Atzinums

Trūkst pamatojums šī likumprojekta 23.panta pirmās daļas apakšpunktos izteiktajiem naudas soda apmēriem, proti, 1) fiziskajai personai no desmit līdz 1000 naudas soda vienībām; 2) juridiskajai personai no divdesmit līdz 2000000 naudas soda vienībām, vai līdz diviem procentiem no juridiskās personas iepriekšējā pārskata gada neto apgrozījuma. Saskaņā ar Administratīvās atbildības likuma 16.panta ceturto daļu "maksimālais naudas sods fiziskajām personām ir 400 naudas soda vienību, bet juridiskajām personām — 4000 naudas soda vienību", bet maksimālo naudas soda apmēru fiziskajām un juridiskajām personām ar likumu noteiktajā administratīvā soda sankcijā drīkst pārsniegt, ja lielāka naudas soda nepieciešamība ir noteikta Latvijas Republikai saistošā starptautiskajā tiesību aktā (AAL 16.panta sestā daļa). Tā kā sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) un likumprojektā nav atspēkots administratīvā naudas soda apmērs, nepieciešams papildināt anotāciju ar izvēlēto administratīvo naudas sodu apmēru pamatojumu.

-

Izvērtēt normu kontekstā ar 1. panta 6. punktu, kur jau ir sniegts skaidrojums, kas ir informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra.

-

Informācijas tehnoloģiju drošības likuma 6.¹ panta trešā daļa paredz, ka konstatētās nepilnības novēršamas 90 dienu laikā kopš informēšanas brīža. Savukārt likumprojekta 29. panta pirmā daļa nosaka, ka subjektam nepilnības, uz kurām norādījusi trešā persona, ir jānovērš 90 dienu laikā kopš brīža, kad trešā persona iesniegusi kiberincidentu novēršanas institūcijai ievainojamības atklāšanas ziņojumu. Vienlaikus likumprojekta 28. pants vai kāda cita norma nesatur nosacījumus par to, kā subjekts uzzinās par datumu, kad attiecīgais ievainojamības atklāšanas ziņojums iesniegts kiberincidentu novēršanas institūcijai.

Tāpat likumprojekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) iztrūkst skaidrojums par pamatojumu līdzšinējās pieejas maiņai, kad nepilnības bija novēršamas kopš brīža, kad Drošības incidentu novēršanas institūcija informēja informācijas sistēmas vai elektronisko sakaru tīkla īpašnieku vai tiesisko valdītāju, nevis kopš brīža, kad kāda trešā persona iesniedza kompetentajai institūcijai ziņojumu par konstatētajām nepilnībām.

-

No likumprojekta un tā sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) nav gūstama skaidrība, kas likumprojekta izpratnē ir domāts ar vārdiem "kiberdrošības operāciju centrs", kāda ir tā praktiskā nozīme un nepieciešamība.

Vēršama uzmanība, ka Ministru kabineta noteikumos nevar tikt iekļautas normas, kuru deleģēšanas nepieciešamība un skaidrība nebūtu izsecināma no augstāka juridiskā spēka normas.

Ievērojot minēto, precizēt projektu un tā sākotnējās ietekmes novērtējuma ziņojumu anotāciju.

-

Likumprojekta pārejas noteikumi nenosaka termiņu Ministru kabineta noteikumu projekta izstrādei, jo Informācijas tehnoloģiju drošības likumam zaudējot spēku, spēku zaudēs arī Ministru kabineta 2016. gada 1. novembra noteikumi Nr. 695 "Digitālās drošības uzraudzības komitejas nolikums". Ievērojot minēto, lūdzam papildināt pārejas noteikumus un attiecīgi arī anotācijas 4.sadaļu.

-

Likumprojekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 5.4.1. apakšpunkta 2. aile paredz, ka ar likumprojekta 3. panta pirmo daļu ir pilnībā pārņemts NIS2 direktīvas (versijā, ko 14.12.2022. Aizsardzības ministrija atsūtījusi Iekšlietu ministrijai) 2. pants un stingrākas prasības nav paredzētas.

