, līguma izbeigšanas tiesības.
Paužam bažas, ka noteikumu projekta deleģējumā nav atrodams likumdevēja pilnvarojums regulēt publisko iepirkumu procesā slēgta līguma izbeigšanu (kas, cita starpā, ir privāttiesiskas attiecības, jo, lai gan publisko iepirkumu attiecībām ir divējāda tiesiskā daba, proti, process ir publiski tiesisks un izpilde ir privāttiesiska, līguma tiesību slēgšanas tiesību piešķiršanai ir publiski tiesiska daba, tās laikā tiek piemērotas tai skaitā no valsts drošības iestādes atzinuma iegūtās tiesības un tiesiskā paļāvība uz jau pastāvošu regulējumu), attiecīgi minētā norma ir svītrojama. Tāpat norādāms, ka nerodas skaidrība, kā minētā norma būtu arī salāgojama ar noteikumu projekta normām, kas primāri regulē prasības nodrošināt kiberdrošību un nosaka nepieciešamību konkrētiem subjektiem (uz kuriem attiecināms) saņemt valsts drošības iestādes atzinumu, attiecīgi paredzot arī tiesisko paļāvību attiecībā uz jau pastāvošo regulējumu un arī attiecībā noteikumu projektā noteiktajām prasībām un valsts drošības iestādes (uz kuriem attiecas) atzinumu, ka attiecīgais subjekts ir drošs.
Ņemot vērā minēto, lūdzam svītrot noteikumu projekta 109.punktu. 

-

Lūdzam noteikumu projekta anotācijā sniegt pamatojumu noteikumu projekta 111. punktam, skaidri norādot, ka noteikumu projekta 111. punkts neparedz diskriminējošas prasības attiecībā uz programmatūras un iekārtas ražotāju, piegādātāju pilsonības valsti. No noteikumu projekta pašreizējās redakcijas, izmantojot gramatisko interpretācijas metodi, ir nolasāms, ka minētā prasība attiecas uz ārpakalpojuma sniedzēju, taču, ņemot vērā Tieslietu ministrijas iepriekšējā atzinumā paustās bažas, ir nepieciešams laikus novērst nepamatotu, paplašinātu tiesību normu interpretāciju, ka ar šo normu varētu tikt radīts nepamatotas diskriminējošas prasības attiecībā uz ārpakalpojuma sniedzēja nodrošināto, piegādāto, uzstādīto programmatūru vai iekārtu (pēc programmatūras vai iekārtas izcelsmes valsts, pilsonības), atstājot spēkā 99. punktā paredzētās prasības. Ņemot vērā minēto, lūdzam papildināt noteikumu projekta anotāciju.

-

Lūdzam precizēt lietoto terminoloģiju, ņemot vērā, ka Latvijas normatīvajos aktos tiek lietots termins "biedrības un nodibinājumi" atbilstoši Biedrību un nodibinājumu likumam. Savukārt, ja regulējums ir vērsts uz ārvalstu nevalstiskajām organizācijām, tad ierosinām lietot terminu "organizācijas".

-

Lūdzam precizēt terminoloģiju, lietojot to atbilstoši Biedrību un nodibinājumu likumā lietotajiem terminiem (biedrības un nodibinājumi) vai arī precizējot terminu "nevalstisks nodibinājums", jo nav saprotams, ar ko tas atšķiras no "organizācijas".

-

Lūdzam precizēt norādi uz šo noteikumu 111. punktā noteiktajām prasībām, lai norma būtu skaidra un saprotama. Norādām, ka minētās prasības ir noteiktas 111. punktā, savukārt 112. punkts nosaka gadījumus, kuros 111. punkta prasības nepiemēro.

"118.1. ja ārpakalpojuma sniedzējs tehniskā resursa iegādei atbilst šo noteikumu 111. punktā noteiktajām prasībām"

Lūdzam precizēt norādi uz šo noteikumu 111. punktā noteiktajām prasībām, lai norma būtu skaidra un saprotama. Norādām, ka minētās prasības ir noteiktas 111. punktā, savukārt 112. punkts nosaka gadījumus, kuros 111. punkta prasības nepiemēro.

