Atzinums

Latvijas Banka iebilst pret prasību, kas iestrādātas likumprojektā, lai ieviestu Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīva (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (turpmāk – Direktīva 2022/2555), attiecināšanu uz Latvijas Banku.
Direktīvas 2022/2555 2. panta 1. punktā ir noteiktas vienības, kuras, sasniedzot vai pārsniedzot vidējiem uzņēmumiem noteiktos maksimālos lielumus un darbojoties Direktīvas 2022/2555 I un II Pielikuma minētājās nozarēs, ietilpst Direktīvas 2022/2555 tvērumā. Atbilstoši 2. panta otrās daļas "f" apakšpunktam šāda vienība var būt arī centrālā vai reģionālā valsts pārvaldes vienība, ja tas ir noteikts ar valsts normatīvajiem aktiem. Savukārt, Direktīvas 2022/2555 6. panta 35. punkts sniedz skaidrojumu terminam "valsts pārvaldes vienība" un norāda izņēmumus, uz kuriem šo terminu neattiecina. Izņēmumi ir tiesu iestādes, parlaments un centrālās bankas. Proti, arī Latvijas Banka kā Latvijas centrālā banka nav uzskatāma par valsts pārvaldes vienību.
Eiropas Centrālā banka 2022. gada 11. aprīļa atzinumā (CON/2022/14) par Direktīvu 2022/2555 ir norādījusi, ka Eiropas Centrālā banka saprot, ka Padomes ierosinātais grozījums (no direktīvas piemērošanas jomas izslēgt vienības, kas veic darbības tiesu iestāžu, parlamentu vai centrālo banku jomā) attiektos uz visiem Eiropas Centrālo banku sistēmas pamatuzdevumiem un kompetencēm, kā noteikts Līguma 127. panta 2. punktā un Eiropas Centrālo banku sistēmas un Eiropas Centrālās bankas Statūtu 3.1. pantā, piemēram, maksājumu sistēmu raitas darbības veicināšanu. Šajā sakarā tiek uzskatīts, ka uz Eirosistēmai piederošām un pārvaldītām finanšu tirgus infrastruktūrām, piemēram, TARGET2 un TARGET2 vērtspapīriem, attiecas Padomes ierosinājums izslēgt centrālās bankas no ierosinātās direktīvas piemērošanas jomas. (C_2022233LV.01002201.xml (europa.eu), skat. Atzinuma 1.2 apakšpunktu.)
Arī Eiropas Parlaments skaidrojumā par Direktīvas 2022/2555 piemērošanu ir norādījis uz dalībvalstu centrālām bankām kā Direktīvas 2022/2555 izņēmumu (The NIS2 Directive (europa.eu)). Līdz ar to likumprojektā ietvertās tiesību normas, ar kurām transponētas Direktīvas 2022/2555 prasības, nevar attiecināt uz Latvijas Banku.
Ņemot vērā iepriekš minēto, ierosinām papildināt likumprojekta 3. pantu ar jaunu trešo daļu (izsakot šī brīža trešo daļu kā ceturto) ar atrunu, ka likums neattiecas uz Latvijas Banku, izņemot tā 12. panta trešo, ceturto un septīto daļu un 19. panta ceturto daļu.
 

(3) Likums, izņemot tā 12. panta trešo, ceturto un septīto daļu un 19. panta ceturto daļu, neattiecas uz Latvijas Banku.

Ņemot vērā, ka Regula 2022/2554 attiecībā pret Direktīvu 2022/2555 ir uzskatāma par nozarspecifisku Eiropas Savienības tiesību aktu attiecībā uz finanšu vienībām un to, ka šī likumprojekta prasības attiecībā uz finanšu vienībām nepiemēro, ja līdzvērtīgas prasības jau izriet no Regulas 2022/2554, ierosinām precizēt likumprojekta 3. panta trešo daļu (jeb ceturto daļu, ņemot vērā iepriekšējo komentāru). Piemērojot likumprojektu un minēto Regulu, var būt situācijas, kad ir nevis pretruna, bet regulējuma dublēšanās.
 

(4) Likums attiecas uz finanšu vienībām Eiropas Parlamenta un Padomes 2022. gada 14. decembra Regulas (ES) Nr. 2022/2554 par finanšu nozares digitālās darbības noturību un ar ko groza Regulas (EK) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 un (ES) Nr. 2016/1011 (turpmāk – Regula 2022/2554) 2. panta 2. punkta izpratnē, izņemot gadījumus, ja Regulā 2022/2554 un citos normatīvajos aktos par finanšu vienību kiberdrošību ir noteikts citādi, tai skaitā, citas speciālās prasības attiecībā uz risku pārvaldību (trešo personu saistīto risku pārvaldību,  darbības noturību,  testēšanu  un incidentu ziņošanu). Likums neattiecas uz finanšu vienībām, kuras ir izslēgtas no Regulas 2022/2554 darbības jomas saskaņā ar Regulas 2022/2554 2. panta 4. punktu.

Ierosinām svītrot likumprojekta 12.panta septītās daļas pēdējo teikumu, jo nav nepieciešams dublēt Regulas normas. Papildus vēršam uzmanību, ka Regulu 2022/2554 piemēros no 2025. gada 17. janvāra un Pārraudzības forums vēl nav izveidots.
 