Vēršama uzmanība, ka likumprojekta 3. panta pirmā daļa nosaka: "Likums attiecas uz valsts un pašvaldību institūcijām, privāto tiesību juridiskajām personām, informācijas un komunikācijas tehnoloģiju kritisko infrastruktūru, kā arī šajā likumā noteiktajos gadījumos – uz fiziskajām personām, kas piedalās koordinētas ievainojamību atklāšanas procesā.".

Savukārt NIS2 direktīvas priekšlikuma 2. panta 7. punkts nosaka: "This Directive does not apply to public administration entities that carry out their activities in the areas of national security, public security, defence or law enforcement, including the
prevention, investigation, detection and prosecution of criminal offences.".

Likumprojekts un tā sākotnējās ietekmes novērtējuma ziņojums (anotācija) neparedz, ka NIS2 Direktīvas jomas paplašināšana uz valsts drošības iestādēm, izmeklēšanas iestādēm pārsniegtu NIS2 Direktīvas prasības, vai, ka tā būtu nacionālā iniciatīva.

Ievērojot minēto, precizējams projekts vai tā sākotnējās ietekmes novērtējuma ziņojums (anotācija).

 

-

Ievērojot, ka likumprojektā tiek lietoti termini "datu centrs", "pakalpojumatteice", "telemetrija", kuru skaidrojums nav sniegts likumprojektā, būtu izvērtējams papildināt likumprojekta 1. pantu ar attiecīgo terminu skaidrojumu, vai sniegt attiecīgo terminu skaidrojumus pie atbilstošās likumprojekta normas, kur tie minēti pirmo reizi.

-

Precizēt vai svītrot termina "būtisks pakalpojums" skaidrojumu no likumprojekta 1. panta, jo pašreizējā redakcijā tā faktiski ir deklaratīva norma.

-

Spēkā esošā Informācijas tehnoloģiju drošības likuma 6.1 panta pirmajā daļā ir sniegta jēdziena "drošības nepilnība" definīcija. (1) Informācijas tehnoloģiju drošības nepilnība (turpmāk — drošības nepilnība) ir būtiska informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai nejauši radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas tehnoloģiju integritāte, pieejamība vai konfidencialitāte. Savukārt, likumprojekta līdzīga definīcija tiek sniegta jēdzienam "ievainojamība": "3) ievainojamība — informācijas un komunikācijas tehnoloģiju vai to pakalpojumu drošības nepilnība, kas ir informācijas sistēmas vai elektronisko sakaru tīkla izveides, uzturēšanas vai pārveidošanas gaitā tīši vai bez nodoma radīta sistēmiska vājība, kuras rezultātā var tikt apdraudēta informācijas un komunikācijas tehnoloģiju konfidencialitāte, integritāte vai pieejamība un, kas var tikt izmantota kiberuzbrukuma īstenošanai;" Termins "drošības nepilnība" tiek izmantots likumprojektā un tā anotācijā, tomēr nav definēts. Ņemot vērā minēto, sniedzu priekšlikumu definēt jēdzienu "drošības nepilnība".

-

Gramatiski precizēt apakšpunkta redakciju.

-

Precizēt vai svītrot termina "svarīgs pakalpojums" skaidrojumu no likumprojekta 1. panta, jo pašreizējā redakcijā tā faktiski ir deklaratīva norma.

-

Izvērtēt nepieciešamību precizēt attiecīgo normu, ņemot vērā, ka likumprojekta 6. panta 5. punktā ir noteikts Aizsardzības ministrijas pienākums īstenot attiecīgo uzraudzību.

-

Preiczēt Šī panta pirmās daļā 1. un 2. punktā, proti, "pirmās daļā" aizstāt ar "pirmās daļas"

-

Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.4. apakšpunkts paredz, ka normatīvā akta projekta tekstu raksta, izklāstot to loģiskā secībā. Vēršama uzmanība, ka likumprojekta 7. panta virsraksts ir "Aizsardzības ministrijas tiesības", savukārt likumprojekta 7. panta trešās daļas saturs pārsniedz attiecīgā panta virsraksta tvērumu. 

Ievērojot minēto, precizēt attiecīgo normu.