"118.2. ja ārpakalpojuma sniedzējs pakalpojuma sniegšanai atbilst šo noteikumu 111. punktā noteiktajām prasībām un ārpakalpojuma līguma izpildē iesaistītā fiziskā persona ir NATO, Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts pilsonis."

Lūdzam precizēt atsauci uz normu, kas nosaka prasības, analogi noteikumu projekta 112.punktam. 

-

Uzturam iebildumu attiecībā uz noteikumu projekta 126. punktā un 127. punktā paredzētajām tiesībām Satversmes aizsardzības birojam pārbaudīt nodarbinātos. Norādām, ka normai, kas paredz tiesības pārbaudīt nodarbinātos ir pamattiesību ierobežojoša un tai ir jābūt attiecīgi pamatotai, proti, ietverot atbilstošu tiesisko pamatojumu projekta anotācijā, vienlaikus izvērtējot normas samērīgumu. Tāpat lūdzam izvērtēt un pamatot vai minētās prasības nepārkāpj deleģējuma robežas. Vienlaikus, ņemot vērā to, ka Satversmes aizsardzības biroja atzinumam ir ieteikuma raksturs, nav skaidrs 127. punkta mērķis. 

-

Lūdzam precizēt noteikumu projekta 130. punkta ievaddaļu vai izdalīt atsevišķi 130.1. un 130.2. apakšpunktā ietverto regulējumu. Norādām, ka šobrīd minētajos apakšpunktos ietvertais regulējums neatbilst ievaddaļā minētajam, kā rezultātā no noteikumu projekta nepārprotami neizriet minētajos apakšpunktos ietverto pienākumu adresāts (-i).

-

Vēršam uzmanību, ka Nacionālās kiberdrošības likumā nav paredzēts deleģējums Ministru kabinetam noteikt izvirzāmās prasības atbildīgajai personai par darbības nepārtrauktības plānošanu valsts apdraudējuma gadījumam. Norādām, ka Ministru kabinets var izdot ārējos normatīvos aktus tikai tad, ja likums tam īpaši piešķir šādas tiesības. Ņemot vērā minēto un to, ka šāds ierobežojums skar personas pamattiesības, kuras ir nostiprinātas Satversmes 106.pantā, lūdzam svītrot no noteikumu projekta attiecīgās normas.

-

Vēršam uzmanību, ka normatīvie akti, kas paredz prasības speciālās atļaujas piešķiršanai pieejai valsts noslēpumam pirmšķietami, paredz arī mazāk stingrus nosacījumus, salīdzinot ar noteikumu projekta 12. punktā minētajiem, piemēram, likuma "Par valsts noslēpumu" 9. panta trešās daļas 7. punkts paredz, ka pieeja konfidenciāliem, slepeniem un sevišķi slepeniem valsts noslēpuma objektiem tiek liegta personai: kurai konstatēti psihiski un uzvedības traucējumi, tai skaitā traucējumi alkohola, narkotisko, psihotropo vai toksisko vielu lietošanas dēļ, kas dod pamatu apšaubīt tās spēju ievērot valsts noslēpuma aizsardzības nosacījumus, savukārt noteikumu projekta 12.9. apakšpunkts paredz, ka cita starpā IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par kiberdrošības pārvaldnieku nosaka fizisku personu: kurai pēdējo piecu gadu laikā nav diagnosticēti psihiski traucējumi vai alkohola, narkotisko, psihotropo vai toksisko vielu atkarība. Attiecīgi lūdzam:
pirmkārt, izvērsti skaidrot pamatojumu noteikumu projekta anotācijā, kādēļ noteikumu projektā paredzēti stingrāki nosacījumi, salīdzinot ar minētajā likumā noteiktajiem;
otrkārt, precizēt noteikumu projektu, jo tas, ka personai ir izsniegta speciālā atļauja pieejai valsts noslēpumam, neapstiprina noteikumu projektā ietverto prasību izpildi.