-

Latvijas Bankas informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra var tikt iekļauta likumprojekta 19.panta pirmajā daļā minētajā kritiskās infrastruktūras kopumā. Šādā gadījumā attiecībā uz kopumā iekļauto kritisko infrastruktūru Latvijas Banka ievērotu informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību, kā arī kiberhigiēnas un kibernoturības prasības. Lai izpildītu šīs prasības, Latvijas Banka sadarbotos ar Satversmes aizsardzības biroju attiecībā uz Latvijas Bankas informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības uzraudzību, ar kiberincidentu novēršanas institūciju kiberincidentu un atklāto ievainojamību novēršanai, kā arī ar likumprojekta subjektiem un kompetentajām iestādēm kiberdrošības pārvaldības jomā.
Ņemot vērā iepriekš minēto, ierosinām papildināt likumprojektu ar 19.panta ceturto daļu turpmāk minētajā redakcijā.
 

(4) Šā panta pirmajā daļā minētajā kritiskās infrastruktūras kopumā var tikt iekļauta Latvijas Bankas informācijas un komunikācijas tehnoloģiju infrastruktūra. Šādā gadījumā Latvijas Banka:
1) ievēro informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību;
2) sadarbojas ar Satversmes aizsardzības biroju attiecībā uz Latvijas Bankas informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības uzraudzību;
3) sadarbojas ar kiberincidentu novēršanas institūciju kiberincidentu un atklāto ievainojamību novēršanai;
4) sadarbojas ar subjektiem un kompetentajām iestādēm kiberdrošības pārvaldības jomā;
5) ievēro kiberhigiēnas un kibernoturības prasības.

Ierosinām papildināt anotāciju ar skaidrojumu, kādēļ prasības, kas ieviestas ar Direktīvu 2022/2555, nevar attiecināt uz Latvijas Banku. 

Eiropas Parlamenta un Padomes 2022. gada 14. decembra Direktīvas  (ES) 2022/2555, ar ko paredz pasākumus nolūkā panākt vienādi augstu kiberdrošības līmeni visā Savienībā un ar ko groza Regulu (ES) Nr. 910/2014 un Direktīvu (ES) 2018/1972 un atceļ Direktīvu (ES) 2016/1148 (turpmāk – Direktīva 2022/2555) 2. panta 1. punktā ir noteiktas vienības, kuras, sasniedzot vai pārsniedzot vidējiem uzņēmumiem noteiktos maksimālos lielumus un darbojoties Direktīvas 2022/2555 I un II Pielikuma minētājās nozarēs, ietilpst Direktīvas 2022/2555 tvērumā. Atbilstoši 2. panta otrās daļas "f" apakšpunktam šāda vienība var būt arī centrālā vai reģionālā valsts pārvaldes vienība, ja tas ir noteikts ar valsts normatīvajiem aktiem. Savukārt, Direktīvas 2022/2555 6. panta 35. punkts sniedz skaidrojumu terminam "valsts pārvaldes vienība" un norāda izņēmumus, uz kuriem šo terminu neattiecina. Izņēmumi ir tiesu iestādes, parlaments un centrālās bankas. Proti, arī Latvijas Banka kā Latvijas centrālā banka nav uzskatāma par valsts pārvaldes vienību.
Eiropas Centrālā banka 2022. gada 11. aprīļa atzinumā (CON/2022/14) par Direktīvu 2022/2555 ir norādījusi, ka Eiropas Centrālā banka saprot, ka Padomes ierosinātais grozījums (no direktīvas piemērošanas jomas izslēgt vienības, kas veic darbības tiesu iestāžu, parlamentu vai centrālo banku jomā) attiektos uz visiem Eiropas Centrālo banku sistēmas pamatuzdevumiem un kompetencēm, kā noteikts Līguma 127. panta 2. punktā un Eiropas Centrālo banku sistēmas un Eiropas Centrālās bankas Statūtu 3.1. pantā, piemēram, maksājumu sistēmu raitas darbības veicināšanu. Šajā sakarā tiek uzskatīts, ka uz Eirosistēmai piederošām un pārvaldītām finanšu tirgus infrastruktūrām, piemēram, TARGET2 un TARGET2 vērtspapīriem, attiecas Padomes ierosinājums izslēgt centrālās bankas no ierosinātās direktīvas piemērošanas jomas. 
Arī Eiropas Parlaments skaidrojumā par Direktīvas 2022/2555 piemērošanu ir norādījis uz dalībvalstu centrālām bankām kā Direktīvas 2022/2555 izņēmumu (The NIS2 Directive (europa.eu)). Līdz ar to likumprojektā ietvertās tiesību normas, ar kurām transponētas Direktīvas 2022/2555 prasības, nevar attiecināt uz Latvijas Banku.
Tomēr Latvijas Bankas informācijas un komunikācijas tehnoloģiju kritiskā infrastruktūra var tikt iekļauta likumprojekta 19.panta pirmajā daļā minētajā kritiskās infrastruktūras kopumā. Šādā gadījumā attiecībā uz kopumā iekļauto kritisko infrastruktūru Latvijas Banka ievēros informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības prasības, pasākumus un to plānošanas un īstenošanas kārtību, kā arī kiberhigiēnas un kibernoturības prasības. Lai izpildītu šīs prasības, Latvijas Banka sadarbosies ar Satversmes aizsardzības biroju attiecībā uz Latvijas Bankas informācijas un komunikācijas tehnoloģiju kritiskās infrastruktūras drošības uzraudzību, ar kiberincidentu novēršanas institūciju kiberincidentu un atklāto ievainojamību novēršanai, kā arī ar likumprojekta subjektiem un kompetentajām iestādēm kiberdrošības pārvaldības jomā.