-

Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.4. apakšpunkts paredz, ka normatīvā akta projekta tekstu raksta, izklāstot to loģiskā secībā. Vēršama uzmanība, ka likumprojekta 7. panta virsraksts ir "Aizsardzības ministrijas tiesības", savukārt likumprojekta 7. panta ceturtās daļas saturs pārsniedz attiecīgā panta virsraksta tvērumu. 

Ievērojot minēto, precizēt attiecīgo normu.

-

Izvērtēt normas virsraksta "Satversmes aizsardzības biroja tiesības" atbilstību attiecīgajā pantā ietvertajām darbībām kopsakarā ar likumprojekta 8. pantā noteiktajiem uzdevumiem, jo īpaši likumprojekta 8. panta otrās daļas 1. punktā noteiktais uzdevums iepretim likumprojekta 9. panta 1. punktā noteiktajām tiesībām, kas faktiski, pirmšķietami pārklājas.

-

Precizēt Kiberincidentu novēršanas institūcijas definīciju, proti, nav skaidrs, kurām institūcijām tiek sniegts atbalsts. Nacionālās kiberdrošības likumprojekta 10.panta otrās daļas 2.apakšpunktā ir noteikts, ka CERT.LV veic Kiberincidentu novēršanas institūcijas uzdevumus attiecībā uz valsts un pašvaldību institūcijām, bet tā paša panta pirmajā daļā nav norādīts, ka Kiberincidentu novēršanas institūcijas sniegtu atbalstu pašvaldību institūcijām.

-

Precizēt vārdu tekstā izņemot attīecībā uz valsts drošības iestādēm, proti, vārdu "attīecībā" aizstāt ar "attiecībā"

-

Izvērtēt nepieciešamību precizēt attiecīgās normas formulējumu, ņemot vērā, ka CERT.LV atbilstoši likumprojekta 5. panta otrajai daļai ir gan Nacionālās kiberdrošības centra sastāvā, gan atbilstoši likumprojekta 10. panta otrās daļas 2. punktam  kiberincidentu novēršanas institūcija.

-

Izvērtēt nepieciešamību precizēt normu, jo tā paredz, ka CERT.LV uzdevums ir "atbildīgas atklāšanas  ziņojuma sagatavošana", kā arī pats CERT.LV  "nosaka ziņojuma iesniegšanas kārtību".

Vienlaikus vērā, ņemams, ka Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.2. apakšpunkts paredz, "normatīvā akta projekta tekstu veido, ievērojot valsts valodas literārās un gramatiskās normas, juridisko terminoloģiju un pareizrakstības prasības.".

-

Izvērtēt nepieciešamību precizēt normu, jo likumprojekta 10. panta pirmā daļa neparedz, ka kiberincidentu novēršanas institūcijas sniegtu atbalstu arī pašvaldību institūcijām.

-

Svītrot vai precizēt attiecīgo normu, jo tā faktiski dublē jau Valsts pārvaldes iekārtas likumā noteikto.

-

Izvērtēt attiecīgās normas juridisko slodzi, jo likumprojekts neparedz sankciju par attiecīgā pienākuma neizpildi.

-

Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 72. punkts paredz, "vienā grozījumu likumprojekta pantā ietver vienu grozījumu", vienlaikus minēto noteikumu 2.3. apakšpunkts kopsakarā ar 2.4. apakšpunktu, nosaka, "normatīvo aktu projektu tekstu raksta normatīvajiem aktiem atbilstošā vienotā stilistikā un loģiskā secībā.". Ievērojot minēto, izvērtēt iespēju dalīt likumprojekta 22. panta trešo daļu vairākās vienībās, kas atvieglotu uztveramību, jo attiecīgā likumprojekta daļa pašreizējā redakcijā satur vairākus regulējamos jautājumus.

-

Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 72. punkts paredz, "vienā grozījumu likumprojekta pantā ietver vienu grozījumu", vienlaikus minēto noteikumu 2.3. apakšpunkts kopsakarā ar 2.4. apakšpunktu, nosaka, "normatīvo aktu projektu tekstu raksta normatīvajiem aktiem atbilstošā vienotā stilistikā un loģiskā secībā.". Ievērojot minēto, izvērtēt iespēju dalīt likumprojekta 22. panta ceturto daļu vairākās vienībās, kas atvieglotu uztveramību, jo attiecīgā likumprojekta daļa pašreizējā redakcijā satur vairākus regulējamos jautājumus.