-

Lūdzam izvērtēt un precizēt noteikumu projektā izdarītās atsauces uz starptautiskajiem standartiem. Vēršam uzmanību, ka atsauces uz standartiem normatīvajos aktos izdarāmas atbilstoši Standartizācijas likuma 13. panta prasībām, proti, ja tiek izdarīta netieša atsauce uz standartiem, tad tiesību akta tekstā jāsniedz norāde uz piemērojamajiem standartiem kā iespējamo risinājumu tiesību akta prasību izpildei* vai alternatīvi izdarāma atsauce uz obligātajiem standartiem, bet šādā gadījumā noteikumu projektā šie standarti arī konkrēti jānorāda vai anotācijā jāskaidro, kādā normatīvajā aktā minētie standarti ir ietverti.

^{* Lietojot netiešās atsauces, tiek rekomendēta standartu brīvprātīga pielietošana, lai izpildītu tiesību aktā noteiktās obligātās prasības;  gadījumā, ja šie standarti netiek piemēroti, personai, kas izvēlējusies izmantot alternatīvu risinājumu, ir jāpierāda, ka tās tehniskais izpildījuma rezultāts nav sliktāks par to, kas ir noteikts standartos, proti, ļauj izpildīt tiesību aktā noteiktās būtiskās prasības  (sīkāk, kā atsaukties uz standartiem sk., piem., https://m.juristavards.lv/wwwraksti/JV/BIBLIOTEKA/PRAKSES_MATERIALI/ATSAUCES%20UZ%20STANDARTIEM%20TIESIBU%20AKTOS__2022.PDF)}

-

Lūdzam papildināt noteikumu projekta anotācijas. 5.4. apakšsadaļas 1. tabulu ar informāciju par direktīvas Nr. 2022/2555 11. panta 1. punkta "a" apakšpunkta papildināšanu vai noteikumu projektā paredzēt, ka informācija ir publicējama (norādot arī kādā veidā ir publicējama) un darāma pieejama noteiktām personām.

-

Atkārtoti lūdzam noteikumu projekta anotācijā skaidrot, kā paredzēts nodrošināt no direktīvas izrietošo prasību, ka dalībvalstīm jānodrošina, ka to kiberincidentu novēršanas institūcijām tiek piešķirti pietiekami resursi, lai nodarbinātu pietiekamu skaitu darbinieku, kas minētajām institūcijām ļautu attīstīt to tehniskās spējas. Nepieciešamības gadījumā lūdzam papildināt noteikumu projektu.

-

Atkārtoti lūdzam svītrot noteikumu projekta 146. punktu vai pamatot tajā ietvertā regulējuma atbilstību Nacionālās kiberdrošības likuma 44. panta otrās daļas otrajā teikumā Ministru kabinetam dotajam pilnvarojumam, kas paredz, ka Ministru kabinets nosaka kiberdrošības auditoram izvirzāmās prasības un kiberdrošības auditoru reģistrācijas kārtību. Atkārtoti vēršam uzmanību uz to, ka pilnvarojumā paredzētā auditoru reģistrācijas kārtība dod tiesības Ministru kabinetam noteikt sākotnējo lēmumu pieņemšanas kārtību, proti, lēmumu reģistrēt auditoru vai atteikt reģistrēt auditoru. Administratīvā procesa likuma 11. pants paredz, ka privātpersonai nelabvēlīgu administratīvo aktu izdot var uz Satversmes, likuma, kā arī uz starptautisko tiesību normas pamata. Ministru kabineta noteikumi var būt par pamatu šādam administratīvajam aktam tikai tad, ja Satversmē, likumā vai starptautisko tiesību normā tieši vai netieši ir ietverts pilnvarojums Ministru kabinetam, izdodot noteikumus, tajos paredzēt šādus administratīvos aktus. Norādām, ka pretēji noteikumu projekta izziņas 206. punktā ietvertajai informācijai, anotācija nav papildināta ar pamatojumu noteikumu projekta 146. punkta atbilstībai likumdevēja dotajam pilnvarojumam.

-

Vēršam uzmanību, ka Nacionālās kiberdrošības likuma 44. panta otrā daļa tostarp paredz, ka kiberdrošības auditoram izvirzāmās prasības nosaka Ministru kabinets, tādēļ lūdzam noteikumu projekta 149.4. apakšpunktā atsaukties, ne vien uz minētā likuma vienību, bet noteikumu projekta normām, kas paredz prasības kiberdrošības auditoram, nodrošinot juridiskās tehnikas prasībām atbilstošu regulējumu.

-

Lūdzam svītrot vai precizēt noteikumu projekta 149.5. apakšpunktu, salāgojot to ar 149. punkta ievaddaļu.

-

Lūdzam pārskatīt un precizēt noteikumu projektā ietvertās atsauces, jo noteikumu projekta 105. un 110. punktā nav atrodamas norādes uz Satversmes aizsardzības biroja atzinu, tādēļ noteikumu projekta 151.3. un 152.2.2. apakšpunkts būtu precizējams. Līdzīgi lūdzam precizēt noteikumu projekta 157. punkta ievaddaļu u.c.

-

Lūdzam noteikumu projekta 166. punktā paredzēt termiņu attiecīgai informēšanai, tādējādi nodrošinot konkrētās normas nepārprotamu izteiksmi.

-

Tiesiskās noteiktības nolūkā lūdzam precizēt un norādīt, pret ko tiek ierosināta disciplinārlieta.

-

Lūdzam svītrot noteikumu projekta 179. un 180. punktu un nepieciešamības gadījumā citas konkrētās noteikumu projekta nodaļas vienības vai sniegt pamatotu skaidrojumu par minēto punktu atbilstību direktīvas Nr. 2022/2555 41. pantā noteiktajam.

-

Piedāvāju dzēst šo prasību "(c) no informācijas resursa pieejamības ir atkarīga citas informācijas sistēmas darbība, kurai noteikta A pieejamības klase;", A klases sistēmas arhitektūra ir jāveido tā, lai tā nebūtu atkarīga no citu sistēmu darbības vai pieejamības, nosakot pārejas laiku izmaiņu realizācijai
 

-

Noteikumu projekta 8. pielikuma 1. punkts noteic, ka atbilstoši nozares specifikai ir pieļaujamas atkāpes no atsevišķiem prasību punktiem, par to atsevišķi vienojoties ar attiecīgo nozares ministriju un Aizsardzības ministriju. Saistībā ar minēto lūdzam noteikumu projekta anotācijā sniegt skaidrojumu noteikumu projekta 8. pielikumā noteiktajām prasībām, un kā tiek paredzēts izpildīt 8. pielikuma 1. punktu. Norādām, ka minētās atkāpes un arī plāns nevar paredzēt stingrākas prasības kādas likumdevējs ir paredzējis noteikt un kādas ir noteiktas likuma līmenī, un atbilstoši deleģējumam - Ministru kabineta noteikumu līmenī. Attiecīgi ar 8. pielikuma 1. punktu nevar paredzēt atkāpes, kuras ir stingrākas par noteikumu projektā noteikto un likuma līmenī regulēto. 

Norādām, ka plāna līmenī nevar paredzēt pamattiesību ierobežojošas prasības atkāpjoties un atsevišķiem noteikumu projekta punktiem. Attiecīgi lūdzam nodrošināt, ka ar 8. pielikumu netiek radītas pamattiesību ierobežojas prasības, kas nav noteiktas likuma un Ministru kabineta noteikumu līmenī. Skaidrojam, ka viens no kritērijiem, kas pieļauj iespēju ierobežot pamattiesības, ir ierobežojuma noteikšana likumā, vienlaikus iekļaujot pietiekamu pamattiesību izvērtējumu, tādējādi ar minēto pielikumu nav pieļaujams, ka tiek noteiktas atkāpes no atsevišķiem punktiem gadījumā, ja ar tiem tiek paredzēts skart būtiskus jautājumus, pamattiesības un to ierobežošanu. 