-

Vēršama uzmanība, ka NIS2 direktīvas priekšlikuma 32. panta 5.-10. punkts faktiski paredz, ka subjektam var dot laika posmu trūkumu novēršanai pirms piemērot kādu no represīvām darbībām.

Likumprojekts un tā sākotnējās ietekmes novērtējuma ziņojums (anotācija) nesatur attiecīgus nosacījumus vai skaidrojumu to neietveršanai nacionālā līmenī. Ievērojot minēto, izvērtējama nepieciešamība veikt attiecīgus precizējumus.

-

Likumprojekta satura uztveramībai izsakām priekšlikumu papildināt likumprojekta sākotnējās ietekmes novērtējuma ziņojumu (anotāciju) ar skaidrojumu, kā minēto likumprojekta normu paredzēts praktiski īstenot.

-

Likumprojekta satura uztveramībai izsakām priekšlikumu papildināt likumprojekta sākotnējās ietekmes novērtējuma ziņojumu (anotāciju) ar skaidrojumu, kā minēto likumprojekta normu paredzēts praktiski īstenot.

-

1) Likumprojekta normas uztveramībai, kā arī, ņemot vērā Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.3. apakšpunktu, aicinām precizēt normu, norādot, par kura no likumprojekta 22. panta piektās daļas lēmuma nepildīšanu, pienākas sods, kā arī, kā interpretējami vārdi "ja tā saskaņā" kopsakarā ar vārdiem "minētā Nacionālā kiberdrošības centra lēmuma nepildīšanu".

2) Vienlaikus precizējams likumprojekta 23. pants vai papildināms projekta sākotnējās ietekmes novērtējuma ziņojums (anotācija) ar skaidrojumu, kā interpretējams likumprojekta 23. pants attiecībā uz paredzamajiem sodu piemērošanas gadījumiem kopsakarā ar likumprojekta 22. panta piekto daļu, kas jau paredz gradāciju ar iespējamo rīcību pārkāpuma gadījumā.

3) Iztrūkst skaidrojums likumprojekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) par nacionāli izraudzītajiem soda veidiem un apmēriem kontekstā ar NIS2 direktīvas projekta 34. pantu.

4) Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.4. apakšpunkts paredz, ka normas izklāsta loģiskā secībā. Vēršama uzmanība, ka likumprojekta 23. pants "Subjektu administratīvā atbildība" ir ietverts nodaļā "Būtisko un svarīgo pakalpojumu sniedzēji un subjektu uzraudzība", kas, šķietami, iziet ārpus attiecīgās nodaļas tvēruma.

-

Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.4. apakšpunkts paredz, ka normas izklāsta loģiskā secībā. Vēršama uzmanība, ka likumprojekta 24. pants "Subjektu pienākumi" ir ietverts nodaļā "Būtisko un svarīgo pakalpojumu sniedzēji un subjektu uzraudzība", kas, šķietami, iziet ārpus attiecīgās nodaļas tvēruma.

-

Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 2.4. apakšpunkts paredz, ka normas izklāsta loģiskā secībā. Vēršama uzmanība, ka likumprojekta 25. pants "Informācijas un komunikāciju tehnoloģiju kritiskā infrastruktūra" ir ietverts nodaļā "Būtisko un svarīgo pakalpojumu sniedzēji un subjektu uzraudzība", kas iziet ārpus attiecīgās nodaļas tvēruma.

-

Dzēst vai precizēt normu, jo tā pretēji Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 3.2. apakšpunktam faktiski dublē likumprojekta 28. panta trešo daļu.

-

Norma satur norādi "personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi", savukārt attiecīgā panta pirmā daļa satur atsauci uz likumprojekta 4. pantu. Likumprojekta 4. pants paredz, kas veido likuma subjektu kopumu. Attiecīgi no likumprojekta 29. panta trešās daļas nav gūstama skaidrība, kuras ir tās personas, kas ietilptu likumprojekta tvērumā, bet neietilpst likumprojekta 29. panta un attiecīgi 4. panta robežās.

Attiecīgi precizējama norma vai sniedzams skaidrojums projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā).