Vienlaikus, vēršam uzmanību, ka Ministru kabineta 2014. gada 2. decembra noteikumu Nr. 737 "Attīstības plānošanas dokumentu izstrādes un ietekmes izvērtēšanas noteikumi" IV sadaļa nosaka plānā ietveramos jautājumus, attiecīgi lūdzam izvērtēt 8. pielikuma ietverto punktu atbilstību plānā ietveramo jautājumu robežām. 

-

Lūdzam saglabāt līdz šim normatīvajos aktos izmantoto terminoloģiju attiecībā uz reģistrētajiem datiem par noteiktiem notikumiem informācijas sistēmā, terminu “žurnālfaili” aizstājot ar terminu “auditācijas pieraksti”.

-

lūdzu izteikt šādā redakcijā:

žurnālfaili – automatizēti veidoti pieraksti par notikumiem informācijas sistēmā

Lūdzu izteikt šādā redakcijā vai sniegt atšifrējumu saīsinājumiem

12.6. kurai ir augstākā vai vidējā profesionālā izglītība kiberdrošības pārvaldības vai citā saistītā jomā un vismaz divu gadu darba pieredze kiberdrošības pārvaldībā, vai kura ir saņēmusi starptautiski atzītu sertifikātu, kas apliecina personas kvalifikāciju kiberdrošības pārvaldības jomā.

Lūgums precizēt punktu, sarežģītās teikuma konstrukcijas dēļ, nav skaidrs, vai jomas vidējā un augstākā izglītība prasa 2 gadu pieredzi jomā, bet sertifikācija nē, un kāpēc tā.
Lūgums svītrot piemērus vai iekļaut arī ISO 27k sērijas standartu.
Lūgums precizēt, kas ir saistītās nozares. IT nozare būs saistītā?

-

Lūgums izvērtēt un mainīt uz "12.2-12.5 apakšpunkta prasībām", jo 14.punktā ir minēts, ka kiberdrošības pārvaldnieks var nebūt Latvijas pilsonis, kā to nosaka 12.1. punkts.

-

Lūgums svītrot piemērus vai iekļaut arī ISO 27k sērijas standartu.
Lūgums precizēt, kas ir saistītās nozares. IT nozare būs saistītā?

-

Vai šāda prasība neapgrūtinās realizēt drošības pārvaldību valsts pārvaldē mazās organizācijās? Lūgums izvērtēt un labot punktu un papildināt ar aizliegumu būt kiberdrošības pārvaldniekam citā IKT kritiskās infrastruktūras subjektā, bet atļaut citos gadījumos.

-

Lūdzam precizēt, nodrošinot juridiskās tehnikas prasībam atbilstošu atsauci uz normatīvo aktu jomu.

"19. Fiziskā persona vienlaicīgi var būt noteikta par kiberdrošības pārvaldnieku ne vairāk kā piecos būtisko pakalpojumu sniedzējos. Minētais ierobežojums nav attiecināms, ja visi minētie būtisko pakalpojumu sniedzēji ir publiskās personas institūcijas, un tas nav pretrunā ar normatīvajiem aktiem par interešu konflikta novēršanu valsts amatpersonu darbībā.

Lūdzu papildināt par nepieciešamību informēt/neinformēt Nacionālo kiberdrošības centru un Satversmes aizsardzības biroju par izmaiņām.

-

Lūgums precizēt punktu, jo 21.1. punktā minētais politikas dokuments parasti ir pieejams plašāk (atbilstoši ISO/IEC 27001 standarta prasībām).

-

Lūgums precizēt punktu, jo 21.1. punktā minētais politikas dokuments parasti ir pieejams plašāk (atbilstoši ISO/IEC 27001 standarta prasībām) un tās saturs parasti ir deklaratīvs. Vai šis punkts nosaka, ka 21.4. punktā minētais kiberincidentu žurnāls (parasti sistēma)  jāreģistrē un jāakreditē Satversmes aizsardzības birojā?

-

Lūgums izvērtēt un 21.4.apakšpunktu minēt kā izņēmumu, kiberincidentu žurnāls bieži ir pieteikumu sistēmas daļa vai SIEM risinājums, kurā dati dinamiski mainās katru sekundi. To nevar iesniegt Satversmes aizsardzības birojam kā dokumentu.

-

Lūgums izvērtēt un 29.4. un 29.5. apakšpunktu pārcelt uz 3.4. nodaļu,  jo politikai būtu jābūt deklaratīvai, publiskai, bet ierobežotas pieejamības informācija būtu jāliek citos dokumentos.

-

Lūgums izvērtēt un vārdu "visus" svītrot vai aizvietot ar "būtiskos". 

-

Lūdzu izvērtēt un mainīt punkta formulējumu uz zemāk minēto, IKT tehniskais resurss šo noteikumu izpratnē ir ļoti plašs termins.

31. Subjekts izveido, uztur un regulāri pārskata IKT resursu un informācijas sistēmu katalogu.

Lūdzu nodalīt prasības atsevišķos p-tos attiecībā uz Kiberrisku pārvaldību un IKT darbības nepārtrauktības plānu, jo jomas ir saistītas, bet atsevišķi pārvaldāmas. 

-

lūdzu visā projektā izmantot vienu vārdam "tīkls". Atbilstoši likumā lietotai terminoloģijai piedāvāju izmantot "elektronisko sakaru tīkls"

-

lūdzu visā projektā izmantot vienu vārdam "tīkls". Atbilstoši likumā lietotai terminoloģijai piedāvāju izmantot "elektronisko sakaru tīkls"

-

Lūdzam izvērtēt, vai noteikumu projekta 43. punkts nav papildināms ar norādi uz uzraudzību, līdztekus norādei uz kontroli, ievērojot noteikumu projekta 1.10. apakšpunktā minēto.

-

Lūdzu izvērtēt un svītrot " IKT kritiskās infrastruktūras īpašnieks vai tiesiskais valdītājs par atbildīgo personu par kiberrisku pārvaldības un IKT darbības nepārtrauktības plāna izstrādi, pārskatīšanu un aktualizēšanu nedrīkst noteikt konkrētā subjekta kiberdrošības pārvaldnieku." Šis teikums ir pretrunā, piemēram ar punktiem 21.3., 43., 89.2. un citiem. 

-

lūdzu visā projektā izmantot vienu vārdam "tīkls". Atbilstoši likumā lietotai terminoloģijai piedāvāju izmantot "elektronisko sakaru tīkls"

-

lūdzu iekļaut šo kā obligātu prasību (izsakot šajā redakcijā) vai noteikt pārējas posmu prasības realizācijai

55.3 informācijas sistēmas tehniskajos resursos ir iestrādāti kontroles mehānismi, lai novērstu iespēju lietotājiem lietot sistēmkontus

lūdzu visā projektā izmantot vienu vārdam "tīkls". Atbilstoši likumā lietotai terminoloģijai piedāvāju izmantot "elektronisko sakaru tīkls"

-

Lūdzu norādīt kādi  lietotāji ir uzskatāmi par standarta un kādi ir uzskatāmi par administratora lietotājiem vai šo izteikt piedāvātā redakcijā 

A klases informācijas sistēmas lietotāja kontam

Lūdzu norādīt kādi  lietotāji ir uzskatāmi par standarta un kādi ir uzskatāmi par administratora lietotājiem 

B klases informācijas sistēmas lietotāja kontam kuram ir piešķirtas tiesības administrēt lietotāju kontus, sistēmas parametrus un programmatūras servisus

lūdzu norādīt skaidrojumu terminam "ārējs" tīkls

-

Lūdzu izteikt šādā redakcijā

56.3. B klases informācijas sistēmas lietotāja kontam, ja tiek izmantota attālināta piekļuve informācijas sistēmai no ārējā tīkla.

Lūgums izvērtēt un aizvietot "bloķēt vai uzdot administratoram" ar "pieprasīt"". Pārāk daudz priviliģēto tiesību kiberdrošības pārvaldniekam.

58.3. kiberincidenta vai pamatotu aizdomu par kiberincidentu gadījumā "pieprasīt" bloķēt saistītos lietotāju kontus;

lūdzu visā projektā izmantot vienu vārdam "tīkls". Atbilstoši likumā lietotai terminoloģijai piedāvāju izmantot "elektronisko sakaru tīkls"

-

Lūdzu izvērtēt un svītrot "IKT" un atstāt pilnvarotam personālam. Ne vienmēr tas būs IKT personāls.