-

Nepieciešams Likumprojekta 1.pantā definēt jēdzienu "telemetrija", vai grozīt 31.panta trešās daļas tekstu saskaņā ar Likumprojektā jau definētajiem terminiem.

-

1) Ministru kabineta 2009. gada 3. februāra noteikumu Nr. 108 "Normatīvo aktu projektu sagatavošanas noteikumi" 72. punkts paredz, "vienā grozījumu likumprojekta pantā ietver vienu grozījumu", vienlaikus minēto noteikumu 2.3. apakšpunkts kopsakarā ar 2.4. apakšpunktu, nosaka, "normatīvo aktu projektu tekstu raksta normatīvajiem aktiem atbilstošā vienotā stilistikā un loģiskā secībā.". Ievērojot minēto, izvērtēt iespēju dalīt likumprojekta 31. panta trešo daļu vairākās vienībās, kas atvieglotu uztveramību, jo attiecīgā likumprojekta daļa pašreizējā redakcijā satur vairākus regulējamos jautājumus.

2) Vienlaikus vēršama uzmanība, ka likumprojektā iztrūkst norādes par datu, kuri var tik pakļauti apstrādei, pieļaujamo apstrādes ilgumu.

-

Norma satur norādi "privāto tiesību juridiskās personas, uz kurām neattiecas šā panta pirmajā daļā noteiktie pienākumi", savukārt attiecīgā panta pirmā daļa satur atsauci uz  "subjektu", kuru tvērums noteikts likumprojekta 4. pantā. Attiecīgi no likumprojekta 34. panta ceturtās daļas nav gūstama skaidrība, kuras ir tās personas, kas ietilptu likumprojekta tvērumā, bet neietilpst likumprojekta 34. panta un attiecīgi 4. panta robežās.

Attiecīgi precizējama norma vai sniedzams skaidrojums projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā).

-

Precizēt projektu vai sniegt skaidrojumu projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā), kas likumprojekta ietvaros tiek saprasts ar terminu "publisks kiberincidenta attiecināšanas paziņojums" tā nozīme, kā arī iestāžu (institūciju) kompetenci.

-

Informācijas tehnoloģiju drošības likuma 11. panta otrā daļa paredz: "Nacionālās kiberdrošības stratēģijas izstrādi reizi četros gados nodrošina Aizsardzības ministrija. Nacionālo kiberdrošības stratēģiju apstiprina Ministru kabinets.". Savukārt likumprojekts paredz "Nacionālās kiberdrošības stratēģiju reizi četros gados izstrādā Nacionālais kiberdrošības centrs sadarbībā ar valsts pārvaldes iestādēm, valsts drošības iestādēm un privātā sektora pārstāvjiem.".

Attiecīgi ierosinām precizēt projektu vai sniegt skaidrojumu projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā), kāda veida sadarbība no attiecīgajiem subjektiem, piemēram, valsts pārvaldes iestādēm Nacionālās kiberdrošības stratēģijas izstrādē tiek sagaidīta un, kāda ir juridiskā slodze attiecīgajai norādei, ņemot vērā jau Valsts pārvaldes iekārtas likumā noteikto par iestāžu sadarbību.

-

Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 4. panta 2. punkts paredz, ka "datu apstrāde" ir jebkura ar datiem veikta darbība, tostarp saņemšana, pārsūtīšana. Līdz ar to precizējams likumprojekts, vai nu svītrojot norādi "neapstrādātie dati", vai arī papildinot terminu sadaļu ar definīcijām "apstrādātie dati", "neapstrādātie dati" un to tvērumu tieši likumprojekta ietvaros, kas nepārklātos ar minētās regulas skaidrojumu.

-

Komentārs likumprojekta 41.panta ceturtajai un sestajai daļai: Nav skaidrs, ko nozīmē termins „neapstrādātie personas dati” likuma kontekstā, ņemot vērā, ka no likumprojekta izriet, ka minētie dati ir saņemti no attiecīgajām institūcijām, kā arī ir paredzēta šo personas datu nodošana. Abi šie procesi atbilstoši Regulas 2016/679 4.panta 1.punktam jau ir datu apstrāde: “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. Ņemot vērā minēto, sniedzu priekšlikumu precizēt 41.panta trešo, ceturto un sesto daļu, svītrot vārdus "apstrādātos" un "neapstrādātos" vai definēt jēdzienus "apstrādātie personas dati" un "neapstrādātie personas dati" - ko nozīme šie termini likuma izpratnē.