-

lūdzu definīciju ārējam un iekšējām tīklam, lai ir viennozīmīgi skaidrs kāds ir perimetrs iekšējam tīklam šī normatīvā akta izpratnē.

-

Ņemot vērā, ka noteikumu projektā ir ietverts tiesiskais regulējums, kas skar fizisko personu datu apstrādi, lūdzam noteikumu projektu saskaņot arī ar Datu valsts inspekciju. Vēršam uzmanību, ka atbilstoši Ministru kabineta 2021. gada 7. septembra noteikumu Nr. 606 “Ministru kabineta kārtības rullis” 52.2.6.1 apakšpunktam atzinumu (projekta saskaņojumu) nepieciešams saņemt no Datu valsts inspekcijas, ja projekts skar personas datu apstrādes jautājumus, tostarp personas datu apstrādi informācijas sistēmās.
 

-

Lūdzu definīciju terminam "ticams IKT notikums" vai izteikt šādā redakcijā:
 

66. Žurnālfailu ierakstus veido mašīnlasāmā formātā. Pārvaldot žurnālfailus, subjekts īsteno drošības pasākumus, lai nodrošinātu  reģistrēšanu un efektīvu kiberincidentu analīzi.

Saskaņā ar IS27001 standartā noteiktiem principiem, viens no drošības pārvaldnieka pienākumiem ir žurnālfailu pārvaldīšana, lai būtu iespējams atklāt un izmeklēt drošības incidentus.

lūdzu dzēst šo punktu.

-

Lūdzam izteikt šādā redakcijā vai skaidrot noteikumu projekta anotācijā, kādēļ tas nav nepieciešams:
"C klases informācijas sistēmai iepriekšējā darba dienā un pirms pēdējām nozīmīgām izmaiņām informācijas sistēmā (piemēram, pirms migrācijas uz citu tehnoloģisku platformu)."

-

Lūdzu izvērtēt un dzēst šo punktu, jo tas dublē noteikumu projekta 75.2. apakšpunktu.

-

Anotācijā ir norādīts, ka kontrolsuuma ir vajadzīga tie gadījumā ja nepieciešams pārbaudīt pēc rezerves kopijas pārvietošanas citā datu nesējā.
Lūdzu izteikt šādā redakcijā:

79.3. A klases informācijas sistēmai pēc rezerves kopijas izveides tiek izveidota rezerves kopijas satura kontrolsumma, ja paredzēts kopiju pārvietot citā datu nesējā.

Lūgums izvērtēt un aizvietot "kiberdrošības pārvaldnieks" ar "pilnvarotās personas"

-

Lūgums izvērtēt un precizēt punktu, jo pirmais teikums rada iespaidu, ka "viena sistēma pēc izvēles", bet otrais teikums, ka "katrai sistēmai jāveic pārbaudes ar noteikto regularitāti".

-

Lūgums izvērtēt un mainīt nepieciešamību atbilst 12.6. punktam. Vai atbilstošāka nebūtu IKT izglītība?

-

Lūgums izvērtēt un dzēst "(prezentācijas datne, izdales materiāli)", ne vienmēr materiāli būs prezentācijas un izdales materiāli.
 

-

Lūdzam izvērtēt un papildināt noteikumu projektu ar šādu punktu vai skaidrot, kādēļ tas nav nepieciešams noteikumu projekta anotācijā:
"Ārpakalpojuma sniedzējam ir pienākums nekavējoties iesniegt subjektam drošības audita ziņojumu, ja subjekts to ir pieprasījis ārpakalpojuma sniedzējam pie kura ir izvietota subjekta informācijas sistēma vai informācijas resurss".
 

-

Atbilstoši juridiskās tehnikas prasībām lūdzam papildināt noteikumu projekta 101.3.2. apakšpunktu ar norādi uz konkrētu normatīvo aktu jomu.

-

Lūdzam tehniski precizēt.

"111. IKT kritiskās infrastruktūras īpašniekam vai tiesiskajam valdītājam ārpakalpojuma līgumu par IKT kritiskās infrastruktūras informācijas sistēmas tehnisko resursu iegādi atļauts slēgt, ja ārpakalpojuma sniedzējs ir:"

Lūdzu precizēt vai šī prasība attiecas arī uz Būtisko pakalpojumu sniedzēju, ja tam ir tikai B un C klases sistēmas.

-

Lūdzam tehniski precizēt.

"136.2. nodrošina piekļuvei savām telpām atbilstošu apmeklētāju kontroli, un nodrošina, ka ēkai, kurā tās atrodas, tiek apsargāta;"

Tiesiskās noteiktības nolūkā lūdzam precīzāk noteikt informēšanas termiņu, respektīvi, kas ir domāts ar attiecīgā kalendārā gada 31. decembri - pēdējā gada (no pieciem) 31. decembris, t.i., gada, kad tiek veikts izvērtējums, vai nākamā kalendārā gada pēc izvērtējuma veikšanas 31. decembris. 

-

Lūdzam izvērtēt, vai līdzīgi kā noteikumu projekta 100.2. apakšpunktā nav paredzams izņēmums, ja ir saņemts Satversmes aizsardzības biroja atzinums, ka ir pieļaujama informācijas apstrāde arī citas valsts teritorijā, vai skaidrot noteikumu projekta anotācijā, kādēļ tas nav nepieciešams.

-

lūdzu izteikt šādā redakcijā un attiecīgi labot terminu "drošības skenēšana" uz "ievainojamību pārbaude", jo manā ieskatā šeit tiek identificētas programmatūras ievainojamības

8.2. Ielaušanās testi un drošības skenēšana

Lūdzam šo prasību attiecināt uz 151.1 un 151.3 apakšpunktos norādītajiem gadījumiem vai skaidrot, kādēļ tas nav nepieciešams noteikumu projekta anotācijā.

-

Lūdzam izvērtēt, vai par spēku zaudējušiem nav jāatzīst arī Ministru kabineta 2021. gada 6. jūlija noteikumi Nr. 508 "Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās infrastruktūras, apzināšanas, drošības pasākumu un darbības nepārtrauktības plānošanas un īstenošanas kārtība", kuri arī izdoti  saskaņā ar Nacionālās drošības likuma 22.² panta sesto daļu. Alternatīvi lūdzam noteikumu projekta anotācijas 4. sadaļā skaidrot, vai minētajos Ministru kabineta noteikumos nav nepieciešami grozījumi, ņemot vērā, ka arī noteikumu projektā ietverts regulējums, kas paredz IKT kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību.

-

Lūgums izvērtēt un aktualizēt veidlapu. Svarīgo pakalpojumu sniedzēji, kuri atbilst Nacionālās kiberdrošības likuma šī panta punktam:
"21. pants. Svarīgo pakalpojumu sniedzējs
(1) Svarīgo pakalpojumu sniedzējs šā likuma izpratnē ir persona, kas nav būtisko pakalpojumu sniedzējs un ir:
1) vidējs saimnieciskās darbības veicējs, kurš veic saimniecisko darbību vismaz vienā no šā likuma 20. panta 8. punktā minētajām jomām;"

nevar aizpildīt veidlapu, jo šīs jomas ir uzskaitītas tikai būtisko pakalpojumu sniedzēju sadaļā.

-

Norādām, ka saskaņā ar Komerclikuma 18. pantu termins "uzņēmums" apzīmē organizatoriski saimniecisku vienību un nevis komercdarbības vai saimnieciskās darbības subjektu. Ņemot vērā minēto, lūdzam izvērtēt un nepieciešamības gadījumā precizēt noteikumu projektu , termina "uzņēmums" vietā izmantojot terminu "komersants" vai "saimnieciskās darbības veicējs".
 

-

Saistībā ar izziņas 13. punktā minēto lūdzam izziņā minēto informāciju ietvert noteikumu projekta anotācijā, jo šobrīd minētā informācija anotācijā nav atrodama.

-