-

Informācijas tehnoloģiju drošības likuma 7. panta pirmā daļa nosaka: "Drošības incidentu novēršanas institūcija ir tiesīga saņemt un apstrādāt personas datus, lai pamatotu vai izslēgtu aizdomas par drošības incidentu vai to novērstu, ja personas datus nav iespējams anonimizēt un pastāv vismaz viens no šādiem nosacījumiem:
1) kaitnieciska programmatūra varētu saturēt personas datus;
2) personas dati tiek pārraidīti, izmantojot kaitniecisku programmatūru;
3) personas dati var sniegt būtisku informāciju par kaitniecisku programmatūru.".

Savukārt likumprojekta 41. panta pirmā daļa paredz: "Kiberincidentu novēršanas institūcija, pildot šajā likumā noteiktos uzdevumus un īstenojot savas tiesības, saņem un apstrādā personu identificējošu informāciju, lai pamatotu vai izslēgtu aizdomas par kiberapdraudējumu vai to novērstu, kā arī nodrošinātu saziņu ar iesaistītām personām.".

Likumprojekts atškirībā no spēkā esošās normas paredz imperatīvu datu saņemšanas pienākumu. Vienlaikus no likumprojekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) nav gūstams skaidrojums, kādēļ atšķirībā no spēkā esošās rīcības brīvības datu pieprasīšanā, likumprojekts paredz imperatīvu pienākumu attiecīgos datus saņemt jebkurā gadījumā, kad nepieciešams pamatot vai izslēgt aizdomas par kiberapdraudējumu vai to novērst, turklāt neatkarīgi no tā, vai attiecīgais kiberincidents ir saistīts ar personas datu apstrādi.

-

1. Anotācijā ir norādīts, ka Likumprojekta 40. pantā noteikti personas datu apstrādes kritēriji, tomēr šie kritēriji ir noteikti Likumprojekta 41.pantā.
2. Anotācijā ir norādīts, ka Likumprojekta 24. pantā iestrādātas pamata prasības kiberdrošības pārvaldībai, apmācībām, kā arī atbildībai, konstatējot ievainojamību, nepilnību vai notiekošu kiberincidentu. Tomēr likumprojekta 24. pantā nav minēts vārds "nepilnība", kā arī šīs vārds nav definēts likumprojektā. Turklāt likumprojekta 24. pantā nav iekļautas prasības apmācībām (pienākumi nodrošināt apmācības ir noteikti likumprojekta 21.pantā). Savukārt, prasības kiberdrošības pārvaldībai ir noteikti likumprojekta IV nodaļā (26.-33.pants). Sniedzam priekšlikumu attiecīgi precizēt anotāciju, labojot atsauces uz likumprojekta pantiem.
 

-

1) Precizēt vai svītrot attiecīgo rindkopu, jo nav gūstama skaidrība par tās saturu kopsakarā ar likumprojektā ietverto regulējumu: "Tāpat valsts pārvaldes vienību izslēgšana no NIS direktīvas darbības jomas nepieciešams piemērot vienībām, kuru darbības galvenokārt tiek veiktas aizsardzības, valsts drošības, sabiedriskās drošības vai tiesībaizsardzības jomā. Tomēr no NIS direktīvas darbības jomas būtu jāizslēdz valsts pārvaldes vienības, kuru darbības ir tikai maznozīmīgi saistītas ar minētajām jomām."

2) Likumprojektā ir ietvertas normas, kas attiecas uz pakalpojumatteices gadījumu un arī uz informācijas sistēmu uzturēšanu datu centros, taču projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) iztrūkst pamatojums attiecīgo papildinājumu un izraudzīto risinājumu nepieciešamībai, pamatotībai. Papildus vēršama uzmanība, ka likumprojekta 31. panta pirmā daļa nosaka: "Valsts un pašvaldību institūciju informācijas sistēmas uztur Ministru kabineta noteikumiem atbilstošos datu centros". Savukārt projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) norādīts: "3) iekļautas tiesību normas, kas regulē informācijas un komunikācijas tehnoloģiju resursu aizsardzību pret pakalpojumatteices (Denial of Service) kiberuzbrukumiem;
4) iekļautas tiesību normas, kas regulē koplietošanas datu centru kiberdrošību (tostarp CERT.LV kiberdrošības operāciju centru izveide, kā arī deleģējums Ministru kabinetam noteikt datu centru drošības prasības)." Vēršama uzmanība, ka likumprojekts nesatur vārdu "koplietošanas" datu centri. Ievērojot minēto, veicami attiecīgi precizējumi.

3) Likumprojekta 22. panta pirmā daļa paredz, ka subjektu uzraudzību īsteno attiecīgās kompetences robežās Nacionālās kiberdrošības centrs vai Satversmes aizsardzības birojs. Vienlaikus minētā likumprojekta panta trešā daļa nosaka, ka subjekts tā uzraudzības īstenošanai iesniedz nepieciešamo informāciju nevis tikai par tā uzraudzību kompetentajai iestādei (institūcijai), bet gan Nacionālās kiberdrošības centram un Satversmes aizsardzības birojam. Ievērojot, ka likumprojekts nesatur normas par uzraudzības darbībām, kuras kopīgi īstenotu Nacionālās kiberdrošības centrs un Satversmes aizsardzības birojs, būtu nepieciešams, vai nu precizēt likumprojektu, vai ietvert attiecīgu skaidrojumu projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā).

4) Likumprojekta 20. panta pirmā daļa paredz, ka pakalpojumu sniedzēji iesniedz informāciju Nacionālās kiberdrošības centram par to atbilstību būtiska pakalpojumu sniedzēja vai svarīga pakalpojumu sniedzēja statusam, vienlaikus norādot arī interneta protokola adreses. Vēršama uzmanība, ka projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) nav ietverts skaidrojums par nepieciešamību un pamatojumu norādīt interneta protokola adreses.

-

Sadaļā "Problēmas apraksts" ceturtajā rindkopa no apakšas nepareizi norādīts Digitālās transformācijas pamatnostādņu laika intervāls "2021.-2017.", tāpēc nepieciešams skaitli "2017." aiztāt ar skaitli "2027."

-

Likumprojekts paredz, ka tas būs saistošs vairākām sabiedrības grupām, tostarp valsts pārvaldes iestādēm un institūcijām.

Ievērojot minēto, būtu aizpildāma projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 2. sadaļa ar attiecīgo informāciju.

-

Atbilstoši Oficiālo publikāciju un tiesiskās informācijas likuma 9. panta piektajai daļai, "ja spēku zaudē normatīvā akta izdošanas tiesiskais pamats (augstāka juridiska spēka tiesību norma, uz kuras pamata izdots cits normatīvais akts), tad spēku zaudē arī uz šā pamata izdotais normatīvais akts vai tā daļa.".

Ievērojot minēto, visi Ministru kabineta noteikumi, tostarp Ministru kabineta 2015. gada 28. jūlija noteikumi Nr.442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", kas izdoti uz Informācijas tehnoloģiju drošības likuma pamata, zaudēs spēku līdz ar brīdi, kad minētais likums zaudēs spēku. 

Tādējādi grozījumus attiecīgajos Ministru kabineta noteikumos, tostarp Ministru kabineta 2015. gada 28. jūlija noteikumos Nr.442 "Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām", pēc tam, kad Informācijas tehnoloģiju drošības likums zaudēs spēku, vairs nebūs iespējams izdarīt.

Ievērojot minēto, precizēt projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 4.1.3. apakšpunktu.

Vienlaikus projekts paredz daudz plašāku Ministru kabineta noteikumu loka izdošanu nekā pašlaik norādīts projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 4. sadaļā. Ievērojot minēto, nepieciešams precizēt attiecīgo sadaļu.

-

Likumprojekts paredz, ka attiecīgajos gadījumos kompetentajām iestādēm (institūcijām) būs tiesības piekļūt datiem un veikt citas datu apstrādes darbības.

Ievērojot minēto, būtu papildināms projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 8.1.13. apakšpunkts ar attiecīgo informāciju.

-